LRMでは「ISMSクラウドセキュリティ認証」のコンサルティングサービスを提供しており、自社でもこの認証を取得しています。

社内でもオンプレミスのサーバを廃止してクラウドストレージに全面切り替えをするなど、多くの業務でクラウド化を推進しています。

こうした状況のなかですが、LRMにもシステム開発や構築の経験のない、いわゆる「非技術者」出身の社員も多く在席しており、そういった社員はクラウドサービスをユーザーとして利用し、慣れ親しんではいるものの、インフラ構築やプログラムなどの技術的な部分を意識することはほとんどない、というのが現状です。

「クラウドサービスを推奨しているLRMの社員ならば、クラウドコンピューティングに関する技術的な知識も持っておくべき！」ということで、この度LRMが提供するクラウドサービス「セキュリオ」の開発チームリーダーを講師として、LRM社内で「非技術者向けクラウドサービス勉強会」を実施しました。

今回は、普段クラウドサービスの技術的部分に関わる機会の少ない「非技術者」が、勉強会で実際に触ってみて感じたクラウドセキュリティの要点をご紹介します。

AWS勉強会で学んだこと

アマゾンウェブサービス(AWS)は利用者が多く、「セキュリオ」のインフラ構築・運用もAWS上でおこなわれています。

そこで、この勉強会では開発チームリーダーの指導の下、実際にAWSのサービスを利用し、セキュリティに関する設定や確認をおこないました。

まずは各自のアカウントを作成し、「IAM」を利用した多要素認証の有効化とポリシー設定(AWSの権限設定)をおこないました。

多要素認証にはAuthenticatorによるワンタイムパスワードを設定しました。

「EC2」を利用したセクションでは実際に仮想サーバを立ち上げ、IPアドレス制御や開示範囲の設定をおこないました。

LinuxのCUI操作や公開鍵認証を活用したアクセスなど、サービスを利用するだけでは普段なかなかおこなわない作業を体験することができました。

「S3」を利用したセクションではストレージ上に自分で作成したファイルやフォルダへのアクセス権限を設定し、アクセス制御が反映されているかを確認する作業をおこないました。

クラウドセキュリティの要点

実際にクラウド環境を触ってみるという今回の勉強会から、技術的な前提知識を持たない社員が学んだクラウドセキュリティの要点をご紹介します。

まず、「公開鍵認証で必要な秘密鍵ファイルの管理」の重要性です。

鍵ファイルを失ってしまうとサーバにアクセスできなくなり、漏えいさせてしまうとサーバに不正ログインされてしまう恐れがあります。

他のファイルと区別できるようわかりやすいファイル名を付け、必要な人だけが利用できるよう権限設定された場所に格納することが必要です。

「公開設定」に関する注意もまた重要です。

AWS S3ではクリック1つの簡単な操作で公開設定を変更できるのですが、これを間違ってしまうと重要な情報が全世界に公開されてしまう恐れがあります。

実際、S3の公開設定のミスによる情報漏えい事故は多く報告されています。

AWSは操作の手順がわかりやすく、未経験者でも基礎知識を学習しながらサーバ構築をおこなうことができました。

一方で、操作ミスや設定の間違いなどちょっとした失敗から情報漏えいやシステム停止のような事故を起こしてしまうという怖さもありました。

普段から業務でクラウド環境を扱っているような技術者のみなさまには基本的で当たり前のことかもしれませんが、これを機に今一度初心に帰って、クラウドを扱ううえでのセキュリティ状況について見直してみてはいかがでしょうか。