こんにちは、伊藤忠テクノソリューションズの山本です。一般的にはあまり認知されていませんが、実はサーバは前回解説したエンドポイントに分類されます。そのため、サーバにもアンチウイルスを導入してセキュリティ対策を行っている企業も多くあります。

　しかし、同じエンドポイントでもクライアントとサーバでは受ける攻撃の種類は異なり、必要な対策も変わってきます。また、ここ数年ではサーバ環境は大きく変化しており、それに応じた対策についても考慮しなくてはなりません。同じエンドポイントでも、サーバは別の観点でセキュリティを考える必要があります。

　今回はオンプレミスのサーバをクラウドシフトする際に、サーバ担当者が知っておくべきサーバーセキュリティについて解説します。

目次
1. サーバを取り巻く環境の変化
2. クラウドシフトに伴う課題
3. クラウドにシフトするサーバに必要なセキュリティ対策

1. サーバを取り巻く環境

　サーバ環境を取り巻く環境の変化と、これからのサーバセキュリティについて、簡単に解説します。

• 従来のサーバ環境
• クラウドシフト後のサーバ環境

1-1. 従来のサーバ環境

　従来、サーバはオンプレミスに構築し運用するのが一般的でした。オンプレミスとは、自社内にサーバやパッケージなどの資産を持ちシステムを運用する形態です。物理サーバやハイパーバイザー上の仮想サーバで各システムは運用されてきました。

　オンプレミスのサーバを守るのに最も一般的なのは、ネットワークとエンドポイントのセキュリティ対策を組み合わせた方法です。境界面ではファイアウォールやIPSを、サーバにはアンチウイルスを導入することでサイバー攻撃を防いできました。

1-2. クラウドシフトしたサーバ環境

　ここ数年でサーバ環境には大きな変化が起きています。AWSを始めとしたパブリッククラウドの台頭によるクラウドシフトです。現在、国内の多くの企業ではこれまでのオンプレミスからクラウドへ、サーバインフラを移行する流れが加速しています。このクラウドシフトの流れに伴い、サーバセキュリティも今後はクラウドを前提に考えていく必要があります。

　サーバ環境がオンプレミスからクラウドへ移行することで求められるセキュリティ対策は、大きく変わる訳ではありません。これまでオンプレミスで行われてきたIPSやアンチウイルスはクラウドであっても、サーバの防御には引き続き重要な対策です。

　一方で検討の必要があるのは、このようなセキュリティ対策をクラウドでどのように実現するのかです。
　次章以降でクラウドにおけるサーバを守る際に考慮すべき点を解説します。

2. クラウドシフトに伴う課題

　オンプレミスからクラウドへのサーバ移行で、最も懸念されるのがセキュリティに関する課題です。ここではお客様からご相談いただくことの多い、下記の 2 点に注目して解説します。

• クラウドでは必要なセキュリティ対策は変わるのか
• オンプレミスで行っていた対策はそのままクラウドへ移行できるのか

2-1. クラウドで必要なセキュリティ対策とは

　結論から言うと、サーバに必要なセキュリティ対策はオンプレミスでもクラウドでも大きくは変わりません。

　サーバを標的にした攻撃で最も多いのはサーバの脆弱性を狙った攻撃です。

　ここ数年ではサーバの脆弱性を狙った攻撃の被害で、情報漏洩を引き起こしてしまったというニュースは頻繁に報道されています。2017年にはApache Strut2やWordPressの重大な脆弱性が発覚し、それが原因で多数の企業で被害が報告されました。また、情報漏洩の被害は深刻であり、1件あたりの漏洩では数万件規模となることも多く、企業にとっては対策が必須の課題と言えます。

　このサーバの脆弱性を狙う攻撃は、オンプレミスであろうとクラウドであろうと関係なく対策が必要な脅威であり、クラウド上で稼働するインスタンスのOSやミドルウェアに脆弱性があれば、ユーザの責任でセキュリティ対策を行う必要があります。

2-2. オンプレミスのセキュリティ対策をクラウドへ移行

　必要なセキュリティ対策はオンプレミスもクラウドも同じという一方で、実装方法はクラウドでは慎重に行う必要があります。オンプレミスとクラウドでは設計における考え方で異なる点があり、従来通りのやり方をそのままクラウドに踏襲することは難しいのです。では、どのような点でオンプレミスとクラウドでは異なるのか、それぞれの環境で公開システムを構成する場合を例に解説します。

• オンプレミス
• クラウド

2-2-1. オンプレミス

　オンプレミスにおける公開システム(WEB)では、ネットワーク構成をWeb/App/DBのサーバごとにサブネットを分けた3層構造とするのが一般的です。

　これは3層構造とすることで、システムのセキュリティレベルを高められるといった利点があるからです。公開システムは他の社内システムと比較して外部からの攻撃対象となりやすく万全のセキュリティ対策が必要になります。その中でも特に重要になるのが個人情報などを格納するDBです。公開システムを3層構造とすることで、外部のクライアントからDBへ直接のアクセスを許可させず情報漏洩リスクを抑え、システムをより堅牢にすることが可能です。

　また、各境界にIPSなどのゲートウェイ型のセキュリティ製品を、各サーバにはアンチウイルス製品を導入することでサイバー攻撃への対策を実施します。

図 1. Web/App/DB サーバごとにサブネットを分けた3層構造

2-2-2. クラウド

　クラウドで公開システムを設計する場合では、オンプレミスと同じ3層構造での実装は難しくなります。なぜなら、クラウドではマイクロサービスの考え方が主流であり、ネットワークを意識しない設計が基本になるからです。

　マイクロサービスとは、サービスを最小の単位に分割し、それぞれをモジュールとして組み合わせて全体の機能を実現する考え方です。

　クラウドではこのマイクロサービスの考え方からセキュリティもサービス単位、すなわちサーバごとにホスト型での実装が一般的になります。オンプレミスで行っていたゲートウェイ型の対策は様々な観点でクラウドでは不適合なケースが多くなります。

　このような設計思考の違いから、オンプレミスと同じような対策でクラウドを守ることは望ましくなく、実装方法には考慮が必要になります。

図 2. ゲートウェイ型対策はクラウドに不適合、インスタンスごとのセキュリティ対策が必要

3. クラウドにシフトするサーバに必要なセキュリティ対策

　クラウドシフトするサーバへのセキュリティ対策でポイントになる点をいくつかご紹介します。

• 脆弱性を突いた攻撃への対策
• ホスト型で対策
• 侵攻する脅威への対策

3-1. 脆弱性を突いた攻撃への対策

　サーバを脅威から守るためには、クラウドでもオンプレミスと同様に脆弱性への対策が必須です。セキュリティ製品としてはIPSの導入が必要になります。しかし、オンプレミスで行ってきたようなゲートウェイ型のIPSはクラウドには不向きであり、次に説明するホスト型での実装がポイントになります。

3-2. ホスト型で対策

　オンプレミスとは異なり、クラウドではサーバホスト単位でのセキュリティ対策の導入が求められています。ホスト型の対策は、従来までのゲートウェイ型の対策と比較すると、クラウドの特徴を損なわない導入が可能になります。
前の章での説明の通り、クラウドではネットワークを意識せずに設計を行うことが基本になります。ゲートウェイ型の製品では特性上サブネットを作る必要もあり、クラウドにマッチしないケースが多いのですが、ホスト型の製品ではネットワーク構成に変更を加える必要なく対策が可能です。

3-3. 侵攻する脅威への対策

　前回記事のエンドポイントセキュリティでもお伝えしましたが、万が一脅威が侵攻してしまった場合の対策はサーバでも同様に重要です。
　いち早く攻撃に気づき対応するためにも改ざん検知やログ監視の対策を新たに導入することが重要です。

まとめ

　本記事では、サーバ環境のクラウドシフトに伴う課題と、必要なセキュリティ対策について解説しました。

　時代の変遷とともにサイバー攻撃の脅威はより巧妙に変化し、虎視眈々とあらゆる会社・官公庁を狙っています。このような脅威から守りぬくために、セキュリティ対策は日々アップデートしていく必要があります。

　ポイントはシステムをエンドポイント、サーバ、ネットワークといった多層にわけ、それぞれのレイヤで適切なセキュリティ対策を設けることです。

　サーバセキュリティの他、下記にて解説した次世代ファイアウォールやエンドポイントでの検出と対応（EDR ; Endpoint Detection and Response）、次世代アンチウィルス（NGAV ; Next-Generation. AntiVirus）等を貴社のセキュリティを強化するための検討材料としていただければ幸いです。