セキュリティコストを削減するには、できるだけクラウドサービス標準のセキュリティ機能を使いこなしたい。ただしクラウド特有のセキュリティリスクと必要な対策も押さえておく必要がある。

 「IaaS(Infrastracture as a Service)を使ってクラウド上にサーバーを構築する場合、基本的なセキュリティ対策はオンプレミスと大差はない」―。NTTデータの技術革新統括本部 セキュリティ技術部 武井洋介課長はこのように話す。クラウド環境だから新たに必要になったり、不要になったりする製品はないわけだ。

 ただし、オンプレミスの環境では、社外ネットワークと社内ネットワークの境界にファイアウォールを設置して社内ネットワーク内にWAF(Webアプリケーションファイアウォール)やIDS(侵入検知システム)/IPS(侵入防御システム)を配置し、その配下にWebサーバーを構築するといった構成を取りやすい。一方、クラウド環境では、物理レイヤーの管理をクラウド事業者に任せる。そのため、ファイアウォールやIDS/IPSといったセキュリティ機能は主に、クラウド事業者が提供するサービスを利用する、もしくは仮想サーバー自身にホスト型のソフトウエアアプライアンスを導入する、といった方法で実現できる。

 例えば、AWS(Amazon Web Services)では、主に以下の表に示した標準サービスが提供されている。WAFやファイアウォールの機能はあらかじめ用意されているので、このサービスを利用すればよい。用意されていないセキュリティ機能を導入する際は、セキュリティベンダーのソフトウエアアプライアンスなどを検討する。例えば、トレンドマイクロが提供するDeep Securityといったホスト型のソフトウエアアプライアンスだ。これには、ファイアウォールやIDS/IPS、ウイルス対策、ファイルやレジストリの変更監視、といった機能が備わっている。

AWSが標準で備えているセキュリティ機能の一部
[画像のクリックで拡大表示]

標準サービスは高度な技術が必要

 それでは、標準サービスとソフトウエアアプライアンスのいずれを使っても同じセキュリティ対策を実施できる場合は、どちらを選べばよいのだろうか。コストの観点で検討するならば、標準サービスに軍配が上がる。「管理する仮想サーバー数などにもよるが、クラウド事業者が用意しているサービスを使えば、ソフトウエアアプライアンスを導入するよりも同等か安くなる」(TISのサービス事業統括本部プラットフォームサービス事業部 諸田陽宏エンタープライズセキュリティサービス部副部長)からだ。

 しかし、コストだけで標準サービスを選ぶわけにはいかない。標準サービスを使ってセキュリティ対策を施すには「高い技術力と運用力が必要」(NTTデータの武井課長)だからだ。

標準機能は設定や運用に高いスキルが必要
[画像のクリックで拡大表示]

 例えば、AWSには、AWS WAFが標準サービスとして用意されている。これを使えば、WAFによるセキュリティ対策を施せるが「初期設定のままでは、最低限の検知しかできない。利用するには自分でチューニングや監視、管理をしなければならない」(武井課長)という。自社でWAFの設定や運用ができるか、新たな攻撃に対してシグネチャーを更新して対処できるか、といった見極めが肝要だ。

 技術力や運用力に自信がない場合は、セキュリティベンダーのソフトウエアアプライアンスの導入を検討したい。AWS標準のセキュリティサービスに比べて、「設定や運用が楽」(武井課長)だからだ。標準サービスと比べてコストは割高だが、運用の手間は削減できる。

この先は有料会員の登録が必要です。「日経SYSTEMS」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は登録月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら