クラウドストレージは、ビジネスユーザーにもホームユーザーにも人気のサービスとなっています。Amazon S3、Box、Copiun、Thruなどのサービスは、ユーザーが簡単に文書やファイルをバックアップ、同期、保存できる豊富な機能を備えています。
一般消費者がこのようなサービスを利用する際に多くの懸念を抱く必要はありませんが、組織がクラウドストレージサービスを選択する際には、暗号化からデータライフサイクル管理まで、多くのセキュリティ面に対処する必要があります。企業の新たな分野では、クラウドベースのストレージを実装するための制御を定義するだけでなく、アクセス方法を定義して制御することに重点を置いています。
本稿では、クラウドストレージのアクセス制御がなぜ重要な問題なのか、また、クラウドストレージのアクセス制御やアーキテクチャを開発・実装する際に組織が考慮すべき点について説明します。 また、クラウドプロバイダーにおけるアクセス制御の評価方法についても説明します。
クラウドストレージのアクセス制御対策
アクセス・コントロールの管理は、クラウド・プロバイダーの管理者とビジネス・ユーザーの双方にとって主要な関心事であるべきです。 例えば、Jacob Williams氏はBlack Hat Europe 2013で、Dropboxのマルウェア配信、コマンド&コントロールの問題について発表し、クラウドリポジトリへの自由なアクセスが危険であり、データ侵害につながる可能性があることを示しました。
2012年、Mat Honanのicloudアカウントが乗っ取られましたが、この流出事件ではソーシャルエンジニアリングの技術が使用され、キーボードプロファイリングが関与していた可能性があります。一方、この事件の結果として、アクセス・コントロールの問題については、消費者中心の事例が多く残っています。クラウドストレージに誰がアクセスできるか、どのようにアクセスできるか、どこからアクセスできるかを制限することは、クラウドストレージソリューションを評価する際に、すべて優先事項として考慮されるべきです。
-企業がクラウドストレージサービスを導入する際に、アクセス制御の仕組みに関して注意すべき点を以下に列挙します:
-管理ツールやその他の管理アプリケーションによって保存されるユーザーパスワードは、暗号化された形式を使用していますか? 暗号化されたフォーマットが使用されている場合、そのタイプは何ですか?暗号化されたフォーマットは定期的にテストされていますか? さらに、ストレージ管理アプリケーションで許可されているパスワードの長さ、種類、期間について、どのように設定され、実施されていますか?
-クラウド・ストレージ・インフラストラクチャはどのような種類のセキュアな接続をサポートしていますか?一般的なセキュア通信プロトコルをサポートしていますか?SSLv3、TLS、SSHなどですか?
-アクティブなユーザのセッションはタイムアウトしますか? 妥当なタイムアウトがないと、アイドルクライアントのエンドポイントではセッションハイジャックの危険性がかなり高くなります。
管理ツールは複数の管理者設定をサポートし、きめ細かなセキュリティ・レベルを提供します。 アプリケーション・アクセスの管理とクラウド・ストレージの構成は、時間、日付、および機能に基づくオプションを構成することによって、管理者のアクセスを制限する必要があります。 すべての管理者アクションは、監査と警告の目的でログに記録され、これらのログは組織のセキュリティチームが利用できるようにする必要があります。
クラウドストレージ管理アプリケーションは、きめ細かな役割と権限を定義する機能を持っていますか?職務の適切な分離を維持し、最小特権の原則を実施するためには、この機能は必須と考えるべきです。
これらの重要な問題に加えて、クラウドストレージインフラストラクチャのアクセス方法の全体的な設計とアーキテクチャを慎重に検討する必要があります。 企業が検討すべきアプローチの1つとして、ジョージア工科大学情報セキュリティセンターが「2014 Emerging Cyber Threats Report」で発表したクラウドストレージの新しいアクセス制御手法「CloudCapsule」があります。 CloudCapsuleは、ユーザーがクラウドストレージにアクセスするために使用できるローカルの安全な仮想マシンを利用し、データは自動的に暗号化されて送信されます。 このように、ユーザーのローカルシステムとクラウドサービスのデータ交換はある程度分離されており、クラウド環境に送信されるデータも自動的に暗号化されます。 GTISCが開発したモデルに従い、現在では多くの組織が、仮想デスクトップ・インフラストラクチャの仮想マシンからアクセスできるすべてのクラウド・ストレージ・サービスを、データ損失防止ポリシーを使用して制御およびスキャンできるようにすることを求めています。
クラウドストレージプロバイダに直接接続する暗号化ゲートウェイも人気が高まっています。 例えば、CipherCloud エージェントは Amazon の S3、RDS、EBS ストレージサービスに送信されるデータを自動的に暗号化し、Box などのストレージプロバイダに送信されるデータを自動的に暗号化することができます。 ホワイトリストや DLP エージェントなどのエンドポイントセキュリティツールも、クラウドストレージクライアントのインストールを制限するために使用することができます。Skyhigh Networksのような新しいウェブベースの監視ツールは、クラウドストレージサービスへのアクセスを監視・制御することができます。
プロバイダーコントロール
クラウドストレージのアクセス制御について、組織がどのように見ることができるかを明らかにしましたが、クラウドプロバイダーの環境内のアクセス制御対策も慎重に評価する必要があります。 クラウド・ストレージ・プロバイダーを評価する際には、適切に設定されたアクセス制御とデータ保護ポリシーのいくつかに注意してください:
第一に、管理者ユーザー、特にストレージ管理者は、ストレージコンポーネントや内部領域にアクセスする際、必要に応じて強力な認証方法を利用する必要があります。
プロバイダーのストレージ環境では、セキュリティ・パーティショニング、グローバル・コモンネームやiSCSI個別修飾名の値を超えたスイッチとホストのファブリック認証、ファブリック全体にわたるスイッチとセキュリティ管理の分離など、分離とセグメンテーションの技術をフルに活用する必要があります。
クラウド・サービス・プロバイダーはまた、各顧客のサービス・システムが、インターネット・アクセス、本番用データベース、開発・ステージング・エリア、内部アプリケーションおよびコンポーネント用に個別のファイアウォール・ゾーンを作成し、論理的にも物理的にもネットワークの他の部分から分離されていることを確認する必要があります。
はんけつをくだす
クラウドベースのストレージは組織に多くのメリットをもたらしますが、貴重なデータをクラウドストレージ・プロバイダーに転送する際には、無視できない多くのセキュリティ上の懸念があります。 ありがたいことに、クラウド・ストレージに対する適切なアクセス制御を確保できるセキュリティ・ベンダーが増えています。 組織が事前に準備し、前述の問題に確実に対処する限り、クラウド・ストレージは企業にとって大きなメリットになります。
