【第二回のびのび新卒研修記】クラウドセキュリティとHDE Oneとは?
皆さんこんにちは 。HDE 新卒のWinnyです。
「のびのび新卒研修記」と題した今回のシリーズでは、HDEのビジネスや各部署の仕事について、新卒研修で学んだことを連載方式で発信していきます。
今回の連載は、普段はIT業界とかかわり合いの少ない学生の皆さんに対して、HDEについてお伝えするという目的のもと、第一回目の前回はクラウドにについて取り上げました(前回の記事はこちら)。
第二回の今回は、クラウドセキュリティとHDE Oneとは?と題して、オンプレミスとクラウドにおけるセキュリティを取り上げ、HDE Oneについてもご紹介したいと思います!
クラウドセキュリティと聞くと、あまりイメージが持ちにくいかと思います。
今回の記事が、皆さんがクラウドセキュリティを理解する第一歩となり、HDE Oneについてイメージを持つための一助となれればと思っています。
目次
・セキュリティとは
・セキュリティ脅威
・セキュリティ対策
・オンプレミスでのセキュリティ対策
・クラウドでのセキュリティ対策
・HDE One
・まとめ
セキュリティとは
さて、そもそもセキュリティとはなんでしょうか?
なんとなく「安全であること」という漠然としたイメージをお持ちの方が多いかと思います。
情報セキュリティの世界では、セキュリティとは次の三つの基準を満たしている事だとされています*(注1)。
- 部外者に漏れない
- 部外者に書き換えられない
- 利用者は常に使える
セキュリティにはこの三つの側面があるのですが、少しイメージが湧きづらいので、みなさんもきっと使ったことのあるFacebookを例にとって考えて行きましょう。
1. 部外者に漏れない
例えば、Facebookに登録する際に、個人の名前、メールアドレス、パスワードなどを入力したかと思います。これらの情報が本人以外に漏れてしまわないようにするのが、セキュリティの1つ目の基準です。
2. 部外者に書き換えられない
2つ目の基準は、許可された人だけが変更できるはずの情報が、部外者に勝手に書き換えられないことです。Facebookで例えると、あなたの投稿が第三者に勝手に書き換えられないことです。
3. 利用者は常に使える
3つ目の基準は、サービスが必要なときにいつでも使える状態である事です。Facebookが悪意のある第三者によって攻撃された場合など、Facebookを使用できなくなってしまうことも考えられます。
FacebookのようなSNSであれば、多少アクセス出来なくても日常生活への被害は小さいかもしれません。しかし、銀行のATMなどのように、社会のインフラに関わるシステムが使えなくなってしまうと、とても困りますよね。
利用者が常に使える状態を保つことも、セキュリティの大事な側面です。
まとめると、
- 部外者に漏れない
- 部外者に書き換えられない
- 利用者は常に使える
上記の3つの状態が担保するのがセキュリティです。
そして、世の中には上記の3つの状態を脅かすリスクがあります。このようなリスクを引き起こす要因(原因)をセキュリティ脅威といいます。
セキュリティ脅威
世の中には様々なセキュリティ脅威がありますが、今回は代表的な以下の3種類のセキュリティ脅威を取りあげたいと思います。
- 外部攻撃の脅威
- 人為的ミスの脅威
- 自然災害の脅威
1. 外部攻撃の脅威
世の中には金銭の窃盗や、政治的・社会的な主張を行う目的で、他人の情報資産(データ)を盗んだり、サービスを停止させようと企む人たちがいます。
そういった人たちは、個人や企業、公的機関に対して、サイバー攻撃を仕掛けてきます。今日では、外部攻撃が日進月歩で高度化し、外部攻撃の脅威が高まっています。
2. 人為的ミスの脅威
外部からの攻撃とは別に、企業の内部にも脅威があります。
例えば、従業員が情報資産の入ったPCやUSBを紛失してしまい、そこから情報が外部に漏洩してしまう場合があります。
このように、企業の内部で発生する人為的ミスもセキュリティ脅威の一つです。
3. 自然災害の脅威
情報資産の多くはサーバー上に保存されているため、サーバーが物理的に壊れてしまうと、必要な情報資産にアクセスできなくなります。
残念なことに日本では地震や台風などの自然災害が多く、自然災害によってサーバーが被害を受けてしまうリスクを完全に排除することは出来ません。
セキュリティ対策
企業は、外部攻撃・人為的ミス・自然災害といった脅威から情報資産を守るために、様々なセキュリティ対策を行う必要があります。
セキュリティ対策と言うと、イメージが湧きにくいかもしれません。
しかし、みなさんもPCをお使いであれば、セキュリティ対策を意識したことがあると思います。
PCにセキュリティソフトをインストールしたり、怪しいメールのリンクに注意するなど、皆さんがお使いのPCで行っている対策も、れっきとしたセキュリティ対策です。
ただ、企業のセキュリティ対策は、個人のセキュリティ対策よりも対策すべき対象が広く、対策も多岐に渡ります。
というのも、企業は、会計システムや顧客管理システムなど、複数の情報システムを使用していますし、役職や部署の異なる従業員を抱えています。
そのため、情報システムの管理・運用や、ユーザーの情報資産の取り扱いに対して、セキュリティ対策を行う必要があります。
そして、前回紹介した「オンプレミス」と「クラウド」では、取るべきセキュリティ対策に違いがあります(オンプレミスとクラウドの違いについては前回のこちらの記事をどうぞ)。
オンプレミスは自社でサーバーを管理・運用する仕組み、クラウドはクラウド事業者のサーバー上のコンピューター資源をサービスとして利用する仕組みでした。
この違いゆえに、オンプレミスとクラウドでは以下の2点のセキュリティ対策において、違いがあります。
- サーバーの管理・運用におけるセキュリティ対策
情報システムが動くサーバーに対しては、外部攻撃・自然災害対策を行う必要があります。オンプレミスとクラウドでは、「誰が対策を取るか」が異なります。 - ユーザーの情報資産の取り扱いに対するセキュリティ対策
企業では「どのユーザーが、どの情報資産に対して、何ができるか」を管理する必要があります。そのためには、ユーザーの情報資産の取り扱いを管理する体制が必要ですが、オンプレミスとクラウドでは、管理の方法が異なります。
オンプレミスでのセキュリティ対策
1. サーバーの管理・運用におけるセキュリティ対策
オンプレミスでは守るべき情報資産は、自社で管理・運用しているサーバー上にあります。
そのため、サーバーを外部攻撃や自然災害の脅威から守るのは、サーバーを管理・運用している企業自身です。
外部攻撃対策として、サーバーのOSをアップデートしたり、サーバーの通信の出入り口を管理する必要があります。
同様に、自然災害対策として、予備のサーバーを準備したり、災害時の対応策を事前に策定するなど、企業自身が事前に対策を取る必要があります。
2. ユーザーの情報資産の取り扱いに対するセキュリティ対策
オンプレミスでは、情報資産が社内ネットワークの中にあります。
そのため、ユーザーが情報資産を取り扱う際の管理体制として、自社ネットワークの内部と外部を区別し、自社ネットワーク内部でユーザーと情報資産を管理することが一般的です。
裏を返すと、この管理方法は、ユーザーが自社ネットワークに入らないと情報システムにアクセス出来ない仕組みです。
クラウドでのセキュリティ対策
1. サーバー管理・運用に関わるセキュリティ
オンプレミスでは情報資産は自社ネットワーク内のサーバー上にありました。
これに対して、クラウドでは情報資産はクラウド事業者のネットワーク内のサーバー上にあります。
つまり、利用者はクラウド事業者にデータを預けている状態です。
その為、情報資産のあるサーバーを外部攻撃・自然災害から守るのはクラウド事業者です。
クラウドを利用する企業は、クラウド事業者に情報資産のセキュリティを任せることになるため、クラウド事業者の信頼性を精査する必要があります。
2. ユーザーが情報資産を扱う際の管理体制
オンプレミスでは、情報資産の管理のために、ユーザーの情報資産の取り扱いを、自社ネットワーク内に限定していました。
しかし、クラウドの場合、この方法ではユーザーによる情報資産の取り扱いを管理することができません。
というのも、情報資産はクラウド事業者のネットワーク内(=社内ネットワークの外)にあり、ユーザーはIDとパスワードさえあればインターネットのどこからでも情報資産にアクセスできてしまいます。
ユーザーは許可されていない私用のPCからでもクラウドサービス上の情報資産にアクセスできてしまうので、そもそも管理体制が成り立ちません。
そこでクラウドの場合は、ユーザーがクラウドサービスにログインする時に、何かしらの条件をつけ、条件に該当したアクセスだけを許可することで、ユーザーの情報資産の取り扱いを管理します。
この機能をアクセス制御といい**(注2)、アクセス元のIPアドレスや端末を区別するなどの方法で、制御をかけることが出来ます。
さて、これで万事解決に思われるかもしれませんが、実はクラウドならではの課題があります。
複数のクラウドサービスを利用する場合、それぞれのクラウドサービスに対してアクセス制御をかける必要がありますが、全てのクラウドサービスがアクセス制御の機能を備えているとは限りません。
そもそも企業は、オンプレミス・クラウド関係なく、複数の情報システムを利用しています(会計システム、顧客管理システム、コミュニケーションツールなど)。
オンプレミスでは、全ての情報システムは社内ネットワーク内にあり、ログイン時のユーザー情報を社内で一元的に管理出来ました。
ところがクラウドサービスでは、使用するサービスが別々のクラウド事業者によって提供されている場合、クラウドサービス毎にそれぞれ別アカウントでログインする必要があります。
Gmailを使う際はGoogleのアカウントでログイン、Dropboxを使う際はDropboxのアカウントでログインするイメージです。
この場合、それぞれのクラウドサービスに対してアクセス制御をかける必要が出てきますが、全てのクラウドサービスにアクセス制御の機能がついているわけではありません。
結果として、ユーザーのクラウドサービスへのアクセスを網羅的に管理することが出来ません。
この問題を解決するのが、複数のクラウドサービスへのログインを一つのクラウドサービスにまとめるシングルサインオン(SSO)という仕組みです。
SSOを使った場合、GoogleとDropboxへのログインを、Google のログイン一つにまとめるこができるため、Googleへのログイン時にアクセス制御をかけることで、Dropboxへのログインにもアクセス制御をかけることが出来ます。
このように、SSOとアクセス制御を組み合わせることで、クラウドにおいても、ユーザーの情報資産の取り扱いを管理することが出来ます。
勘の良い読者の方なら、もうお分かりかもしれません。
クラウドサービスに対してSSOとアクセス制御を提供しているのが、HDE Oneです!
HDE One
HDE Oneを使えば、各種クラウドサービスへのログインを取りまとめ、アクセス制御をかけることが可能です。そして、HDE Oneがシングルサインオンで連携しているクラウドサービスは、約60サービスにも上ります(2019年1月時点)。
HDE Oneでは、SSO連携しているクラウドサービスに対して、以下のような条件でアクセスを制御することが出来ます。
・社内の「固定IPアドレス」から
・「デバイス証明書」がインストールされた端末から
・事前にアクセスが許可され「入場証」を保持しているブラウザから
・使い捨ての「ワンタイムパスワード」が合致した時
今回はHDE Oneのアクセスコントロールをご紹介しましたが、HDE Oneにはアクセスコントロールの他に、メールの誤送信対策やアーカイブ、端末にデータを残さないセキュアブラウザなど、他にも複数の機能を持ち合わせています。
興味がある人は、こちらをどうぞ(HDE Oneのページへのリンク)。
まとめ
さて、今回はセキュリティとは何かという疑問から出発し、オンプレミスとクラウドにおけるセキュリティ対策の違いとHDE Oneをご紹介しました。
今回の記事を振り返ってみましょう。
いかがでしたでしょうか。
次回は、「HDE Oneのビジネスモデル・SaaSとは?」というテーマで、HDE Oneのビジネスモデルについて取り上げたいと思っていますが、
2019年2月1日の社名変更に伴い、次回のタイトルは「HENNGE Oneのビジネスモデル・SaaSとは?」になる予定です(HDE Oneのサービス名もHENNGE Oneに変更されます)。
それではまた!
(この記事は、諸々の概念を簡略化して説明しています。詳しくは、是非書籍などをあたってみてください。)
*注1:最近ではこの3つの基準に加えて、真正性、責任追及性、否認防止、信頼性など4つの基準が追加されています。
**注2: アクセス制御という言葉はクラウドに限らず、ユーザーのアクセスを制御する機能全般を指す言葉ですが、今回はクラウドサービスのアクセス制御という文脈で使用しています。
