知っておきたい!クラウドセキュリティで順守すべきガイドラインとは?

昨今、テレワークや DX 推進などの時代の流れに伴い、クラウドの利用が急激に増加していますが、クラウド利用におけるガイドラインについては皆さんどの程度ご存知でしょうか。ガイドラインにはどういうものがあるのか、そしてどのガイドラインを順守すべきなのか、迷っておられる方も多いのではと思います。そこで今回のブログではインシデントの発生状況を振り返るとともに、クラウド利用における代表的なガイドラインについてまとめてみたいと思います。

目次

クラウド利用におけるセキュリティインシデントの具体例

クラウドの利用増加に伴い、クラウドでのセキュリティインシデントも増加しています。Sophos による調査では、70 %の企業がクラウド環境でセキュリティインシデントに遭遇しているという結果が報告(※1)されており、また、Trend Micro による調査では、Web やクラウドからの情報漏洩の約 3 割が「設定ミス」によるものという報告(※2)があります。これらの調査結果から、クラウドの特性を理解できないまま、あるいは、しないままクラウドを利用し、起こるべくして起こったインシデントが一定の割合で存在する、と推測されます。クラウドは、その特性を理解し利用する際のセキュリティ対策を適切に実施することで、セキュリティリスクを下げることができます。

(※1)出所:ソフォスの調査:70%の組織がパブリッククラウドでサイバーセキュリティ・インシデントに遭遇
(※2)出所:2021 年上半期セキュリティラウンドアップ 侵入を前提としたランサムウェア攻撃の甚大な被害

クラウドセキュリティに関するガイドライン

2021 年 9 月に総務省から「クラウドサービス提供における情報セキュリティ対策ガイドライン(第 3 版)」がリリースされました。このガイドラインは、クラウドサービスを提供する事業者がクラウドサービスを提供する際に実施することが望まれる情報セキュリティ対策について記載されています。このガイドラインは非常に幅広く、すべての項目に目を通すだけでも時間のかかるものとなっていますが、読者の種別(クラウドサービス利用者、SaaS 事業者、PaaS 事業者、IaaS 事業者)ごとにガイドラインのどの項目を確認すべきといった読み方解説がありますので、そちらに従って読み進めるのがおすすめです。また、各項目にベストプラクティスといった対策方法が具体的に示されているので、これらの情報を参考にセキュリティ対策を実施することが可能です。

「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」の公表

その他、ガイドラインとしては以下のようなものがあります。

政府情報システムのセキュリティ評価制度(ISMAP)管理基準

政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 通称、ISMAP)がリリースしている管理基準です。政府が求めるセキュリティ要件をみたしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。
例えば、セキュリティ水準を満たしているクラウドサービスとして「Microsoft Office 365」が登録されています。クラウドサービスを導入する際の基準に用いることができます。

内閣サイバーセキュリティセンター(NISC)「政府機関の情報セキュリティ対策のための統一基準」

内閣サイバーセキュリティセンター(National center of Incident readiness and Strategy for Cybersecurity:通称、NISC)がリリースしている管理基準です。NISC によると「統一基準群は、国の行政機関及び独立行政法人等の情報セキュリティ水準を向上させるための統一的な枠組みであり、国の行政機関及び独立行政法人等の情報セキュリティのベースラインや、より高い水準の情報セキュリティを確保するための対策事項を規定しています。」と記載されています。
情報を保存・破棄する場合の情報の取り扱いであったり、業務を外部に委託する場合に考慮すべきことだったり、より一般的で最低限実施すべき事項などが記載されています。

これらはいずれもクラウド利用に限ったものではなく、情報セキュリティに関する一般的なガイドラインとなります。

クラウドプラットフォームのセキュリティベストプラクティス

AWS や Microsoft Azure など特定のクラウドプラットフォームで使用するサービスやリソースに関するガイドライン(およびベストプラクティス)もあります。
例えば、使用する ID に関するベストプラクティスやログに関するベストプラクティスなどが記載されています。
まずは、一般的なクラウドセキュリティ対策を確認した上で、各プラットフォームに特化したセキュリティ対策を実施するよう推奨されています。

AWSのガイドラインには以下のようなものがあります。

AWS セキュリティ監査のガイドライン


セキュリティ設定をチェックすべきタイミングや、チェックすべき項目に関する具体的なガイドラインが示されています。

AWS Foundational Security Best Practices コントロール

AWSの各サービスにおけるセキュリティベストプラクティスに関する確認ができます。

続いてAzureのガイドラインもご紹介します。

Azure のセキュリティの基礎に関するドキュメント

ベストプラクティスやガイダンスに関するまとめページとなっていて、詳細については各リンク先より確認することができます。

Azure セキュリティベンチマーク

Microsoft ではセキュリティベンチマークの使用がクラウドデプロイの迅速なセキュリティ保護に役立つとして、ベンチマークの推奨事項に関するまとめページもあります。

このように様々なガイドラインがありますので、ご利用中のサービスや利用シーンに該当するものを選んで参考にしていただければと思います。

KDLで支援できること

弊社では、クラウドセキュリティに関するサービスをご用意しておりますので、宜しければご相談ください。

クラウドセキュリティ設定診断サービス
クラウドプラットフォームで使用する様々なサービスやリソースの「設定」に着目し、セキュリティ的に問題がないかどうかを診断するサービスです。

各種セキュリティ製品の導入支援/アドバイザリーサービス
弊社ではWAF やサーバセキュリティ製品など、クラウドを保護するための各種製品を取り扱っておりますが、それらの製品の導入支援や導入後のサポートを提供しております。

もしご相談内容がサービスに当てはまらない場合でも、内容によってはご支援できることがございますので是非お気軽にお問合せください。

あわせて読みたい
クラウドセキュリティ設定診断|Cloud Security Assessment クラウドセキュリティ設定診断 サーバーやオンプレミスからクラウドへデータを移行する企業が増えていますが、それに伴い、クラウドの設定ミスによる情報漏えいの事例が...
あわせて読みたい
プロダクト|Product セキュリティをもっと簡単に。様々なセキュリティ製品と導入支援をご提供します。 【サービス概要】 Trend Micro 社が提供するクラウドサーバに最適なセキュリティ製品...
あわせて読みたい
アドバイザリー|Advisory アドバイザリー セキュリティアドバイザリーサービスでは、コンサルタントが質問に回答し、課題を早期解決します。 「個人情報関連の事件が多発しているので不安」「セ...
  • URLをコピーしました!
目次