セキュリティを高めるには？クラウドとオンプレミスのセキュリティ比較 | クラウド導入・システム運用ならアールワークスへ

2021.02.17

はじめに
責任範囲
障害時や災害時の信頼性
オンプレミス利用が向いている場合
- 機密情報を扱い、独自のセキュリティ要件を求められる場合
- 情報収集、ツールの選定・実装の知見やリソースを持っている場合
クラウドでセキュリティを高める方法
- 設計・構築時
- 移行後
おわりに
- 資料ダウンロード

はじめに

オンプレミスでは、自社、またはデータセンターにサーバーなどを設置してユーザー企業が独自に管理・運用します。自社ですべての責任を負う必要があり、開発やインフラの整備にコストがかかるのが難点です。
一方、クラウドサービスは開発・インフラ整備のコストが抑えられるものの、「セキュリティ面を考えるとオンプレミスを選ばざるをえない」という企業もあるでしょう。

今回は、クラウドサービスとオンプレミスを、セキュリティの観点から比較しました。自社にはどちらが向いているかの判断にお役立てください。

責任範囲

まず、両者の責任範囲をそれぞれ確認しましょう。

クラウドサービスの場合

クラウドサービスでは、クラウドサービスプロバイダーが用意したITリソース（サーバーやネットワーク、ソフトウェア）を、ネットワーク経由で利用します。アクセス制限・ファイアウォール・脆弱性管理などのセキュリティサービスもクラウドサービスプロバイダーが提供します。これらのITリソースはほかのユーザーと共有するのが一般的です。

クラウド基盤を構成するインフラはすべてプロバイダーの管理下にあり、ユーザー企業は直接クラウド基盤を管理しません。相乗りしているユーザーが極端に負荷のかかる処理を行い、クラウドサービス全体のパフォーマンスが低下したとしても、ユーザー側でできることはありません。

クラウドサービスによって責任範囲は異なりますが、基本的なセキュリティ機能は提供されています。プロバイダー側がミドルウェアの管理・運用もするマネージドサービスまで提供されている場合は、ユーザー企業が基盤および基本的なソフトウェアに対するセキュリティ対策を取る必要はありません。

クラウド自体のセキュリティはプロバイダー側が責任を負い、ユーザーデータ・ID・クライアントデータなどクラウド内で扱う情報のセキュリティに関してはユーザー企業が責任を負うことになります。

オンプレミスの場合

オンプレミスの場合、ユーザー企業がセキュリティを含めたすべての側面で責任を負います。サーバーや、ファイアウォール・侵入検知システムといったセキュリティ機器は、ユーザー企業が購入しなければなりません。また、OSやミドルウェアのバージョンアップ、セキュリティパッチ適用もユーザー企業が行います。

障害時や災害時の信頼性

セキュリティ対策を万全にするには、障害時・災害時も想定する必要があります。障害時・災害時には、どの程度の信頼性があるのかそれぞれ確認しておきましょう。

クラウドサービスの場合

クラウドサービスの場合、何らかの障害が起きてもユーザー企業がトラブル対応を行う必要はありません。ただし、クラウド基盤に障害が起きたときは、サービスが止まってしまいます。クラウド基盤については自社で復旧作業ができるわけではないため、サービスが復旧するのを待つほかありません。このような事態を回避するには、複数リージョンに跨る構成を組んで予防するのが得策です。

また、主要なクラウドサービスのデータセンターは堅牢で高い可用性をもった設計になっているため、火災や洪水といった災害時のサービス停止のリスクは低いといえます。

オンプレミスの場合

オンプレミスの場合、自社またはデータセンター（以下DC）内に、サーバー・回線・ソフトウェアなどを設置し、システム構築・運用・管理をすべて自社で行います。そのため、他社が起因する障害に巻き込まれることはあまりないでしょう。しかし、DCの電源障害やネットワーク障害が起こらないとも限りません。このような障害が発生した場合には、自社内で対処する必要があります。

オンプレミスでサーバーを運用する場合は、火災・洪水・地震などの災害に備えて、別ロケーションのDCに災害時のバックアップシステムと同期の仕組を用意し、リスク回避をしておくことが重要です。

オンプレミス利用が向いている場合

オンプレミスとクラウド、どちらが適しているかは企業によって異なります。クラウドも一定水準のセキュリティが担保されているため、それほど高いセキュリティ要件を求めない場合にはクラウドでも十分運用できるでしょう。

では、オンプレミスはどういった場合に向いているのでしょうか。ポイントは次の2つです。

機密情報を扱っていて、（情報の物理的な保管場所要件など）独自のセキュリティ要件が求められる場合
日々アップデートされるセキュリティ情報の収集や、セキュリティツールの選定・実装などに必要な知見やリソースを十分に持っている場合

また、オンプレミスにするには開発コストやインフラコストを負担できることが大前提となります。上記2つのポイントをそれぞれ確認しましょう。

機密情報を扱い、独自のセキュリティ要件を求められる場合

例えば、金融業界など機密情報の扱いに厳しい要件が問われる企業にとって、万が一情報が漏れてしまうと、莫大な損失につながったり、顧客の財産などに危険がおよんだりする可能性も否めません。機密情報が保存されているサーバーは、「物理的なセキュリティ面でも〇〇の要件を満たす場所に置かなければならない」など、より堅牢で独自のセキュリティ要件を求められる場合には、クラウドサービスよりもオンプレミスが向いています。

情報収集、ツールの選定・実装の知見やリソースを持っている場合

セキュリティ面に限らず、オンプレミスではすべての責任をユーザー企業が負うことになります。ツールの選定や実装はもちろん、アップデートやメンテナンス、トラブル修繕などすべてユーザーが行わなければなりません。

カスタマイズ性が高いオンプレミスは、追及すればどこまでもセキュリティを高めることができますが、逆にいえば、知見や技術力のリソースが不十分だと一定水準以下になる可能性もあります。安全な状態を保つためには、常に情報収集することが必要不可欠でしょう。

クラウドでセキュリティを高める方法

自社内に十分なITリソースや知見がない場合、あるいはコストを抑えたスモールスタートで始めたい場合にはクラウドサービスの利用が適しています。これまでも触れたように、クラウドサービスでも一定水準以上のセキュリティが整っていますが、さらに高いセキュリティレベルを求める場合には自社でセキュリティ対策を行う必要があります。
この章では、クラウドサービスを利用する際、どのようにすればセキュリティを高められるのか、主なセキュリティ対策の方法をフェーズ・レイヤごとにご紹介します。

なお、利用するクラウドサービスの種類（IaaS・PaaS・SaaSのどれか）によっても責任範囲は異なります。セキュリティ対策を行う場合には、ベンダーとの責任範囲の違いを理解して、IaaS・PaaS・SaaS、それぞれに適した対策を検討しましょう。

設計・構築時

設計・構築時における、セキュリティを高める方法としては、レイヤごとに以下のようなものがあります。

データ、コンテンツ

IaaS・PaaS・SaaSのどのサービスでも、データやコンテンツに関しては自社でセキュリティ対策を行います。ログインIDやパスワードのポリシー設定、データ・コンテンツへのアクセス制限、データの暗号化といった対策が有効です。

アプリケーション

IaaS・PaaSの場合、アプリケーションの領域も自社でセキュリティ対策を行います。 SQLインジェクション攻撃・クロスサイトスクリプト攻撃など、アプリケーションの脆弱性をついた攻撃を防ぐためのセキュアプログラミングが重要です。また、定期的な脆弱性診断・マルウェアスキャンも実施しましょう。

ミドルウェア

IaaSの場合、ミドルウェアの領域まで自社でセキュリティ対策を行います。ミドルウェアに対しての迅速なセキュリティパッチの適用や、適切な権限設定でセキュリティ対策を行いましょう。また、IPS（不正侵入防御システム）の導入も有効です。

OS

脆弱性のない最新バージョンによる構築と、適切な権限設定を行いましょう。

ネットワーク

セキュリティグループや仮想ネットワークを定義しアクセス制御を行う、また、インターネットVPNや閉域網を利用し通信を保護する、などが有効です。

クラウドサービスでは、ハードウェア・ネットワーク、サービスの運用保守はプロバイダーの領域となります。とはいえ、外部からの定期的な診断や、SSL証明書・SSHなどにより通信の暗号化をすることでセキュリティを高めることができます。

移行後

クラウドサービスへの移行後には、定期的にセキュリティ監査を実施し、以下の対策も行いましょう。

アプリケーション

不正アクセス防御、WAF、定期的な脆弱性診断

ミドルウェア

脆弱性パッチ適用、定期的な脆弱性診断断

OS

脆弱性パッチ適用、定期的な脆弱性診断

おわりに

今回は、セキュリティの観点からクラウドサービスとオンプレミスの比較を行いました。
クラウドサービスは、オンプレミスよりもセキュリティ面が脆弱な印象がありますが、実際のところはその限りではありません。

さまざまな分野の企業が利用しているため、ほとんどのクラウドサービスは一定水準以上のセキュリティを担保しています。また、自社内にITリソースや知見がなければ、オンプレミスでもセキュリティは低くなるでしょう。

それでも不安な場合には、クラウドサービスを利用する際、IaaS・PaaS・SaaSそれぞれに適した対策を取ることでセキュリティをさらに高められます。
クラウドサービスに移行するときには、扱うデータや情報の価値（重要度・公開レベル）、またそれらが万が一漏えいしたときのリスク（機会損失の有無・信用損失の有無）なども整理することが重要です。これにより、どの情報に対してどれくらいのセキュリティ対策が必要か明確になり、クラウドサービス利用の障壁も下がります。

コストや運用の手間を考えてもクラウドサービスはメリットが多いといえます。セキュリティ面の不安点を解消し、コストを抑えながら自社システムの運用を進めましょう。

もし、これらの対策を自社だけで実施するのが難しい場合は、当社にお気軽にご相談ください。

サーバーOSやミドルウェアのセキュリティパッチ適用や、ファイアーウォールのルール管理・設定、データ保全（バックアップ設計、実装）といった日々のセキュリティ運用から、Webアプリケーションの脆弱性診断、Web改ざん防止、SOCアウトソーシングまで、「被害の最小化」「多層的防御」「インシデント原因の特定と再発防止」をトータルでサポートさせていただいております。

詳しくは以下のカタログをご参照ください。