EN

NRIセキュア ブログ

パブリッククラウドのセキュリティ設定ガイド|インシデントを防ぐ実践的なポイントを解説

目次

    クラウド環境を守る!セキュリティ設定の重要ポイント

    近年、多くの企業がIT基盤としてパブリッククラウドを採用しています。その理由は、オンプレミス環境に比べて導入コストが削減できることや、スケーラビリティの向上、インフラ管理の負担軽減といった大きなメリットにあります。しかし、パブリッククラウド特有のリスクも無視できません。特に、インターネットを介してアクセスされる特性上、サイバー攻撃による情報漏えいやサービス停止といった影響を受けやすい点が挙げられます。

     

    クラウド環境におけるセキュリティ対策にはさまざまな観点がありますが、特に重要な対策は、「開発・運用ユーザの認証強化」「管理ポートの通信制限」「ストレージ公開設定の適正化」の3点です。これらを適切に管理するだけで、クラウド環境のリスクを大幅に低減することが可能です。

     

    しかし、こうした対策を組織全体で徹底するにどのように運用していくべきか、また設定の確認をどのように行うべきか悩む管理者も多いのが現状です。CSPM(Cloud Security Posture Management)のように、クラウドサービスのセキュリティ設定状況を見える化し、不適切な設定などのチェック、アドバイスをしてくれる専用のソリューションを利用できない場合、効率的な別の手段を模索する必要があります。

     

    本記事では、クラウドにおけるインシデント事例を紹介し、その後、クラウドセキュリティに関するベストプラクティスを基にクラウドセキュリティの基本を踏まえた上で、「開発・運用ユーザの認証強化」「管理ポートの通信制限」「ストレージ公開設定の適正化」の対策を中心に、リスクを最小化するための実践的なアプローチをご紹介します。また、CSPMを導入できない環境においても実践可能で具体的なチェック方法についても解説します。

    パブリッククラウドのインシデント事例

    以下に、パブリッククラウドの設定不備が原因で発生したインシデント事例を3点ご紹介します。

    事例1 アクセスキーの窃取に起因する情報漏えい

    本事例では、オンラインサービスにて利用しているファイルサーバにおいて、アプリケーションの脆弱性を利用した不正アクセスによりアクセスキーを窃取されたことが原因で、サーバ上の一部の顧客会員情報(氏名、住所、電話番号など)が流出する事象が発生しました。アクセスキーはクラウドサービスへのアクセスを認証するための極めて重要な情報であり、これが漏えいすると、外部からの不正アクセスのリスクが高まります。

    事例2 クラウド管理コンソールの設定不備による情報漏えい

    本事例では、大手自動車メーカーの運営するAWS環境において、クラウド管理コンソールの設定不備(パスワード保護が不十分であったとされる)が原因で、AWS環境の仮想サーバに仮想通貨のマイニングスクリプトが埋め込まれる被害が発生しました。

    本事例で被害額は公表されていませんが、類似のインシデントでは数百万円以上のクラウドサービス利用料がクラウド管理者に請求されている事例もあり、また、コンソールからストレージサービス(S3)へのアクセスも可能であったことから、情報漏えいにつながる可能性もあったとされています。

    事例3 ストレージの公開設定不備による情報漏えい

    本事例では、ある大手自動車メーカーのクラウド環境の設定不備が原因で、子会社の管理を委託するデータの一部が、公開状態となる事象が発生しました。外部アクセスを遮断しましたが、約200万件のデータが10年近く公開状態であったとされています。今回の事例では、パブリッククラウドサービスの詳細などは公開されていませんが、クラウド上のデータを格納するストレージの公開設定の制限を誤ったことにより、内部データに不特定多数からのアクセスが可能であったと考えられています。

    パブリッククラウドにおけるセキュリティ対策のベストプラクティス

    パブリッククラウドは、情報漏えいリスクや、踏み台とされるリスクなど、不適切なアクセス管理やネットワーク構成の設定ミスが原因で、大きな被害を受ける可能性があります。

     

    パブリッククラウドのセキュリティ対策を行う際、パブリッククラウドサービス毎に提供される機能や設定が異なることから、ベストプラクティスを参考にして、利用するサービス毎に適したセキュリティ対策を実施することが重要です。以下に、パブリッククラウドに関するセキュリティのベストプラクティスをご紹介します。

    ISO/IEC 27017

    ISO/IEC 27017は、国際標準化機構(ISO)と国際電気標準会議(IEC)によって共同で開発された、クラウドサービスの情報セキュリティに関する国際規格です。この規格は、ISMS 構築の実践的なセキュリティ管理策を定めた ISO/IEC 27001に対し、特にクラウドサービスに関連した管理策を追加したものという位置づけとなっています。ISO/IEC 27017はクラウドサービスの提供者、利用者のそれぞれで要求事項を定めており、それぞれの立場で第三者機関によって認証されることで、顧客・利害関係者の信頼向上にも繋がります。

    CIS Benchmarks

    CIS Benchmarksは、Center for Internet Security(CIS)が策定した安全なシステム構成を実現するためのガイドラインです。AWSやAzure, Google Cloudのようなパブリッククラウドサービスをはじめ、WindowsやLinux、ネットワークデバイスなど幅広い対象に対応し、140以上のベンチマークが公開されています。具体的な設定方法や確認手順を記載していることから、自組織で利用するパブリッククラウドサービスにおけるセキュリティ設定の指針としても広く活用されています。

    パブリッククラウドサービスで共通的に確認すべき対策ポイント

    上記のインシデント事例からもわかるように、パブリッククラウドを安全に運用するためには、設定値や認証情報の管理など、セキュリティを考慮した対策を実施することが重要です。以降では、パブリッククラウドサービスとして広く認知されているAWS、Azure、Google Cloud、OCIにおいて共通するセキュリティ対策のポイントについて、特にリスクの高い項目として、「開発・運用ユーザの認証強化」「管理ポートの通信制限」「ストレージ公開設定の適正化」に着目して解説します。

     

    「開発・運用ユーザの認証強化」に関する設定は、アカウントの乗っ取りによる不正アクセスを防ぐための最も基礎的な対策です。多要素認証(MFA)の導入や認証情報の管理(アクセスキーを作成しない、作成する場合は定期的に変更する、など)を行うことで、攻撃者がシステムに侵入するリスクを低減できます。

     

    また、「管理ポートの通信制限」や「ストレージの公開設定の適正化」は、クラウドリソースとインターネットの境界において、外部からの不正アクセスを防ぐために重要です。適切なネットワークセグメントの設定や、アクセス制限など、クラウドリソースに対する適切な設定を行うことで、攻撃者がシステムに侵入するリスクを低減できます。

    以下に、実際の対策例を記載します。

    適切なパスワードポリシーの設定

    認証に関わるセキュリティ対策の一つとして、適切なパスワードポリシーを設定することも重要です。パスワードに関わる設定にはいくつか観点がありますが、中でも「最小文字数」と「再利用の禁止」について適切なポリシーを適用し、推測されにくいパスワードを設定することが重要です。

    多要素認証(MFA)の導入

    管理者アカウント・ユーザアカウントのログインにおけるMFAの導入は、クラウドを利用する上で守るべき基本的な対策の一つです。MFAが導入されていない状態、すなわち認証の3要素(知識情報、所持情報、生体情報)のうちID・パスワード(知識情報)など1要素のみで認証を行っている状態は、近年のログイン情報の不正取得による不正アクセス事例から見ても非常に脆弱であると言えます。環境によっては、MFAの導入を強制するポリシーの設定も積極的に取り入れることを推奨します。

    認証情報の管理

    パブリッククラウドサービスにおける認証手段の一つに、アクセスキー(AWS)やサービスアカウントキー(Google Cloud)などの鍵による認証方法があります。これは、プログラムやシステムがクラウドのAPIを利用する際などに利用されることがありますが、セキュリティの観点からは利用しないことを推奨します。

     

    理由として、アクセスキーは1要素のみの認証であるため、鍵が漏えいすると不正アクセスや情報漏えいのリスクに直結する可能性が高いことが挙げられます。業務上の理由などでアクセスキーをやむを得ず利用する場合は、定期的なキーの変更や、アクセスキーを有効とするユーザアカウントのアクセス権を最小限にするなどの対策を講じることを推奨します。

    管理ポートのアクセス制限

    パブリッククラウド上の仮想サーバにおいて外部との通信を許可する際、不特定多数から特定のプロトコルへの通信を許可している場合、攻撃の起点とされる可能性があります。例えば、保守や管理に使用されることの多いプロトコル(SSH/RDP)は、攻撃者にとっても狙いやすい侵入経路であると言えます。クラウドによっては、外部からの通信を無制限で許可するルールをデフォルトで設定している場合もあるため、このようなインバウンド通信を制限することが重要です。

    ストレージの公開設定

    AWSのS3やAzureのAzure Blob Storageなどのストレージサービスを利用する際には、公開設定の確認がセキュリティの観点から非常に重要です。これらのストレージは、Webに公開するコンテンツから機密性の高いファイルまで、様々なデータが格納されている可能性があります。ストレージの公開範囲の設定次第ではインターネット上から認証の必要なくアクセスできるようになってしまい、悪意のある第三者がデータにアクセスすることによる、改ざんや情報漏えいのリスクが高まります。

    そのため、ストレージサービスの公開範囲は必要最小限に設定し、公開範囲の設定変更時には誤った範囲になっていないかを入念に確認することが重要です。

     

    パブリッククラウドサービス別のセキュリティ設定の確認例

    上記で解説した観点を踏まえて、CIS Benchmarksで推奨される設定を基に、それぞれのパブリッククラウドサービスにおいて確認すべきポイントと確認方法をご紹介します。

    AWSにおける確認項目と確認方法

    確認項目

    確認方法

    AWSルートユーザ、IAMユーザのMFA

    認証情報レポートを出力し、ルートユーザ、IAMユーザのMFAが有効であることを確認

    AWSルートユーザ、IAMユーザのアクセスキーの作成禁止

    認証情報レポートを出力し、ルートユーザ、IAMユーザにアクセスキーが作成されていないことを確認

    IAMユーザのアクセスキーの有効期限(業務上必須の場合)

    認証情報レポートを出力し、IAMユーザのアクセスキー有効期限が90日以内であることを確認

    IAMパスワードポリシー(パスワード長、パスワード再利用防止)

    IAMのパスワードポリシーを表示し、パスワード長を14文字以上、過去24回分は再利用できないポリシーとしていることを確認

    管理ポートの通信制限

    ネットワークセキュリティグループの一覧を表示し、0.0.0.0/0から特定プロトコル(例えばポート22(SSH)、及びポート3389(RDP))など、不必要にインターネットからのインバウンド通信を許可するセキュリティグループが存在しないことを確認

    Amazon S3バケットの公開設定

    Amazon S3から、利用しているS3バケットを表示し、パブリックアクセスの設定やバケットポリシーが意図しない設定となっていないことを確認

    AWSのセキュリティ設定の特徴

    AWSは、サービスの多様性と柔軟なカスタマイズ性が大きな特徴です。たとえば、EC2、S3などの基本サービスから、Amazon GuardDutyやIAM Access Analyzer といったセキュリティ特化型のツールまで幅広く選択できます。また、AWS Security Hub を活用し、AWSが公開しているベストプラクティスに則り、リスクのある設定を検出することも有効です。

    Azureにおける確認項目と確認方法

    確認項目

    確認観点

    特権ユーザ、非特権ユーザのMFA

    2024/7より、ポータルログインにMFAが強制されたため、確認は不要

    パスワードポリシー

    デフォルトで「パスワードの最小文字数」は8文字、「再利用可能な過去パスワード数の世代管理」は1回(変更直前のパスワードのみ不可)と設定されており、変更不可であることを確認

    管理ポートの通信制限

    NSGの一覧を表示し、0.0.0.0/0から特定プロトコル(例えばポート22(SSH)、及びポート3389(RDP))など、不必要にインターネットからのインバウンド通信を許可するNSGが存在しないことを確認

    Azure Blob Storageの公開設定

    Azure Blob Storageで作成したコンテナを表示し、公開範囲が意図しない設定となっていないことを確認

    ※ストレージアカウントのアクセスキーを利用している場合は、最終更新日が90日以内に更新していることを確認

    Azureのセキュリティ設定の特徴

    Azureは、Microsoft製品との関連が強く、Active DirectoryとMicrosoft Entra IDで認証連携し、M365と同じ認証基盤でユーザを管理できることが特徴です。セキュリティの観点では、認証に関わるMFAやパスワードポリシーについてはAzure側デフォルト設定から変更できないよう管理されているため、他クラウドと比べ確認観点は少ないといえます。変更監視の観点では、Azure Security Centerなど利用し、クラウド上の脅威に対し迅速に対処する仕組みを構築することも有効です。

    Google Cloudにおける確認項目と確認方法

    確認項目

    確認方法

    多要素認証

    (Google Workspace/Cloud Identity)で管理している場合、ユーザ一覧を表示し、多要素認証が有効であることを確認

    個人利用の場合は、アカウントの設定からMFAが有効であることを確認

    パスワードの再利用禁止(Google Workspace/Cloud Identityで管理している場合のみ)

    管理者ログイン後、セキュリティ設定で、「パスワードの再利用を許可」にチェックが入っていないことを確認

    サービスアカウントキーの作成禁止

    サービスアカウントの情報を出力し、サービスアカウントキーが発行されていないことを確認

    管理ポートの通信制限

    ファイアウォール一覧を出力し、インターネットAny(0.0.0.0/0)から特定プロトコル(例えばポート22(SSH)、及びポート3389(RDP))など、不必要にインターネットからのインバウンド通信を許可するファイアウォールルールが存在しないことを確認

    Google Cloud Storageの公開設定

    Cloud Storageで、利用するバケットを確認し、権限設定が意図しない設定となっていないことを確認

    Google Cloudのセキュリティ設定の特徴

    Google Cloudは、VPC(Virtual Private Cloud)のデフォルト設定が外部からの不正アクセスを制限しているなど、初期設定がセキュリティ重視である点が特徴的です。また、Cloud IdentityやGoogle Workspaceなど、ユーザやアプリ、デバイスなどの一元管理を行う事が可能です。

     

    また、他クラウドとの違いとして、個人のGoogleアカウントでの利用が可能な点も挙げられる一方、組織としてセキュリティ統制を利かせる観点では、個人利用は非推奨と言えます。

    変更監視の観点では、Security Command Centerを活用して、クラウド全体のセキュリティ状況を一元的に把握し、脆弱な設定に気付ける環境を構築することも有効です。

    OCIにおける確認項目と確認方法設定

    OCI (Identity Domainsを利用している場合)※補足として記述

    確認項目

    確認方法

    MFAの強制

    ドメインの設定から、MFAを強制するサインオン・ポリシーが実装されていることを確認

    テナンシ管理者のAPIキー制限

    ドメインの設定から、管理者ユーザのプロファイルを確認し、APIキーが作成されていないことを確認

    パスワードポリシー(パスワード長、パスワード再利用防止)

    ドメインの設定からパスワードポリシーを確認し、パスワード長は14文字以上、過去24回分は再利用できないポリシーとしていることを確認

    管理ポートの通信制限

    セキュリティリスト、およびネットワークセキュリティグループの一覧を確認し、インターネットAny(0.0.0.0/0)から特定プロトコル(例えばポート22(SSH)、及びポート3389(RDP))など、不必要にインターネットからのインバウンド通信を許可するセキュリティリスト・ネットワークセキュリティグループが存在しないことを確認

    オブジェクトストレージの公開設定

    オブジェクトストレージから、利用するバケットを確認し、意図しない公開設定となっていないことを確認

    OCI (Identity Domainsを利用していない場合、OCI IAM、IDCSによる運用)

    確認項目

    確認方法

    MFAの強制

    OCI IAMのポリシー、もしくはIDCSのサインオン・ポリシーで、MFA利用を強制し、リソースへのアクセスを制限していることを確認

    テナンシ管理者のAPIキー制限

    Administratorsグループの設定から、各管理者メンバーのプロファイルを確認し、APIキーが作成されていないことを確認

    パスワードポリシー(パスワード長、パスワード再利用防止)

    OCI IAM、もしくはIDCSのパスワードポリシーを確認し、パスワード長は14文字以上、過去24回分は再利用できないポリシーとしていることを確認

    管理ポートの通信制限

    セキュリティリスト、およびネットワークセキュリティグループの一覧を確認し、インターネットAny(0.0.0.0/0)から特定プロトコル(例えばポート22(SSH)、及びポート3389(RDP))など、不必要にインターネットからのインバウンド通信を許可するセキュリティリスト・ネットワークセキュリティグループが存在しないことを確認

    オブジェクトストレージの公開設定

    オブジェクトストレージから、利用するバケットを確認し、意図しない公開設定となっていないことを確認

    OCIのセキュリティ設定の特徴

    OCIは従来、OCI IAMとIDCS(Identity Cloud Service)の2種類のIAMサービスが存在していましたが、2022年、それらを統合した「OCI IAM Identity Domains」をサービス提供しています。

    そのため、Identity Domainsへの移行状況に応じて確認手順や管理方針を適切に調整することが重要です。例えば、セキュリティリストやネットワークセキュリティグループの変更通知といった項目では、移行状況に応じて通知設定や監査ログの活用方法が異なります。これらの違いを踏まえ、環境ごとに適した手順を明確にし、管理の簡略化とリスク低減を両立させる事が重要です。

    定期的なセキュリティチェックを実施する上での工夫

    ここまでにパブリッククラウドサービスで必要となるセキュリティの観点と具体的なチェック方法についてご紹介しました。しかし、いざ確認を実施するにあたり、担当者ごとに確認手順が異なる、確認範囲が広すぎるなど、円滑に態勢を整えることも難しいのではないでしょうか。

     

    そこで、チェック業務を効率化し、効果的に進めるための工夫を以下に記載します。

    設定値や確認手順の文書化

    パブリッククラウドサービスのセキュリティ確認において、均一なセキュリティ品質を維持するためには、推奨する設定値や確認手順を明確にしておくことが重要です。担当者ごとに異なる方法で確認が行われると、セキュリティ品質にばらつきや、作業停滞が発生する可能性があります。

     

    そのため、あらかじめ推奨する設定値や確認手順を文書化し、手順書として共有することが効果的です。文書化された設定値は、担当者間での認識を統一するだけでなく、第三者が確認する際にも基準として活用できます。これにより、セキュリティ品質を担保しつつ、人的ミスの防止や業務の属人化を回避し、効率的で一貫性のあるセキュリティ設定の確認を実現することができます。

     

    また、クラウドサービスは頻繁にアップデートされ、新しいセキュリティ機能や設定項目が追加されることがあります。そのため、アップデートに応じて確認内容を更新することも重要です。

    ツールを活用したセキュリティ監視の効率化

    複数のクラウド環境を運用している場合、それぞれの設定を手動で確認するのは手間がかかります。クラウドサービスの設定を継続的に評価し、自動的にリスクをチェックするソリューション(CSPM(Cloud Security Posture Management))を導入することで、設定値を一元的に把握でき、問題点を迅速に特定できます。また、定期確認の自動化にもつながるため、長期的な運用コストの削減が期待できます。

     

    また、以下の通り、各パブリッククラウドサービスが独自でCSPM相当のサービスを提供しているため、それらの活用も検討することを推奨します。

    • AWS:AWS Security Hub
    • Azure:Microsoft Defender for Cloud
    • Google Cloud:Security Command Center
    • OCI:Cloud Guard

    さいごに

    本ブログでは、パブリッククラウドにおけるセキュリティ管理の確認に関する基礎的なアプローチをご紹介しました。クラウドにおけるセキュリティ対策は一度行えば終わりというものではなく、継続的に改善を図るプロセスが必要となってきます。それらを踏まえ、意図しない設定変更を防ぐための監視体制を整えるだけでなく、自動化されたセキュリティチェックや異常検知機能の活用にも注目することで、さらなるセキュリティ強化が期待できると考えられます。

     

    今回の内容が、皆さまのクラウド利用におけるセキュリティ強化の一助となれば幸いです。

     

    また、弊社では、クラウドセキュリティをテーマとした、クラウド環境のセキュリティリスク評価や、クラウドセキュリティ対策強化などのコンサルティング支援を広範的に行っています。

     

    本記事を基に、自組織のクラウドセキュリティ対策に対してご相談したいことがございましたら、ぜひ弊社コンサルタントにお声がけくださればと思います。