クラウドコンピューティングに対応できなくなった従来型Webサイトセキュリティ

導入スピードと高いスケーラビリティ、初期コストが安くインフラ管理も不要、というクラウドコンピューティングサービスの大きなメリット。

しかしそれと引き換えに、多くのパブリッククラウド環境(IaaS/HaaS)では、クラウドサービスを提供する事業者がサーバ本体/周辺ハードウェア/ネットワーク接続の全てを統一的にコントロールしており、利用者は通常、あらかじめ用意された仮想サーバの組み合わせという形でしかこの環境を利用できません。

このため、利用者が独自に物理的な機器を設置できない場合がほとんどで、セキュリティについても、Webサービスをクラウド環境に移行する際、それまで利用していたファイアウォールやIDS/IPSなどの各種セキュリティ機器を利用し続けることは原則としてできなくなってしまいます。

クラウド時代のWebアプリケーションセキュリティの課題

攻撃の高度化、被害の深刻化に伴い、より確実な対応が求められる“Webアプリケーション”の脆弱性対策についても同様です。

最近では、開発者のセキュリティ教育や脆弱性診断だけでなく、稼働中のWebサービスに潜む脆弱性を無害化するWAF(Webアプリケーションファイアウォール)が、攻撃防御の決め手として注目されています。

しかしクラウド環境の場合、従来多く利用されてきたアプライアンス型のWAFではハードウェアの設置自体ができません。ソフトウェアインストール型WAFの場合も、クラウド上では必要な環境整備が難しいことも多く、導入の障壁となっています。

【図】クラウド移行と従来型WAF

とはいえ、クラウド環境下においても、SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションへの攻撃リスクはもちろん従来と変わらず存在します。

たとえWAFに高額な初期費用と調整/運用コストを投入できる場合であっても、通常のクラウドサービスメニューの中ではなかなか利用できない、という新たな問題がクラウド時代の宿命として発生しているのです。