データセンターセキュリティ - DCS

データセンターセキュリティの概要

サーバーファームを不正アクセス者や内部の悪意ある人物から守るのは、施設の物理管理者とIT担当者双方の役割です。両者は仮想的な対策と物理的な対策を組み合わせて行います。サーバーファームは、ネットワークで繋がったコンピュータやストレージにより、膨大なデータを生成、伝送、保存する拠点です。

クラウドへ移行するプライベート企業の運用コストを低減する効果もあります。データセンターは、データの保存、バックアップ・リカバリ、データ管理、ネットワーク接続などのサービスを提供します。顧客情報や知的財産などの機密性の高いデータを扱うため、電子的な対策と物理的な対策の両面から守る必要があります。

‍

誰がデータセンターセキュリティに気を付けるべきか、その理由

業務の一部または全部に物理サーバーを利用する企業は、データの損失、改ざん、盗難を防ぐため、物理的・ネットワーク上のセキュリティ対策を講ずるべきです。今日、全ての企業が技術を活用しており、紙媒体からデジタルへと移行しています。どの企業も、ネットワーク内のデータを守る責任があります。

サーバーファームには日々の業務情報、アプリ、サービスが集約されるため、企業はそれを守る必要があります。適切なデータセンターセキュリティがなければ、企業や利用者の大切な情報が流出・盗難するリスクがあり、経済的損失や評判の低下を招く可能性があります。

技術の進歩に伴い、セキュリティ上の脅威は増大しています。仮想化が進む中で、インフラレベルのセキュリティ対策が求められ、ソフトウェアと連携したセキュリティは、より細やかな防御と柔軟な対応を可能にします。

‍

物理的データセンターセキュリティ

サーバーファームを物理的な危害から守ることは必須です。設置場所、物理的なアクセス管理、監視システムなどが、クラウドサーバーの安全を支える対策となります。

コンピューティングインフラを設計する際、従来の物理的セキュリティ（カメラ、施錠など）に加え、ゼロトラストの観点をITアーキテクチャに取り入れることが大切です。オンプレミスのITシステムからクラウドサービス、クラウドデータストレージ、クラウドインフラ、クラウドアプリへ移行する際には、現状のセキュリティ対策やSLAを十分に理解する必要があります。

1. Location

コンピュータサーバーの設置には、以下の点を考慮する必要があります：

• ハリケーン、竜巻、その他の厳しい天候から安全な場所であること。
• 特定の企業を示さない、シンプルな外観。
• 強引な侵入を防ぐ物理的障壁があること。
• 容易に侵入されにくい構造であること。

2. Physical Access Controls

多層防御は基本的な対策です。目的の安全性を達成するため、階層化されたアクセス管理を導入する必要があります。

例えば、最初の入室時に生体認証を用い、その後セキュリティ担当者による確認を行います。中核ネットワーク内では各エリアが区切られ、各ゾーンへのアクセスが個別に認証されます。さらに、制限区域は常にカメラで監視されています。

3. Building Protection

建物のすべての出入口を守ることも重要です。例えば、以下の対策が含まれます：

• MFAを用いて施設保守を行う遠隔技術者のアクセスを管理し、作業に必要な範囲のみ許可し、デバイスの安全性を確認する。
• 暖房、換気、空調（HVAC）システム、エレベーター、IoT機器など、建物のインフラを保護する。
• 建物システムや無線ネットワークから産業用接続を隔離し、不正な横展開を防ぐ。
• 即時監視を行い、新たなIoT機器や不正な無線アクセスポイントの出現を検知する。

‍

仮想セキュリティ 

近年、仮想化技術が普及し、ネットワークインフラを構成するサーバー、ネットワーク、ストレージを抽象化できるようになりました。この抽象化により、IT担当者は遠隔操作でサーバーを管理し、データセンターの運用を自動化ツールで効率化、負荷を複数のサーバーに迅速に分散できます。仮想化を活用することで、既存のネットワークにパブリッククラウドサービスを組み込む企業も増えています。クラウドインフラがソフトウェアで管理されるため、柔軟性は向上しますが、サイバー攻撃への脆弱性も増す傾向にあります。

現在のコンピュータ用ソフトの中には、セキュリティ機能やファイアウォール、侵入検知システムが組み込まれているものがあります。CIOは利用者の認証に基づくポリシーでデータセンターへのアクセスを制御するため、これらのソフトを活用する場合があります。IT部門では、二要素認証などの実績ある方法で、許可された利用者のみがシステムに接続されたネットワークにアクセスできるようにしています。この方法は、利用者にパスワードなどの知識と、セキュリティトークンや携帯電話など所持しているものの両方を求めることで、身元を確認します。

データセンター内の情報への不正アクセスや盗難を防ぐソフトは、情報のバックアップにも利用される場合があります。

‍

データセンターのセキュリティレベル 

サーバーファームでは、安全性が「レベル」で区分されています。特定の業者に情報を預ける企業は、提供されるレベルに注目すべきです。厳しいコンプライアンスが求められる企業は、該当する基準に適合するクラウドサービス業者を選定する必要があります。レベルが高いほど、クラウドサーバーの安全性が向上します。また、稼働率保証やセキュリティ要件も各「ティア」により評価されます。

• ティア1は最も基本的なセキュリティで、機密情報を持たない小規模企業に利用されます。多くのクラウドサービスは99.671%の稼働率、すなわち年間約28.8時間のダウンタイムを前提としています。
• ティア2はコロケーション事業者が採用します。自社インフラを多く保有していても、サーバーファームへのリソース分散が必要となります。ティア1とティア2では、電源や冷却設備が単一のため、万が一の際にサービス停止のリスクがあり、保証稼働率は99.741%、年間22時間のダウンタイムとなります。
• ティア3はティア1およびティア2を上回るセキュリティです。二重の電源や冷却設備により稼働率が向上し、冗長化により不具合発生時も利用者に影響が出にくく、メンテナンス中も停止不要となります。保証稼働率は99.982%、年間約1.6時間のダウンタイムです。
• ティア4は全リソースで冗長性を提供し、大企業のダウンタイムをさらに軽減します。停止はほとんど発生せず、保証稼働率は99.99%、年間約26.3分のダウンタイムとなります。

‍

データセンターセキュリティ基準 

各データセンターは独自のファイアウォールルールを持っていますが、多くは国際基準に沿っています。クラウド提供業者を選ぶ際は、基準に準拠したセンターを選定することが求められます。

以下に、SOCレベルとデータセンターのセキュリティに関する概要を示します：

• SOC 1は金融系アプリのホスティングに関する基準で、金融データを扱うセンター上のアプリが対象です。

• SOC 2は、データセンターを利用するSaaS企業に適用される一般的な監査基準です。監査人は、サイバーセキュリティ対策や手順を評価し、データの完全性および機密性が保たれているかを確認します。
• SOC 3監査はSOC 2報告と同等ですが、公開検証を目的としています。

SOC 1、SOC 2、SOC 3の違いを確認する

Wallarmがどのように役立つか

新たなクラウドネイティブAPIや既存のウェブアプリを守る必要がある場合、WallarmのAPIセキュリティプラットフォームは、APIやアプリを守るための必要な機能を備えた有力なソリューションです。Wallarmを活用することで、次のようなサービスを受けることができます：

• GotestWAF

GoTestWAFは、標準化された既定のペイロードやAPI固有の侵入手法（RESTまたはSOAP、XMLRPC）を用いて推奨事項を生成し、APIテストを自動化します。その後、ソフトウェアが結果を処理し、コンソール上で確認するかPDFでダウンロード可能なレポートを作成します。

• API Security Platform

最適な対策は、利用目的に沿ったウェブ保護策を講じることです。APIが高い保護基準を満たすよう、監査、監視、テストを実施します。

コストが課題の場合は、APIが提供するデータの重要度に応じた選択肢を判断できます。

• Cloud WAF

REST、SOAP、WebSocket、graphQL、gRPC API向けの高品質なクラウドウェブ及びAPI保護策として、Cloud WAFをご利用いただけます。DNS更新により、Wallarm Cloud WAFはアプリ、API、FaaSワークロードを守ります。