クラウド環境のセキュリティ対策
クラウド時代の到来とともに、Webサイトセキュリティにも大きな技術的変化が求められています。
クラウドコンピューティングに対応できなくなった
従来型Webサイトセキュリティ
短期間でのスピード導入と高いスケーラビリティ、初期コストが安くインフラ管理も不要という、クラウドコンピューティングサービスの大きなメリット。
しかしそれと引き換えに、多くのパブリッククラウド環境(IaaS/HaaS)では、クラウドサービスを提供する事業者がサーバ本体/周辺ハードウェア/ネットワーク接続の全てを統一的にコントロールしており、利用者は通常、あらかじめ用意された仮想サーバの組み合わせという形でしかこの環境を利用できません。
このため、利用者が独自に物理的な機器を設置できない場合がほとんどで、セキュリティについても、Webサービスをクラウド環境に移行する際、それまで利用していたファイアウォールやIDS/IPSなどの各種セキュリティ機器を利用し続けることは原則としてできなくなってしまいます。
クラウド時代のWebアプリケーションセキュリティの課題
攻撃の高度化、手口の巧妙化、被害の深刻化と大規模化に伴い、より確実な対応が求められる“Webアプリケーション”の脆弱性対策についても、クラウド環境下では、これまでと同じ手法が通用しなくなります。
近年では、開発者のセキュリティ教育の底上げや脆弱性診断など、Webアプリケーションに脆弱性を作り込まない体制作りに加えて、稼働中のWebサービスに潜む脆弱性を無害化するWAF(Webアプリケーションファイアウォール)が攻撃防御の決め手として注目され、広く普及しています。
しかしクラウド環境の場合、従来多く利用されてきたアプライアンス型のWAFではハードウェアの設置自体ができません。ソフトウェアインストール型WAFの場合も、クラウド上では必要な環境整備が難しいことも多く、導入の障壁となっています。
クラウド環境下においても、SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションへの攻撃リスクは従来の環境と変わりません。
クラウドサービスを提供する事業者が用意したWAFを利用できる場合もありますが、機能面や運用上の理由でこれまでと同様のセキュリティを担保できないという新しい問題も発生しています。
例え、WAFに十分な費用と調整/運用コストを投入できる場合であっても、通常のクラウドサービスメニューの中では、それに見合った防御性能を実現できず、攻撃リスクが従来よりも高まってしまう可能性もあるのです。