IaaSの利用には欠かせない！セキュリティ対策ノウハウ特集

IaaSを活用する上で欠かせないのがセキュリティ対策です。IaaSではユーザ側で自由にOSやミドルウェアを選べる代わり、これらのセキュリティ対策についてはユーザ側で責任を負う必要があります。他のクラウドサービスに比べてユーザ側が負う責任範囲は広範囲になります。IaaSの導入を考えるのであればセキュリティ対策の知識は必要不可欠といえるでしょう。ここではIaaSのセキュリティに対する考え方について概要を紹介します。

IaaSをはじめとするクラウドサービスではサービス事業者とユーザで責任範囲が異なります。IaaSの場合、事業者側はインフラ部分の提供・管理しか行わないため、SaaSやPaaSに比べるとユーザ側がやるべきことは多いです。サービス運用やハードウェア、ネットワーク以外のセキュリティ、システム更新などに関してはユーザ側で負担することになります。

特にシステムが外部からアクセス可能な場合、セキュリティ対策は必須です。データ、コンテンツ、アプリケーション、ミドルウェア、OSまでの各領域に対してしっかりとセキュリティ対策を施す必要があります。なかでもミドルウェアはシステムに深刻な脆弱性が発見されるケースも多く、問題が起こりがちな領域となっています。 また、ミドルウェアだけでなく、コンテンツ、アプリケーションやOSでも多くの脆弱性が日々発見されています。つまり、脆弱性に対する運用はユーザにとって大きな負担となります。

システムにあまり詳しくない方や忙しくて対応できそうにないという方には、サーバの監視から運用までアウトソースできるサービスを提供している事業者もいるので、IaaSを導入する際には合わせて検討してみてはいかがでしょうか。

事業者側ではインフラ部分しか責任範囲がないものの、ユーザを補助するセキュリティ対策サービスを提供している事業者もいます。セキュリティ機能の強化につながりますので使えるものはすべて使う姿勢が大切です。事業者側で提供している代表的なセキュリティ対策としては次の4つが挙げられます。

・ログモニタリング機能。これは不正アクセス等がないかどうかシステムのログを監視できる機能です。

・サイバー攻撃からシステムを守るための機能。仮想化ファイアウォールやマルウェア対策といったものがこれにあてはまります。

・ユーザやIDの管理機能。「Active Directry」に代表されるITシステムの運用・管理の現場で強力な権限を持つ特権ユーザの管理、複数のシステムを対象にIDの作成・変更・削除を一括管理できる統合ID管理といったものが該当します。

・脆弱性診断および管理機能。システムの脆弱性診断ツールなどがあります。

事業者側の提供するセキュリティ機能は心強いものです。ただし、これらの詳細な設定や管理はユーザ側に委ねられているという点には留意しておく必要があるでしょう。サービス利用開始の時点でセキュリティに関する設定についてはすべて終えておくことが望ましいです。

IaaSにおいてもっとも重視するべきセキュリティ対策にはどんなものがあるのでしょうか。全国の男女を対象にアンケート調査を実施しました。

・IaaSのセキュリティ対策は業者選びじゃないかな（30代/男性/正社員）

・VPN設定やSSH通信が可能かどうか。また、提供会社が信頼に足る企業かどうか（20代/男性/正社員）

・A社のサービスを使っているが、データの暗号キーの管理などでセキュリティ対策をしている。（40代/男性/正社員）

・外部に対する堅牢性は最低限必要なものとして、セキュリティにおける最も重要か注意を払うべきなのは、システム運用ルールの設定と運用に関わる全てのスタッフへのトレーニングです。（50代/男性/個人事業主・フリーランス）

・IDとパスワードが第三者に知られてしまうと、本人になりすましてアクセスされてしまうため、最も注意が必要です。（30代/女性/パート・アルバイト）

【質問】
IaaSのセキュリティ対策をする時、どんな点に最も注意を払いますか？

【回答結果】
フリー回答

調査地域：全国
調査対象：【年齢】20 - 29 30 - 39 40 - 49 50 - 59 60 【職業】パート・アルバイト 個人事業主 公務員 正社員 派遣社員 経営者
調査期間：2017年07月11日～2017年07月18日
有効回答数：100サンプル

サービス事業者選び、厳密なパスワード管理など社員1人ひとりのセキュリティ意識の向上が安全なクラウドサービス利用の前提となるようです。システムそのもののセキュリティ向上だけでなく、社員教育を含めた全社規模でのセキュリティ対策が必要になるといえるでしょう。

IaaSは自由なシステム開発環境が得られる一方で、ユーザ側が負うセキュリティ対策の負担が大きくなります。しかし、各領域に対して適切なセキュリティ対策を講じていればあまり心配する必要はありません。事業者側でもさまざまなセキュリティサービスをIaaSユーザ向けに提供しています。ID管理機能やログの監視などセキュリティ対策には欠かせない機能が含まれていますので、積極的に活用してみましょう。

IaaSは日本語読みにした場合、いくつかのパターンがあるようです。そこでここでは全国の男女を対象に普段使っているIaaSの読み方について尋ねました。

【質問】
「IaaS」はどの読み方を使っていますか？

【回答結果】
イアース：51
アイアース：23
アイエーエーエス：26

調査地域：全国
調査対象：【年齢】20 - 29 30 - 39 40 - 49 50 - 59 60 【職業】パート・アルバイト 個人事業主 公務員 正社員 派遣社員 経営者
調査期間：2017年07月11日～2017年07月18日
有効回答数：100サンプル

調査の結果、一番多かったのは「イアース」読みということが判明しました。

・職場でもイアースと読んでいるので。（30代/男性/正社員）

・イアースだと思います。ただ、知人などはいろんな読み方をしています。（40代/男性/経営者）

ただ職場によってはアイアースが推奨されているケースもあるようです。

・社内ではアイアースという呼称が推奨されているみたいなので。（40代/女性/パート・アルバイト）

・最初に教えてもらったのがアイアースという呼び方でした。当初はコンピューターメーカーのアイスースと混同していました。（50代/男性/正社員）

正確に意味内容が伝わることから「アイエーエーエス」とイニシャル読みするのを好む人もかなりいます。

・IaaSを知らない人でも口頭で伝わりやすい読み方だと思うからです。（30代/女性/パート・アルバイト）

・普通にそのままアルファベットの読み方で読んでいます。その方が、正しく理解できると思うので。（20代/男性/パート・アルバイト）

海外でもメジャーな読み方なので押さえておいて損はないかもしれませんね。

今回の調査の結果、IaaSの読み方には人によってかなり差があることが判明しました。取引先などとの会話をスムーズに進めるためにも、どの読み方でいわれても何のことかわかるようにしておくのが望ましいといえるでしょう。

自社で管理等を行うオンプレミスではなく、IaaSを導入することには次のようなメリットが考えられます。 1つは必要なときに必要なだけサーバなどのハードウェアリソースなどを利用できることです。必要なときに必要な分だけのサーバを作成でき、利用状況に応じて柔軟にスケールアップ・ダウンができます。また従量課金制になっているため、オンプレミスよりもムダが出ません。そのことは結果的にコストカットにつながります。 もう1つは自由度の高いアプリやプラットフォームが作成可能であることです。IaaSではOSやミドルウェアなどを自由に選べます。PaaSやSaaSでは達成できない目的もIaaSなら可能です。

一方、IaaSにはデメリットもあります。他のクラウドサービスよりも自由度が高い分、ユーザー側の方でやらなければならない作業が増えてくるからです。

IaaSではサーバやネットワークなどのインフラしか提供されないため、OSやミドルウェアなどは自分でインストールする必要があります。またシステムの更新やセキュリティ対策を自分で行わなければなりません。IaaSは他のクラウドサービスとくらべてユーザー側に専門知識が要求されます。サーバ管理やセキュリティ対策などのスキルがないとIaaSを運用するのは難しいのです。ある意味上級者向けのクラウドサービスといえるかもしれません。

PaaSは開発の基盤となるプラットフォームを提供するタイプのクラウドサービスです。ネットワークなどのインフラに加えてミドルウェアも提供します。インフラを提供するIaaSに対し、PaaSは実行環境の土台を提供するサービスといえるでしょう。

提供されるサービス内容の差から、IaaSとPaaSでは運用管理の範囲やできることが異なります。たとえばPaaSはデータベースなどのミドルウェアやOSがあらかじめ規定されているため、選択肢はある程度限られます。その代わり、ミドルウェアの管理まで事業者側のサポートを受けられます。一方IaaSはミドルウェアもOSも自由に決められますが、その代わりインフラ部分以外の管理はすべてユーザー側の責任となります。

IaaSの魅力は自由にアプリやプラットフォームが作れることにあります。ミドルウェアやOSを自由に選択できるため、他のクラウドサービスでは実現できないような目的も達成可能です。ユーザー側が行うべきシステムの管理やセキュリティ対策が多いというデメリットはありますが、そのぶんできることの幅は広いです。IaaSの持つ特性を活かし、柔軟な自社システムの開発やアプリの運用などにつなげましょう。