SaaS(ソフトウェア・アズ・ア・サービス)をはじめ、クラウド上のサービスは事業者から多くのクラウドサービスが提供されているものの、そのサービスの形態によって注意すべき点は異なる。また、万一の事態に対応するためにも、セキュリティ上のリスクを適切に把握しておく必要がある。この記事では、クラウドサービスの分類とセキュリティリスク、ならびにサービス選定時に考慮すべきポイントについて解説する。
クラウドサービスの提供形態
クラウドサービスとは、共有されたサーバー、データベース、ストレージ、アプリケーションなどのIT資産をオンデマンドで利用できるビジネスモデルのことだ。IT資産を所有せずに、ネットワークを介して利用する形態となるため、調達や管理に費やしていた予算や工数を最適化できる。スケールメリットによるコスト削減に加え、すぐに必要な機能を準備できる迅速性がクラウドサービス利用のメリットだ。クラウドサービスは提供形態によって分類され、代表的なものは以下の通りとなる。
パブリッククラウド
クラウド事業者が所有するコンピューターリソースを、企業や組織などの不特定多数に提供する。必要に応じたリソースの利用と、複数企業・組織で利用することによって、コストが抑制できるため、低コストでの運用が実現可能だ。
プライベートクラウド
一つの企業・組織が、閉じられたネットワーク内でクラウド環境を管理する方式。セキュリティの強化や運用方法について自由度が増すものの、社内のIT部門でクラウド環境を管理する人材を有する必要がある。
ハイブリッドクラウド
パブリッククラウドとプライベートクラウドを相互接続させるなど、異なるサービスのメリットを組み合わせて一つの環境を構築する。例えば、社内の機密情報はセキュリティを担保したプライベートクラウドに保管し、外部へ公開するWebサービスはパブリッククラウドで運用するといった使い方が考えられる。
マルチクラウド
異なるベンダーが提供するクラウド環境を併用する。災害や大規模なシステム障害に備え、異なるデータセンターを持ったクラウド事業者と契約し、BCP(事業継続計画)の一環として対応するという例がある。必ずしもクラウド間を相互に接続する必要はなく、それぞれ環境設定を行う。
クラウドサービスは、アプリケーションやインフラの機能が標準化され、「サービス」として提供されるのが特徴である。そのサービス内容は、一般的にSLA(サービス品質保証)で定義されている。
SLAとは 「Service Level Agreement」の略で、提供するサービスの品質保証を謳うものだ。具体的には、サーバーの停止時間や通信速度を明示し、その品質を下回る場合の保証が盛り込まれる。
クラウドサービスの対象による分類
クラウドサービスは上記の提供形態による分類に加え、サービス領域によっても分類がなされる。以下に一般的に利用されている例を挙げていく。
SaaS(ソフトウェア・アズ・ア・サービス)
エンドユーザー向けのアプリケーションを、Webブラウザーなどで利用できるようにしたサービスを指す。メールやグループウェア、CRM(顧客関係管理システム)等が一般的に知られ、専門業務に特化したツールなども増えてきている。
SaaSの場合、ユーザーはアプリケーションに入力したデータのみを管理することが前提となっている。アプリケーション利用時における保存データの管理責任はサービスによって異なるが、事業者が負うケースは少ない。一方、アプリケーションのメンテナンスやインフラの保守・運用は事業者の担当する範囲となる。
PaaS(プラットフォーム・アズ・ア・サービス)
開発者向けに、アプリケーションの実行環境を提供するサービスである。ユーザーは開発に伴う任意のアプリケーションや環境のインストール・設定を行い、事業者がサーバーやネットワークを管理する。この場合、インストールしたアプリケーションや設定された環境、そしてアプリケーション上のデータについてユーザーが管理責任を負うことになる。
IaaS(インフラストラクチャー・アズ・ア・サービス)
開発に必要なコンピューターリソースを仮想的に提供するサービスである。ユーザーはオペレーティングシステムを含めたサーバー管理が可能となり、高い自由度を享受できる。事業者は、物理的なサーバーやネットワーク、ストレージを管理する役割を負う。一般的にクラウドサーバーと言われるものはIaaSに該当する。
上記の代表的なものに加え、近年は「XaaS」あるいは「Everything as a Service」と称されるように、IT資源に関するあらゆるものをサービスとして提供するビジネスモデルが増加している。
DaaS(デスクトップ・アズ・ア・サービス)もXaaSの一例として挙げることができる。エンドユーザー向けに仮想デスクトップ環境を提供するDaaSの場合、ユーザーは自らのマシンを通じてDaaSのクラウド環境にアクセスすることでサービスを利用することができる。ユーザーがアプリケーションを操作したデータはクラウド上に保存されるため、ユーザーのマシンにはデータは残らない。近年のテレワークの推進で求められている、ネットワークを介したセキュリティの高いオフィス環境の実現に寄与する。
セキュリティリスクと責任分界点
先述の通り、クラウドサービスはそのサービス領域により、ユーザーとクラウド事業者が管理する範囲が異なる。この境界のことを「責任分界点」と呼び、問題が発生した際にどちらが責任を負うかを明確にする取り決めになっている。とはいえ、セキュリティをはじめとする管理作業は、ユーザーとクラウド事業者のどちらか一方で完結するものではない。そのため、クラウドサービスでは責任分界点に基づき責任を分担する「共同責任モデル」がとられるのだ。
例えば、IaaSではユーザーが導入したソフトウェアによるセキュリティ上のトラブルはユーザーの責任となる。また、SaaSの場合、ユーザーはアプリケーションのセキュリティ設定ができないため、クラウド事業者がセキュリティ対策を講じることになる。
SaaS、PaaS、IaaSの順に、管理の自由度が増すとともに、ユーザー自身による責任や保守作業の分担が求められる点は理解しておく必要がある。
また、たとえSLAで稼働率などの保証がされていても、ユーザー固有の問題はユーザーの責任となってしまうことにも注意しておく必要がある。例えば、IaaSやPaaSにおいて、ユーザーのアプリケーションの設定に不備があった結果として情報漏えいが発生した場合には、クラウド事業者ではなく、ユーザー側に責任が問われる可能性がある。
実際、2020年末には大手SaaSベンダーが提供するサービスにおいて、情報共有の初期設定不備に起因する、一部情報を第三者が閲覧できる状態になっていたインシデントが発覚。この件について、NISC(内閣サイバーセキュリティセンター)が注意喚起を行っている。
なお、クラウド事業者側が管理するべきミドルウェアやオペレーティングシステムにおいて、脆弱性に対するパッチを適用せず、結果的にユーザー側が被害を受けた場合には、クラウド事業者側の責任となる。
難しいのが、マルチクラウドのように複数のベンダーが提供する環境を併用する場合だ。共同責任モデルやSLAの内容、そしてそれぞれの環境設定がベンダーごとに異なるため、すべてに同様のセキュリティ対策を講じることが困難な点など、クリアすべきハードルが多くなる。近年は、マルチクラウド管理ツールが登場したことで、単一の画面でセキュリティやコンピューターリソースを管理できるようになった。複数のベンダーを併用している場合、このようなツールの利用を検討したい。
SaaSを利用する場合には、ユーザーはクラウド事業者がどのようなセキュリティ対策を講じているかの確認が欠かせない。SaaS事業者はアプリケーションの開発のみを行い、インフラは他のIaaSやPaaSを利用していることも少なくない。パッチ適用をはじめ、SaaS事業者の管理・保守作業が適切に行われるかを見定めることが求められる。
クラウドサービス選定の際に注意すべきポイント
クラウドサービスの導入に際しては、どういった情報資産を取り扱い、どのような脅威が想定されるのかを、導入以前に検討しておく必要がある。機密性のレベルに応じて要求されるセキュリティレベルも変わり、想定される問題の発生確率や被害の大きさによって対策も異なってくるからだ。
また、クラウドサービスを選定する際には、契約条件を十分に確認することも必要だ。先述のSLAをはじめ、利用料金、稼働率、損害賠償、可用性、拡張性、ユーザーサポート等は最低限確認するようにしたい。
セキュリティに関しては特に、データの暗号化、バックアップ、障害発生時の復旧手順、パッチの運用等を確認する。個人情報保護法の遵守に関連し、利用終了時のデータ破棄の手続きや、作業の再委託先の管理責任、データ保存先の地理的所在地等も確認すべき重要なポイントだろう。ISO27001等の取得、ISMS(情報セキュリティマネジメントシステム)遵守の状況なども、クラウド事業者選定の判断基準となり得る。
BCPにも有効なクラウドサービス
適切な運用体制とベンダー選定が前提とはなるが、クラウドサービスの利用はBCP(事業継続計画)にも有効だ。
堅牢なデータセンターを有するクラウド事業者は、オンプレミスでデータを保管する場合と比較しても災害時のリスクが低いとされる。また、複数の拠点でバックアップが自動的に取得されていれば、万一の事態が発生した場合でも少ないコスト・労力で業務再開が可能となる。、オンデマンドでコンピューターリソースを利用できる点も、中長期で対策を講じるBCPにとってコストメリットをもたらすことになる。
コロナ禍で見られたようにオフィスでの業務が難しい場合を見据え、DaaS(Desktop as a Service)という選択肢を採用するといった方法も検討できる。実際、2020年の緊急事態宣言発出時に、それまでクラウドサービスを活用していた企業では、素早く在宅勤務に切り替えることができたという声も多数聞かれた。
有史以降、日本は自然災害に数多く見舞われてきていることは説明するまでもない。また、新型コロナウイルスの次の新たなウイルスが出てくる可能性も否定できない。今後、そうした状況に陥った際にビジネスを継続していくためにも、クラウドサービスを利用していくメリットは大きいと言えるのではないだろうか。
