叡智の三猿

〜森羅万象を情報セキュリティで捉える

クラウドサービスとセキュリティ

人、物、金、情報

ビジネスを行う資源として必要なのは、人、物、金、情報と言われます。ただ、この言い方は、やや「情報」に肩入れした表現だと思います。

そもそも人、物、金という3つの経営資源は、それがなければビジネスが成立しません。人がいない会社、物(サービス)がない会社、金のない会社・・・そんなのありえないですね。それに対して、情報は、ITの進歩により注目された第4の経営資源です。会社が激しい競争を勝ち抜くために、顧客情報を活用して、重要なお客様にはよりよいサービスを提供することで、顧客の囲い込みをはかるなど、情報の価値は活用次第で変わります。

第4の経営資源である情報ですが、情報のなかでも「情報セキュリティ」は、会社経営にあたっての優先順位はやや劣ります。もちろん、情報セキュリティは重要な経営課題です。ただ、情報は活用するために必要な資源であり、情報を安全に管理すること(情報セキュリティ)は、どうしても二の次になってしまいます。有効活用しない情報ならば、その情報は入手しない方が経営にとっては安全です。

さて、経営資源の優先順位を考えると、資金力の限られた中小企業が、情報セキュリティに大きなコストをかけるのは、一般論として無理なことがわかります。しかし、ひとたび情報セキュリティの事故が起きると、会社の信頼はたちまち失墜します。存続すら危うい状況に陥ります。

ですので、情報セキュリティにどれほどのコストをかけるかは、とりわけ中小企業にとって難しい経営課題です。

クラウドサービスの登場

2010年ころから、広まったクラウドサービスは、情報セキュリティの課題を解決する救世主のようなサービスです。

クラウドサービスを利用すると、会社が保有する情報の管理、処理をクラウド事業者に委ねることになります。その為、情報セキュリティリスクをクラウド利用者側である中小企業ですべてをコントロールする必要がなくなります。

クラウドサービスは、SaaS(サース)、PaaS(パース)、IaaS(アイアース)の3つに分類出来ます。この分類でクラウド事業者とクラウド利用者でセキュリティをコンロールする範囲(レイヤ)が異なります。

IaaSは、サーバーやネットワークなどのインフラ設備(ハードウエア)を提供してくれるサービスです。IaaSの利用企業はインフラに必要となるOS、ミドルウェア、アプリケーションなどを導入することでシステムを利用することができます。この場合、OS、ミドルウエア、アプリケーションのセキュリティ対策は、クラウド利用者で行う必要があります。そのため、クラウド利用者側にも相応の開発力、情報セキュリティへの対応力が求められます。

PaaSは、サーバーやネットワークなどのインフラ設備に加え、OSやミドルウェアも提供するサービスです。PaaSの利用企業は、ある程度の環境が整っているので、スムーズにアプリケーション開発を行うことができます。

SaaSは、インフラ、ミドルウェアに加えてアプリケーションも提供するサービスです。

f:id:slowtrain2013:20200913010458p:plain
クラウドサービスの分類とセキュリティコントロール

SaaSを利用すると、アプリケーションレイアまで、クラウド事業者がセキュリティ対策を負うべき役割となります。そのため、自社がセキュリティ対策にかけるコストを大きく減らすことが可能です。

Apache Log4jの任意のコード実行の脆弱性

日本国内に関する情報インシデント等の報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行なっているJPCERTコーディネーションセンターJPCERT/CC)は、昨年末に「Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起」を行っています。

JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性(CVE-2021-44228)があります。Apache Log4jが動作するサーバーにおいて、遠隔の第三者が本脆弱性を悪用する細工したデータを送信することで、任意のコードを実行する可能性があります。

Apache Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列から、一部の文字列を変数として置換します。その内、JNDI Lookup機能が悪用されると、遠隔の第三者が細工した文字列を送信し、Log4jがログとして記録することで、Log4jはLookupにより指定された通信先もしくは内部パスからjava classファイルを読み込み実行し、結果として任意のコードが実行される可能性があります。~「JPCERTコーディネーションセンターJPCERT/CC)」より

Apache Log4jを使用するアプリケーションを自社開発していた場合は、この脆弱性を修正したバージョンを早急にインストールし、アプリケーションをアップデートする必要があります。

SaaSを利用していれば、こうしたセキュリティ対策の実施責任はクラウド事業者側が行うので、情報セキュリティにかけるコストを減らすことができるのです。