share facebook facebook2 twitter menu hatena pocket slack

2016.01.18 MON

クラウドはセキュリティ的に危ないのか、をかみ砕く

WRITTEN BY齊藤 愼仁

DSC_0986

シンジです。このプレゼン資料、やたら反響があるのは嬉しい限りなのですが、プレゼン資料なので読み物としてはいまいちだなーと思いました。というわけで、結局何が言いたいんだってところをまとめましたので是非再度ご覧下さい。

ちなみにそのプレゼンはこちら

クラウドはセキュリティ的に危ないのか | ロードバランスすだちくん
http://blog.animereview.jp/keynote-security-cloud/

そもそもセキュリティの力と、エンジニアとしての力は絶対に比例しない

IT企業で無くても、誰しもが一定のセキュリティリテラシーを持っています。セキュリティという単語がカバーする範囲は広すぎて、ITっぽくいうなら、「今日からお前はプログラマーな」「言語?全部だろ」ぐらいなイメージで間違いないです。これからあなたがセキュリティを意識するなら、専門化である必要はありませんし、少しずつ会社や自分に合わせたセキュリティ対策を考えていけばいいのです。完成形は、会社・組織・同僚達が、同じ意識を持つことにあります。その一歩を踏み出すのが、あなたであるというだけの話しです。

そもそもセキュリティとは何なのか

みなさんの中でのセキュリティとは何ですか?立ち位置によって全然違いますよね。プログラマーであればプログラムの脆弱性を気にするかもしれませんし、情シスであればミドルウェアの脆弱性とかでしょうか。外部からの攻撃を防ぐために、WAFやIPS/IDSを運用している方もいるかもしれません。しかし、そんな小難しい話しはとりあえず置いておきましょう。
例えばおうちのセキュリティ、どうされてますか?鍵をかけるとか、不在の時でも電気をつけるとか、いろいろありますよね。でもここでいうセキュリティとは、「情報セキュリティ」の事を指します。

情報セキュリティとは何なのか

きちんと定義があります。

  • 機密性
    アクセスを認可された者だけが、情報に確実にアクセスできること

  • 完全性
    情報資産が完全な 状態で保存され、内容が正確であること

  • 可用性
    情報資産が必要になったとき、利用できる状態にあること

この3本柱です。とにかく全ての情報資産に対して、この3つを適用させることが、情報セキュリティを高めることに繋がります。さて問題が出てきます。具体的に何をすれば良いのでしょうか。

何事にも基準が必要

会社規模、目標値もそれぞれ大きく違います。どういったセキュリティ基準を設けて、どこに適用するのかを明確にしなければなりません。大手企業さんであれば、自社のセキュリティ基準を設けていたりする場合がありますが、多くの会社にはこれがありません。そこで便利なのが「外部監査」です。

プライバシーマークについて理解する

国内では有名な外部監査基準です。ただし、これは日本国内にのみ適用される国内基準であることも理解することが大事です。プライバシーマーク制度とは、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定する制度の事を言います。

前述したとおり、「どんなセキュリティ基準を」「どこに適用するか」という視点で考えて下さい。プライバシーマーク制度は、個人情報についての安全に取り扱える基準を、会社全体に対して適用する制度です。さて、プライバシーマークを取得している会社はセキュリティ的な観点で見て安全な会社だと言い切れるでしょうか。あくまで個人情報の部分だけですよね。そして、プライバシーマークを取得していない会社よりは安心かもしれませんよね。企業間取引では、「御社はプライバシーマークを取得されていますか?」と聞かれることもあるかもしれません。認知度が高く、個人情報を取り扱う上での一定の基準となる事は明白です。ではもっと範囲の広いセキュリティ基準が無いか気になるところです。

ISMS ISO 27001:2014について理解する

ISMSとは、「情報資産を守りながら、リスク軽減を行いましょう」という適合性評価制度です。そしてこちらは国際基準となります。情報資産とは何かを明確にして、どのようにして保護するか。リスクとは、中期計画目標を達成させようとしたとき、それを阻害する要因の事を指します。これを軽減しましょうということです。特にこの監査で指摘されるのは、ISMSを確立、導入、運用、監視、見直し、維持し、有効に機能させなさい、という点です。要するに、PDCAサイクルを回しなさい、それを評価しなさいということです。

ISMSはどの範囲に適用するか、決めることができます。cloudpackでは全社で適用しています。ISMSがあると、会社はかなり変わります。例えばデスクの上に個人情報(名刺など)が無いかチェックしましょう(クリアデスク)とか、社内のインシデント対応をしましょう(毎週委員会を開いて議論する)とか、日々の積み重ねがとても大事になります。もっと技術的な言い方をすれば、「よし、このウェブサイトはWAF入れたから安全だー」ではなくて、そのWAFがどの様に運用されていて、機能しているか、PDCAサイクルが回されているかを評価するというわけです。

ではISMSを取得している会社はセキュリティ的に安全か、といえば、そうでは無いですよね。ISMSは自社のルールを確立して運用されているかを見るだけであって、具体的な部分には踏み込みません。例えば、クレジットカード番号を取り扱うサーバーの状態が安全かどうか、プログラムに脆弱性が無いか、という具体的な部分です。

PCI DSS Version 3.1について理解する

サーバーに攻撃を受けて、個人情報が漏洩する事件って、よくありますよね。もはや日常茶飯事すぎて、なんとも思わなくなってしまった感じもあります。これ、攻撃を受けた担当者も同じだと思いますよ。たぶんこう思ってるんだと思うんです

「たぶんウチは大丈夫(根拠は無いけど)」

その根拠を作るよい基準がPCI DSSです。PCI DSSとは、クレジットカード会社の大手5社が策定した国際的なセキュリティ基準です。クレジットカードと言っていますが、クレジットカードを取り扱わない業者でも取得することが出来ますし、取得することに大きなメリットもあります。
なぜなら、PCI DSSの要件はかなり具体的で、

  • 実装するWebアプリに脆弱性が無いか徹底的に叩かれる
  • 実装するインフラに脆弱性が無いか全設定項目を見られる
  • ミドルウェアなどにパッチがリリースされたら、1ヶ月以内に適用している事を証明しなさい
  • カード会員データを扱うシステムは、ほかのシステムと完全に分離しなさい

などなど、400項目以上の要件から定義されています。そしてPCI DSSの要件は全て公開されています。PCI DSSを取得するのは難しくても、自社でのセルフチェックにも活用出来ますよね。PCI DSSを取得している会社で、万が一情報漏洩した場合、クレジットカード会社に支払うお金、これが免責される事があります。対外的にもセキュリティ意識の高さをアピールできますし、非常に有効な基準であることは間違いありません。

ただし、PCI DSSにも注意点があります。それは、

  • PCI DSSは、既存のシステムと分離しなさいと言われるため、既存のシステムを対象外にできる
  • 毎年の監査、継続監査は運用状況も監査されるので大変
  • 継続監査でパスしている企業は2割程度しかいないようです

なかなか一筋縄ではいきませんね。では、「この基準をやっておけば間違いない」という外部監査基準は無いのでしょうか。

SOC 2について理解する

まさに史上最強のセキュリティ外部監査、それがSOC 2です。SOCとは、米国公認会計士協会(AICPA)が定めたサービス組織(Service Organization Control)の統制に関わる 評価業務の仕組みのことを言います。まず、

  • SOC 1
    主に財務監査

  • SOC 2
    セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシー、これのどれか1つ以上

  • SOC 3
    SOC 2の内容を簡素にして、公開文章にしたもの

と、3種類あり、それぞれ役割が違います。今回はセキュリティにフォーカスしたいのでSOC 2なのですが、更にtype 1とtype 2の2種類があります。

  • type 1
    とある1日を切り出す

  • type 2
    とある3ヶ月以上を切り出す

ということで、type 2の方がボリュームが多くなりますが、まず狙うならtype 1からということで、cloudpackではSOC 2 type 1を取得しています。

SOC 2の何が凄いか、やってわかったこと

セキュリティを担保するということは、会社を守ることに繋がります。とあるサーバーの安全性を担保する事が目的では無くて、その会社に勤める人達を全て悪者として見てみたときに、どんな事が起きるか、対処できるのか想定して話しを進めることになります。多くの会社は性善説で成り立ってる部分があると思いますが、SOC 2では性悪説が前提となります。ちょっと考えてみて下さい。全ての環境(物理的なオフィス環境、サーバー環境、それら全ての環境)にアクセスできる人がいるとして、その人が破壊活動や情報漏洩を行ったとして、会社はどう対処できますか?それを考えられる全てのシチュエーションで対処出来るように仕組みを作り、運用するのが、SOC 2の大前提となります。

厳しい監査を受ければ、だから安全だということではありません

SOC 2で特に求められたのは、企業としての「透明性」でした。その会社が何をしている会社で、どんなことをやっていて、何ができていないのか、全て文章化して公開しなさいということでした。SOC 2のレポートには、監査員のコメントが入って、それをcloudpackのお客様に提出することができます。それも読み物です。

セキュリティは大変範囲が広く、何からどう手を付けるべきか難しい事案だと思います。パッチを当てるとか、脆弱性診断しているとか、そういうことも大事ですが、それを文章化し、公開して、透明性を高めること。隠したいということは、何かリスクがあるということ。可能な限り公開して、全社として意識を高めていく。事業の透明性を高めることが、結果として高いセキュリティが担保されるようになり、クラウドサービスを使う側も売る側も、安心安全なセキュリティに繋がっていくと信じています。

元記事はこちら

クラウドはセキュリティ的に危ないのか、をかみ砕く

齊藤 愼仁

cloudpack 社内インフラ担当、情報セキュリティ責任者。HPCを経て現職に至る。無類の猫好きで、すだち君という名の猫を飼っている。