2023.03.23(2023.08.09更新)

インフラ

AWS、GCP、Azureクラウドサーバー人気3社のセキュリティ比較!各社のセキュリティ対策の特徴も解説

現在、パブリッククラウドサービスは広く利用されているサービスですが、安全面において不安を持たれている方は少なからずいることでしょう。重要なデータを取り扱う際に不正アクセスや情報漏洩などのインシデントが生じてしまうと、信用を失くしてしまったり、対応に莫大なコストがかかってしまったりする可能性もあります。
この記事では、パブリッククラウドの概要とパブリッククラウドサービスにおける「責任共有モデル」の概要、さらに主要なパブリッククラウドサービスであるAWS、GCP、Microsoft Azureの3社を比較し、それぞれのセキュリティ対策の特徴と具体的なセキュリティシステムを紹介していきます。この記事を読めば、各社のメリットを踏まえた上で自身にとって最適なサービスを選択することができるでしょう。

MDM導入のご検討・
ご相談はこちら

そもそもクラウドとは

クラウドとは「クラウドコンピューティング」の略で、データやソフトウェアといったデジタル資源をネットワーク経由で利用できるようにしたサービスです。今までは目の前のパソコンのみで利用が制限されていたものが、インターネットの接続環境さえ整っていれば、遠隔かつ他の端末でも利用することが可能になります。

コロナ禍によりリモートでの作業を取り入れる組織が増えたことで、クラウドの需要も増大しました。クラウドサービスを利用することでパソコン周辺機器の購入・管理の手間を軽減することができ、さらに業務の効率化、維持・管理のコストカットも期待できるなどさまざまなメリットがあります。

参考:総務省「国民のためのサイバーセキュリティサイト/クラウドサービスとは?

パブリッククラウドとは

パブリッククラウドとは一般に公開されているクラウドサービスのことで、不特定多数の利用者が共同でアクセスすることができるシステムとなっています。クラウド事業者が提供・管理するため、導入するときの負担が少なく、誰でも利用できるのがメリットです。利用者を限定しないオープンな環境なので、サービスを利用する人が多いのが特徴といえます。そのため、独自のシステムを構築することが難しく、より自由にクラウド環境を構築した利用者にはプライベートクラウドを選択することをおすすめします。

参考:総務省「株式会社インプレス/ICT の新たな潮流に関する調査報告書

パブリッククラウドサービスにおける「責任共有モデル」とは

パブリッククラウドサービスにおける「責任共有モデル」とは、クラウドサービスの事業者と利用者のどちらが責任を持つべきかをコンポーネントごとに明確にし、役割分担を示したものです。責任共有モデルを正しく運用することで事業者に全てを任せるのではなく、利用者がリスク管理に目を向けることができるのでITガバナンスの強化へ繋がる利点があります。

具体的には各社にて以下のように定めていますので、導入時にはチェックしておくことをおすすめいたします。

AWS
https://aws.amazon.com/jp/compliance/shared-responsibility-model/

GCP
https://cloud.google.com/architecture/framework/security/shared-responsibility-shared-fate?hl=ja

主要なパブリッククラウドサービス3社のセキュリティ比較

ここでは、パブリッククラウドサービスの主要3社といえる、AWS、GCP、Microsoft Azureのセキュリティについて比較してみます。

比較する機能は次の4つです。

  • ユーザー管理/アクセス管理…クラウド上に保存されたデータのアクセスできる利用者を制限するシステム
  • 電子証明書管理…運転免許証やマイナンバーカードのような身分証明書のデジタルバージョンで、なりすましや内部不正などを防止するシステム
  • 暗号鍵管理…保管されているデータを暗号化するときに使用される鍵を適切に管理するシステム
  • ネットワークセキュリティ…外部からの不正アクセスやマルウエア感染からデジタル資産を守るために行使されるセキュリティシステム
AWS GCP Microsoft Azure
ユーザー管理/アクセス管理
電子証明書管理
暗号鍵管理
ネットワークセキュリティ

セキュリティ対策において重要といえる各機能は、全てのサービスが備えていることがわかります。
では、ここからはそれぞれのサービスについて、詳しく見ていきましょう。

AWS(Amazon Web Services)のセキュリティ対策の特徴

画像引用元:AWS

AWSとは、「Amazon Web Services」の略称で、Amazonが提供するクラウドサービスです。業界の中でも歴史が長く、メニューやサービスも幅広くあらゆる用途に利用できるため、導入はトップシェアを誇ります。

グローバル基準を満たすセキュリティレベルを持っているのが特徴で、第三者認証の種類も豊富に対応しています。インシデントを引き起こさないための対策も高度な技術を展開しており、万が一にもインシデントが発生した際には、脅威の分析や調査、復旧を迅速に対応するシステムが存在しているので低コストでアプリケーションの復旧が叶います。さらに、専門家による24時間のインシデント対応もあるため、被害を最小限に抑えることができるでしょう。

AWSは世界中にバックアップのサーバーが存在し、自然災害などでシステムダウンしても迅速に復旧することができるのも強みです。またAWSでは「責任共有モデル」を採用しているので、利用者の責任自覚が生まれる利点もありますが、利用者自身が責任を持って対応しなければならないタスクも生じます。運用に不安を抱える利用者に対しては、独自のエクササイズプログラムも展開しているので安心といえるでしょう。

ユーザーのアクセス許可とID、インフラストラクチャ、各種データの保護

AWSでは、世界トップクラスのセキュリティ専門チームが管理する高度な対策が講じられています。具体的には、データにアクセスすることができるユーザーの制限、IDやデータ、インフラストラクチャの保護を実施。IAMなどの各種サービスを展開し、不正アクセスを未然に防止しています。データに関しては「Amazon Macie」で機密情報の検出と保護を実施、さらに「AWS Secrets Manager」でマネジメントすることが可能です。

また全てのデータを自動的に暗号化することで、常に適切なセキュリティ管理を維持できます。これらのおかげで、不正アクセスや情報漏洩の防止が可能になるのです。ネットワークやアプリケーションの保護については、「AWS ネットワークファイヤーウォール」「AWS Shield」が実行します。不審なアクセスに対応する「WAF」を利用することで攻撃のブラックリスト化をしたり、許可する通信のみをホワイトリストに登録することで不正アクセスを防止したりすることも可能です。

ロギングとモニタリングサービスを使用したセキュリティ状況の可視化

セキュリティ強化のためのモニタリング環境が整備されているのもAWSの強みです。セキュリティ面のチェックを自動化する「Amazon Security Hub」、アクティビティやAPIの利用状況を追跡可能な「AWS CloudTrail」、さらにハード面の管理を担う「AWS IoT Device Defender」などのサービスがあります。システム利用者の操作や稼働時間などの記録を時系列で残しておくロギングと、専門家による24時間のモニタリング管理を実施することで、セキュリティ状況を可視化することが可能になりました。これにより、消費されるリソースの制御や適切なリソースのアクセス権が保証されることがメリットとなります。

自動化したインシデント対応

インシデントを未然に防ぐシステムも多いAWSですが、残念ながらいくら高度なセキュリティ対策を講じてもインシデントの発生をゼロにすることは不可能です。そこでAWSでは、インシデント発生時に被害を最小限に抑え、二次被害を防止するシステムを自動化して対応します。具体的には、「Amazon Detective」を利用することでインシデント発生時の復旧、脅威の分析と調査を実行します。また、必要なときのみに料金が発生する「AWS Elastic Disaster Recovery」を利用すれば、コストを抑えながらインシデントに対応することも可能です。

イベント駆動型の自動化修復

AWSでは、発生したインシデントに対して、自動的に対応することが可能な修復システムが搭載されています。イベントの発生を検知して調査や対応、復旧から検証までを一連の流れで実施することでコストカットが期待できます。

AWSのパートナー企業であるトレンドマイクロ社の主要サービス「File Storage Security」と「AWS S3 Object Lambda」とを併用することで、マルウエア感染への対策も万全です。マルウエアスキャンをリアルタイムで実行し、瞬時に検出・システムへの感染を回避できます。また同じく脅威のひとつである不正遠隔操作に対しては「AWS WAF」でリソースの保護、「Amazon Inspector」での脅威の検知が可能です。さらに近年、サイバー攻撃のひとつとして増加しているサプライチェーン攻撃に対し、機密性・整合性・可用性の全てにおいて高いレベルのセキュリティ意識を各企業・組織と共有しています。

GCP(Google Cloud Platform)のセキュリティ対策の特徴

画像引用元:GCP

GCPは「Google Cloud Platform」の略で、Googleが運営するクラウドサービスです。Google社が持つ膨大なデータを高速処理できることが強みで、人工知能やデータ分析を取り入れたい利用者におすすめのサービスとなっています。

セキュリティを最優先事項とする考え方が徹底されているGoogle社は、全社員にセキュリティ意識を高める研修や専門家チームの発足により安全性を高める努力をしている企業です。データセンターやハードウェアといった物理的なセキュリティ対策はもちろん、データの暗号化や不正アクセスの防止、インシデント対策にも力を入れています。これらの安全性を維持するために内部監査チーム・第三者機関による評価・監査も実施。また「責任共有モデル」を採用しており、利用者が責任を持って管理すべきコンテンツやアクセスポリシーなどの役割分担を明確にしています。

データセンターへの侵入検知

GCPを運営するGoogleでは、世界でもっとも安全な施設であるデータセンターからグローバルネットワークを提供しています。データセンターでは、階層化されたセキュリティや生体認証、金属探知、レーザー―ビーム侵入検知システムなどの高度なセキュリティ対策を実施。またセンター内へ立ち入ることができるのはごく少数の承認された社員のみで、カスタム設計された電子アクセスカードや高解像度の監視カメラにて管理されています。さらに専門の警備員によるパトロールも徹底しており、データセンター内の全ての機器はバーコードなどにより追跡可能で、金属探知や監視カメラも併用して管理されているのでセキュリティ体制は万全です。世界最先端の高度技術によってセキュリティが管理されているので、安心して情報を取り扱うことができるでしょう。

データの暗号化

クラウドネットワーク上のデータは保存の際に暗号化されます。保存されたデータはストレージ用に分割されて、さらに個別に自動で暗号化されるのです。これにより、データがGoogleのネットワークに入るまでのインターネット環境において、不正アクセスを防ぐことが可能となります。またHTTPSを推奨しているため、Googleのネットワーク上から暗号化されていないウェブサイトを閲覧しようとした場合に警告文が表示される仕組みを構築し、第三者による悪質な介入を防いでいます。

不正アクセスを防ぐ多層防御

GCPでは、情報漏洩を防ぐために多層防御を採用しています。Google社では顧客データを確実に守るため、個々のユーザーを切り離して保管しているのです。データへのアクセス権限は職務や役割によって決定された少数の社員のみで、さらにアクセスするときには承認が必要になります。そしてGoogle社員によるアクセスは、内部監査チームとセキュリティシステムによってモニタリングを実施しています。このようにセキュリティの対策を何層にも重ね、不正アクセスから顧客データを確保しているのです。サービス提供をGoogle社以外の企業から行う場合にも、セキュリティレベルが落ちないように機密保持などの諸契約を事前に締結しているので安心して利用できるでしょう。

インシデントへの対策

インシデントを未然に防ぐセキュリティ対策が充実しているGCPですが、万が一インシデントが発生した場合を想定してGoogle社のセキュリティ運用チームによる24時間体制のインシデント検知、対応を実施しています。セキュリティ運用チームのスタッフは、日頃から高度なトレーニングを受けており、あらゆるシナリオにも対応できるようテストされている専門的な人材です。Google社では利用者と同じインフラストラクチャ上でセキュリティ動作しているので、例外なく利用者全員にインシデントの早期解決を保証しています。

Microsoft Azureのセキュリティ対策の特徴

画像引用元:Microsoft Azure

Microsoft Azureは、Microsoft社が運営するクラウドサービスです。140ヶ国以上でサービスを展開しており、シェアトップのAWSに迫る急成長を見せているAzureは業界でも注目されているサービスとなっています。Microsoft社製品との連携がスムーズで、Windows Serverとの親和性に優れていることが特徴です。導入コストの削減を実現しつつ、豊富な機能はもちろん、高度なセキュリティ対策にも定評があります。多くのセキュリティ基準に準拠したシステムを構築していることや、独自の人工知能・機械学習で脅威を検知するシステム、世界にある60リージョンものデータセンターにおけるセキュリティレベルの高さなど、Azureならではの強みを生かしたセキュリティ対策が実現可能です。またMicrosoft Azure でも「責任共有モデル」を採用しており、データ、エンドポイント、アカウント、アクセス管理については利用者が責任を持つことになります。

Azureは90種類以上のコンプライアンス認証を所有

Azureのコンプライアンスは90種類以上の認証を所有しています。国際的なガイドライン「ISO27001」「Center for Internet Security」、さらにアメリカの「NIST CSF」や日本の「クラウドセキュリティゴールドマーク」などに準拠。あらゆる産業におけるコンプライアンス認証も取得可能なので、求めるソリューションが迅速かつ低コストで入手できます。独自のサービスを構築する中でコンプライアンス認証を実現し、さらには人工知能や機械学習による様々なシステムが可能になりました。

Azure Key Vaultによるパスワード、証明書の管理

「Azure Key Vault」はAPIキー、パスワード、証明書、暗号化キーといったシステムを一元管理することが可能になるシステムです。これを用いることで、例えばアプリケーション開発の際にパスワードなどのセキュリティ情報を埋め込む必要性がなくなります。セキュリティ情報を一元管理することで生じる利便性の他にも、データのアクセス防御を厳重にできることが利点です。

Azure Security Centerによる脅威の監視・検出

脅威を監視・検出し、運用しているサービスやリソースの保護・防御を行う機能を持つ「Azure Security Center」。セキュリティ体制を可視化してあらゆるリソースを管理しています。脅威が増加・複雑化している中で、システムの自由度と安全性を両立するため、迅速に効率よく対応できるシステムは顧客満足度も非常に高いです。。サービスレベルには「Free」と「Standard」があり、Standardサービスレベルは30日間無料で試すことができます。

ネットワークアクセス制御やAzure Firewallの活用

Azure上のリソースに社外からアクセスする場合に備えて、ネットワークアクセス制御やAzure Firewallを活用することもおすすめです。仮想マシン「Azure Virtual Network」にて「ネットワークアクセス防御」を利用すると、仮想ネットワークのアクセスが許可された利用者のみに制御することが可能になります。これにより、承認されたユーザー以外からの通信は遮断されることになるので安全性が保障されます。「Azure Firewall」では、リソースの保護、サイバー攻撃やマルウエア感染の防御、デプロイやスケーリングによるデータ管理といったセキュリティ対策が可能です。クラウド上のサービスとなっているので、アクセス集中などの状況に応じて自動スケーリングが実施される利便性も兼ね備えています。これらのオプションを追加することで、セキュリティをより強固なものにすることができ、より高い安全性を実現できるでしょう。

まとめ

この記事では、クラウドについての基本的知識やパブリッククラウドサービスにおける「責任共有モデル」について、さらに主要なパブリッククラウドサービスであるAWS、GCP、Microsoft Azureの3社を比較して紹介しました。

パブリッククラウドサービスを提供する会社は多く存在しますが、各社の特徴を踏まえて自身に合ったサービスを選択することが正しい運用に繋がります。具体的には、取り扱うデータやアプリケーションの種類、組織の業態、ネットワーク環境などを踏まえて、サービスの提供会社を比較してみるとよいでしょう。またサービスを利用する目的を明確にしておくことで、より比較しやすくなります。

自社独自のクラウド環境を構築したい場合には、プライベートクラウドサービスを検討することになりますが、導入・運用にコストがかかるのが難点です。その点、パブリッククラウドサービスはコストカットしやすく拡張性にも優れている上、前述の通りセキュリティ対策も万全です。特に今回比較した3社については、世界的な基準でネットワーク上の脅威への対策が施されていることがわかりました。ぜひ、本記事をクラウドサービスを導入する際の参考にしてください。

MDM導入のご検討・
ご相談はこちら