本文へスキップ
質問に戻る

IaaSとは?

インフラストラクチャー・アズ・ア・サービス(IaaS)は、インターネット上でアクセスできる仮想化されたコンピューティングリソース、仮想ネットワーク、仮想ストレージ、仮想マシンを提供します。人気のあるインフラストラクチャーサービスには、AmazonのElastic Compute(EC2)、Google Compute Engine、Microsoft Azureなどがあります。 IaaSの利用は、初期費用の安さから増加しています。インフラストラクチャーサービスを利用する組織は、ハードウェアの購入や保守を行う必要がありません。そのため、あらゆる規模の組織にとってIaaSは魅力的です。 また、IaaSはハードウェアよりも拡張性と柔軟性に優れています。クラウドインフラはオンデマンドで拡張でき、不要になったらまた縮小することが可能です。このようなスケーラビリティは、オンプレミスのハードウェアでは不可能です。 しかし、IaaSは、IaaSリソースを乗っ取ってサービス拒否攻撃やボットネットの運用、暗号通貨のマイニングを試みるサイバー攻撃の標的になることがあります。ストレージリソースとデータベースは、多くのデータ侵害において、データ流出のターゲットとなることが多い。さらに、組織のインフラストラクチャーサービスに侵入することに成功した攻撃者は、そのアカウントを活用して、企業アーキテクチャーの他の部分にアクセスすることができます。

IaaSの安全性を確保する方法

IaaSの顧客は、データ、ユーザーアクセス、アプリケーション、オペレーティングシステム、および仮想ネットワークトラフィックのセキュリティを確保する責任があります。組織は、IaaSを使用する際に以下のような間違いを犯すことがよくあります:

暗号化されていないデータ:ハイブリッド環境やマルチクラウド環境では、データはオンプレミスとクラウドベースのリソース間、異なるクラウドアプリケーション間で移動する。データを盗難や不正アクセスから保護するためには、暗号化が不可欠です。組織は、オンプレミス、クラウドに移行する前、またはクラウド内でデータを暗号化することができる。独自の暗号化キーを使用することも、IaaSプロバイダーの暗号化を使用することもできる。IT部門は、転送中のデータを暗号化することもできる。政府や業界の規制の多くは、機密データを常に暗号化することを求めている。

設定のミス: クラウド・セキュリティ・インシデントの一般的な原因は、クラウド・リソースの設定ミスである。クラウド・プロバイダーはリソースの安全性を確保するためのツールを提供しているかもしれないが、そのツールを正しく使用する責任はITプロフェッショナルにある。よくあるミスの例としては、以下のようなものがある:

  • インバウンドポートまたはアウトバウンドポートが不適切に設定されている。
  • 多要素認証が有効になっていない
  • データ暗号化オフ
  • インターネットに公開されたストレージへのアクセス

シャドーサービス: シャドーまたは不正なクラウドアカウントは、SaaS(Software-as-a-Service)ソリューションで最も一般的ですが、IaaSでも発生する可能性があります。従業員がアプリケーションやリソースをプロビジョニングする必要がある場合、IT部門に報告せずにクラウド・プロバイダーを利用することがあります。このようなサービスのデータを保護するために、IT部門はまず監査を通じてサービスとユーザーを特定する必要がある。これを行うために、IT部門はcloud access security broker (CASB)を使用することができる。

シャドーサービス: シャドーまたは不正なクラウドアカウントは、SaaS(Software-as-a-Service)ソリューションで最も一般的ですが、IaaSでも発生する可能性があります。従業員がアプリケーションやリソースをプロビジョニングする必要がある場合、IT部門に報告せずにクラウド・プロバイダーを利用することがあります。このようなサービスのデータを保護するために、IT部門はまず監査を通じてサービスとユーザーを特定する必要がある。これを行うために、IT部門はcloud access security broker (CASB)を使用することができる。

IaaSセキュリティのためのソリューション

多くの企業では、異なるベンダーのIaaS、PaaS、SaaSサービスを利用したマルチクラウド環境を利用しています。マルチクラウド環境は一般的になりつつありますが、セキュリティ上の課題も発生します。従来の企業向けセキュリティソリューションは、組織のファイアウォールの外側にあるクラウドサービスに対応したものではありません。仮想インフラサービス(仮想マシン、仮想ストレージ、仮想ネットワークなど)には、クラウド環境向けに特別に設計されたセキュリティソリューションが必要です。

IaaSセキュリティの重要なソリューションとして、クラウドアクセスセキュリティブローカー、クラウドワークロード保護プラットフォーム、仮想ネットワークセキュリティプラットフォーム、クラウドセキュリティポスチャーマネジメントの4つがあります。

  • Cloud access security broker (CASB)、別名クラウド・セキュリティ・ゲートウェイ(CSG)。:CASBは、ユーザー・アクティビティの監視、IaaSの監視、クラウド・マルウェアの検出、data loss prevention 、暗号化など、クラウド・リソースの可視化と制御を提供する。ファイアウォールやクラウドプラットフォームのAPIと統合したり、IaaSの設定ミスやクラウドストレージ内の保護されていないデータを監視したりする。CASBは、セキュリティ設定や構成、ファイルアクセス許可、侵害されたアカウントの監査と監視を提供する。CASBは、ワークロードの監視とセキュリティも提供する。
  • クラウド・ワークロード・プロテクション・プラットフォーム(CWPP):CWPPは、ワークロードとコンテナを検出し、マルウェア保護を適用し、ワークロードインスタンスとコンテナを管理します。これらのコンテナは、管理されないまま放置されると、サイバー犯罪者にIaaS環境への侵入経路を提供する可能性があります。
  • 仮想ネットワーク・セキュリティ・プラットフォーム(VNSP):VNSPソリューションは、IaaS環境内の仮想インスタンス間で南北および東西に移動するネットワーク・トラフィックをスキャンします。また、仮想リソースを保護するためのネットワーク侵入検知・防御機能も備えています。
  • クラウド・セキュリティ・ポスチャ・マネジメント(CSPM):クラウド・セキュリティ・ポスチャ・マネージャは、IaaSクラウド環境のセキュリティとコンプライアンスに関する問題を監査し、手動または自動で改善策を提供する。CASBがCSPM機能を追加するケースも増えている。

IaaSプロバイダーの検討事項

IaaSプロバイダーは、その基盤となるサーバーとデータを保護するためのコントロールに責任があります。IT管理者は、以下の特徴に基づいてIaaSプロバイダを評価することができます:

  • 物理的なアクセス許可:IaaSプロバイダーは、物理的施設、ITシステム、クラウドサービスへの安全なアクセス制御を実装する責任がある。
  • コンプライアンス監査:IT管理者は、医療情報セキュリティ法や消費者金融データのプライバシー要件など、関連規制へのコンプライアンス(監査や証明書)の証明を求めることができる。
  • 監視とロギングのツール: IaaSプロバイダーは、クラウドリソースの監視、ロギング、管理のためのツールを提供している場合がある。
  • ハードウェアの仕様とメンテナンス: クラウド・インフラ・サービスを支えるハードウェアは、サービスのパフォーマンスに影響を与える。IT組織は、プロバイダーのハードウェア仕様、特にファイアウォール、侵入検知、コンテンツ・フィルタリングなどのセキュリティ・デバイスを要求することができる。

データセンターのクラウド化に伴い、IT管理者はIaaSセキュリティ戦略を策定し、クラウドセキュリティ技術を導入して重要なインフラを保護する必要がある。Skyhigh Security が提供するクラウドセキュリティは、クラウド上のデータを完全に可視化し制御することで、企業のビジネスを加速させます。Skyhigh Security 、クラウドセキュリティ技術の詳細をご覧ください。

その他の対象

データ・セキュリティ体制管理(DSPM)入門

プロキシとは?

トークン化 vs 暗号化

クラウドセキュリティのベストプラクティスへのステップバイステップガイド

CWPP(Cloud Workload Protection Platform)とは何ですか?

クラウドコンピューティングのセキュリティ問題

コンテナ・セキュリティとは?

ブラウザーアイソレーションとは?