top of page

【CSIJコラム29(2025,3,4)】

「パブリッククラウドのセキュリティ設定のポイント」

 

NRIセキュアテクノロジーズ株式会社
西田 稜

 近年、企業のIT基盤としてパブリッククラウドが急速に普及しています。これは、導入コストの削減やスケーラビリティの向上、インフラ管理の負担軽減といった多くのメリットによるものです。しかし、その一方で、パブリッククラウド特有のリスクも無視できません。特に、インターネットを介してアクセスされるため、サイバー攻撃による情報漏えいやサービス停止などの影響を受けやすいという点が挙げられます。

 

 世の中においても、パブリッククラウドに関して、以下のようなインシデントが発生しています。

  • アクセスキーの窃取に起因する情報漏えい

オンラインサービスのファイルサーバに不正アクセスが行われ、アクセスキーが窃取されました。アクセスキーはクラウドサービスへのアクセスを認証するための極めて重要な情報であり、これが漏洩すると外部からの不正アクセスにつながります。

  • クラウド管理コンソールの設定不備による情報漏えい

クラウドサービスの管理コンソールのパスワード保護が不十分であったことにより、仮想通貨マイニングスクリプトが埋め込まれる被害が発生しました。

  • ストレージの公開設定不備による情報漏えい

クラウドサービスのストレージの公開設定ミスにより約200万件のデータが10年近く公開状態になっていました。

 

 このような背景から、クラウド環境におけるセキュリティ対策は非常に重要です。

 クラウド環境におけるセキュリティ対策にはさまざまな観点がありますが、特に重要な対策は、「クラウド利用時の認証強化」「管理アクセスの制限」「ストレージ公開設定の適正化」の3点です。これらを適切に管理するだけで、クラウド環境のリスクを大幅に低減することが可能です。
 また、パブリッククラウドサービスにおいては、サービスごとに提供される機能や設定が異なるため、各サービスに応じたベストプラクティスを参考にしながら、適切なセキュリティ対策を講じる必要があります。

 

 セキュリティ対策のベストプラクティスとしては、ISO/IEC 27017やCIS Benchmarksが広く知られています。ISO/IEC 27017は、クラウドサービスの情報セキュリティに関する国際規格であり、一般的なクラウドサービスに関連した管理策を記載したものです。一方、CIS Benchmarksは、安全なシステム構成を実現するためのガイドラインであり、AWSやAzure、Google Cloud、OCIなどのパブリッククラウドサービス毎に提供されています。

 

 また、実際にパブリッククラウドの運用を行う上で適切なセキュリティ対策を設定し続けるためには、定期的なセキュリティチェックが必要となります。その際の工夫としては、 設定値や確認手順の文書化が挙げられます。均一なセキュリティ品質を維持するためには、推奨する設定値や確認手順を明確にし、担当者間での認識を統一することが重要です。また、クラウドサービスは頻繁にアップデートされるため、確認項目を随時更新することも必要です。

 複数のクラウド環境を運用している場合、CSPM(Cloud Security Posture Management)などの自動化されたセキュリティチェックツールを活用することで、設定値を一元的に把握し、問題点を迅速に特定することも可能です。これにより、長期的な運用コストの削減も期待できます。

 クラウドにおけるセキュリティ対策は一度行えば終わりではなく、継続的な見直しが必要です。意図しない設定変更を防ぐための監視体制を整えるだけでなく、自動化されたセキュリティチェックや異常検知機能の活用にも注目することで、さらなるセキュリティ強化が期待できます。
 

bottom of page