メインコンテンツまでスキップ

SC勉強記録2

· 約14分
長谷 錦

本日の勉強内容

  • クラウドコンピューティングと仮想化技術
  • テレワークとセキュリティ

クラウドコンピューティング

クラウドコンピューティング(クラウド)とは

インターネットなどのコンピュータネットワークを経由して、コンピュータ資源をサービスの形で提供する利用形態である。(Wikipedia)
クラウドサービスプラットフォームからインターネット経由でコンピューティング、データベース、ストレージ、アプリケーションをはじめとした、さまざまな IT リソースをオンデマンドで利用することができるサービスの総称です。クラウドサービスでは、必要なときに必要な量のリソースへ簡単にアクセスすることができ、ご利用料金は 実際に使った分のお支払いのみといった従量課金が一般的です。(AWS)

従来であれば、自社でサーバや各種ハードウェア、OS,アプリケーション、データ等を保有・管理(オンプレミス/オンプレ)していた。
クラウドサービスを利用することで、自社でハードウェア等の管理が必要なくなり、実際に利用した分のみの料金で済む。(絶対に安くなるわけではない)
スケールアップやスケールアウトも、基本的にオンプレより容易。

ちなみに、オンプレ/オンプレミスは英語で"on-premises"と書くらしい。
プレミス(premise)は「構内」「店内」の意味なので、自分の施設内で、という文字通りの意味のよう。

クラウドサービス

三つの提供形態

  • SaaS(Software as a Service):パッケージソフトウェアを提供。ユーザは必要なソフトウェアを選択して利用。
  • PaaS(Platform as a Service):アプリケーションの実行環境(プラットフォーム)を提供。ユーザは自身のアプリケーションを構築できる。
  • IaaS(Infrastructure as a Service):CPU、ストレージ等のインフラを提供。ユーザはOSやミドルウェア、ストレージ容量等を選択してサーバ環境を構築できる。

管理主体と管理内容

クラウドサービスの形態による管理主体と管理内容

ISMAP

ISMAP(イスマップ/Information system Security Management and Assessment Program)とは

政府情報システムのためのセキュリティ評価制度
政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することにより、調達におけるセキュリティ水準の確保を図り、円滑な導入に資することを目的とした制度。

シンクライアント

シンクライアント(thin client)とは

クライアント端末側では表示/入力などの必要最小限の処理のみを行い、ソフトウェアの管理や実行、データの加工編集など大半の処理をサーバ側で行う一連のシステム、あるいはそのような用途で使用されるクライアント端末。

クライアント側で多様な機能を実行する端末をファットクライアント(fat client)、シッククライアント(thick client)とも呼ぶ。

最近ではVDI技術を活用し、本来はファットクライアントであるPCを用途に応じてシンクライアントのように使用するのが一般的。

シンクライアントの実現方式

  • ネットワークブート型:クライアント起動ごとにネットワーク経由でOSやアプリケーションをサーバからダウンロードして実行
  • 画面転送方式:OSやアプリケーションはサーバ側で実行し、画面を端末に転送
    • サーバベース型:OSやアプリケーションを複数のユーザで共同利用
    • ブレードPC型:ユーザごとにブレードPCと呼ばれる専用のPCを用意
    • VDI型:仮想化技術を用いて、ハイパーバイザ上にユーザごとの仮想デスクトップ環境を用意(現在の主流)

ハイパーバイザ (hypervisor) とは

IBMが「オペレーティングシステム (OS)」と呼んだためにその用語が普及したが、一般にはOSのことをスーパーバイザとも言う。「ハイパー」という語は、「スーパー」のさらに上という意味で使われることが一般にあるが、ここではそのような意味で、OSをさらに管理する層、というような意味である。(Wikipedia) OSよりも上位(ハードウェア上)で動作し、ハイパーバイザ上に論理的に構成されたバーチャルマシン毎に複数のゲストOSを動作させることができる。

RBI

RBI(Remote Browser Isolation)とは

Web分離とも呼ばれ、PCに変わってWebブラウザ機能を実行し、その結果をPCに画面転送するセキュリティ対策。
PC上ではRBI専用の仮想ブラウザを実行。Webアクセスによってマルウェアに感染しても、その被害はRBI内に封じ込めることが可能。また、RBI環境は利用するたびに初期化されるため、マルウェア残存の恐れもない。

コンテンツ無害化によるWeb分離

RBIの一種。インターネット上のWebサイトと内部のクライアント端末との間にコンテンツを無害化するサーバが介在。
WebサイトからのHTML、スクリプト、動画、文書などの各種コンテンツは、いったんコンテンツ無害化サーバの仮想コンテナに読み込まれ、実行される。
その後、レンダリング処理によって安全な描画情報のみに置き換えられ、クライアント端末に送られる。
Webサイトのコンテンツに不正なプログラムやブラウザの脆弱性を悪用するファイル等が含まれていても、無害な描画情報に変換されるため、クライアント端末のセキュリティは確保される。

画面転送によるRBIでは、クライアント端末ではRBI専用のブラウザを使用する必要があるが、コンテンツ無害化によるWebアイソレーション方式では、標準的なブラウザをそのまま使用可能。

テレワーク

テレワークの形態

  1. 在宅勤務:自宅のインターネット回線など
  2. モバイル:外出先、移動中など
  3. サテライトオフィス:本社から離れた場所にある小規模なオフィス

テレワーク導入における検討事項

テレワーク導入における主な検討事項

テレワーク環境におけるセキュリティリスクは異なる。

テレワークの実施方式例

  1. シンクライアント画面転送型
  2. ファットクライアント型(VPN接続のみ)
  3. ファットクライアント型(VPN/インターネット接続併用)

テレワークPCに業務情報を保存せず、全てVPN経由となる1の方式がもっともセキュリティは高い
ただし、テレワークを組織全体で実施するような場合は、通信設備の大幅な増強が必要になる可能性がある。

2の方式では、テレワークPCに業務情報を保存するため、当該情報の流出や不正利用防止策、EDRによるエンドポイントセキュリティ強化など、1よりもセキュリティ対策として考慮すべき事項が増える
また、ネットワーク接続については1と同じだが、資料作成などの業務はローカルで実施可能なため、通信設備の負荷は1ほどは高くない。組織全体でテレワークを実施する場合には、通信設備増強が必要になる可能性が高い。

3の方式では、2と同様にテレワークPCに業務情報を保存するとともに、従業者の自宅などのインターネット接続回線やテザリングによって直接インターネットにアクセスするため、セキュリティ対策として考慮すべき事項はさらに増える。2に加えゼロトラスト、SASEなどの導入。
業務内容がクラウドサービスを含めたインターネットの利用主体であれば、VPNなどの設備については増強せず対応できる可能性がある。

ゼロトラスト

ゼロトラストとは

組織の情報システムを構成する各種機器やアプリケーション、ネットワーク、端末、ユーザなどは「いずれも安全ではない可能性がある」という考え方に基づいてセキュリティ対策を行う。
ユーザがアプリケーションに対して何らかのリクエストを発行するごとに、端末やユーザの信頼性を都度確認するなど。

従来からの考え方は、組織内部のネットワークは「トラスト」で、組織外のインターネットなどは「アントラスト」であるため、その境界をFWやVPN機器などで防御する。「境界防御モデル」と呼ばれる。クラウドサービスやテレワークの普及により、境界防御モデルでは対応が困難に。また、境界を突破されてマルウェアなどの侵入を許すと、内部ネットワーク全体に被害が拡大する可能性も。

NIST ZTA(Zero Trust Architecture)

NIST(National Institute of Standards and Technology:米国国立標準技術研究所)が、ゼロトラストに基づいた企業おけるサイバーセキュリティアーキテクチャのガイド文書として2020年8月に公開。

ゼロトラストモデルを実現するための7つの原則

  1. すべてのデータソースと情報処理サービスをリソースと見なす
  2. ネットワークの場所に関係なくすべての通信が保護される
  3. 組織の個々のリソースへのアクセスはセッションごとに許可される
  4. リソースへのアクセスは動的ポリシによって決定される
  5. 組織が所有及び関連するすべての資産のセキュリティを監視・測定する
  6. すべてのリソースへの認証と認可は動的であり、アクセスが許可される前に厳密に実施される
  7. 資産とネットワーク及び通信の状態に関する情報を可能な限り収集し、それを用いてセキュリティの改善を図る

ゼロトラストの実現方式

  • IDガバナンス拡張方式:クラウド上の認証プロキシがIDを一元管理。ユーザがアクセスする際に認証プロキシを経由させ、アクセス要求があるたびにIDや端末の状態を確認する。
  • マイクロセグメンテーション方式:サービスやアプリケーションごとにネットワークセグメントを小さく分割し、セグメント間の通信をFWなどで確認する。
  • ソフトウェア定義境界(SDP(Software Defined Perimeter))方式:コントローラがネットワークレベルで接続を管理する。SDPによって実現されるゼロトラスト志向の接続方式や、それを実装したサービス等はZTNA(Zero Trust Network Access)と呼ばれる。

SASE(Secure Access Service Edge)

クラウド環境において必要となる各種ネットワークサービスとセキュリティサービスを統合し、包括的なサービスとして提供するネットワークセキュリティモデル。数多くの技術やサービスによって構成され、利用者のシステム利用環境に依存しない各種ネットワークサービスとセキュリティサービスを提供。

SD-WAN(Software Defined - WAN)

物理的なWAN上に、ソフトウェアによって構築された仮想的なWAN。遠隔地にある拠点間のネットワークであっても、ソフトウェアによって一元管理できるため、ネットワークの運用管理を柔軟かつ効率的に行うことが可能。

SWG(Secure Web Gateway)

セキュアなWebアクセスを実現するクラウド上のプロキシサービス。コンテンツフィルタリング、アプリケーションフィルタリング、アンチウイルス、サンドボックス等の機能を提供。

FWaaS(Firewall as a Service)

クラウド上で提供されるSaaS型のファイアウォール。

ZTNA(Zero Trust Network Access)

ゼロトラスト志向のセキュアなネットワーク接続サービス。SDPによって実現。

RBI(Remote Browser Isolation)

Webブラウザの機能をクラウド上で実行し、その結果をPCい画面転送するサービス。

CASB(Cloud Access Security Broker)

クラウド環境におけるセキュリティ対策のコンセプト。可視化、コントロール、データ保護、脅威防御等の機能からなる。

CSPM(Cloud Security Posture Management)

クラウドサービス利用における設定ミス、設定不備、管理面の不備等によるセキュリティインシデントの発生リスクを低減することを目的とした状態監視機能や管理機能。
※Postureは、姿勢・態度・方針のような意味を持つ

DLP(Data Loss Prevention)

組織の機密データが外部に流出したり、持ち出されたりするのを防止するためのツールやサービス。

UEBA(User and Entity Behavior Analytics)

ユーザ等の行動や活動内容を各種ログや監視ツール等を用いて解析することで、通常とは異なる行動や不正行為と疑われる事象を発見する技術。