[情報処理安全確保支援士]クラウドコンピューティング[無料講座・例題付き]

2022年8月31日

情報処理安全確保支援士 クラウドコンピューティング

今回は情報処理安全確保支援士で問われるクラウドコンピューティングについて学習します。

アカリ
アカリ
クラウドって曇のこと?
トモル
トモル
インターネット(雲)の向こう側のサービスを利用しているからクラウドって言うって聞いたことあるよ~?

クラウド技術

クラウド技術

それではさっそく、クラウド技術について学習していきましょう。

クラウドコンピューティングと仮想化技術

最近ではコンピュータの仮想化技術を用いたクラウドコンピューティングが注目されていて、多くの企業や組織で取り入れられています。

今まではユーザとして多くの企業がサーバなどのハードウェア・OS・アプリケーション・データなどを自社で保有・管理士、それぞれを利用する形態が一般的でした。

しかし、クラウドではユーザ企業はそれらのサーバなどのシステム環境を自社で保有せず、最低限必要な端末機器の実を用意するだけで、あたかも雲のようなインターネットの向こう側にあるアプリやデータを活用できるようになってきています。

クラウドでは利用状況に対してサービス料をベンダに支払う形態が一般的です。

キュー
キュー
クラウドに対して、サーバやアプリを自社で用意して管理する形態をオンプレミス(オンプレ)って呼ぶで

クラウドコンピューティングを利用するメリットは以下の通りです。

クラウドコンピューティングのメリット
  • 自社でハードウェアなどの資産を保有・管理する必要がない
  • 実際に利用した分の料金のみを払えばよい
  • ソフトウェアのインストールなどが不要で、契約後すぐに利用可能である
  • 急激な処理量の増加やシステム不可の増加にも柔軟に対応できる

クラウド技術の形式

クラウドの形態としては主に以下の3つです。

SaaS(Software as a Service)

SaaSでは、パッケージソフトウェアを提供します。

ユーザは都度、必要なソフトウェアを選択して利用できます。

キュー
キュー
SlackやらChatworkみたいなチャットアプリや、Zoomみたいな会議アプリはそうやな

PaaS(Platform as a Service)

PaaSでは、アプリケーションの実行環境が提供されます。

ユーザは自身のアプリケーションを構築できます。

アカリ
アカリ
調べたところ、Google App EngineやMicrosoft Azureが該当するみたい!

IaaS(Infrastructure as a Service)

IaaSでは、CPUやストレージなどのインフラを提供します。

ユーザはOS・ミドルウェア・ストレージ要領などを選択してサーバを構築できます。

キュー
キュー
IaaSはHaaS(Hardware as a Service)とも呼ばれるで

それぞれの管理範囲を見てみましょう。

管理主体・管理内容 SaaS PaaS IaaS オンプレ
ハードウェア・ネットワーク ベンダ ベンダ ベンダ 自社
OS・ミドルウェア ベンダ ベンダ 自社orベンダ 自社
アプリケーション ベンダ 自社 自社 自社
迷惑メール・マルウェア対策 自社orベンダ 自社orベンダ 自社 自社
自社の管理工数

クラウドのシステム構成イメージ

クラウドでは、コンピュータの仮想技術を活用することによって柔軟な仮想マシン環境を提供できます。

クラウドシステムの構成イメージ

仮想化はコンピュータの各種システム資源を物理的な構成にとらわれずに柔軟に分割、統合することで抽象化する技術です。

仮想化によって1台のコンピュータ上で複数のOSを並行動作させ、複数台のマシンのように見せかけたり、複数台のコンピュータを統合して1台のマシンのように見せかけたりすることが可能となります。

ラク
ラク
昔仮想立ててオンラインゲームで1人でグループ組んで戦っていたの思い出すぜ!
アカリ
アカリ
技術的にはすごい!!けどなんか虚しい・・・

クラウド技術におけるセキュリティ上のポイント

クラウド技術を利用するにあたっては、セキュリティ上で気を付けるべきポイントがいくつかあります。

キュー
キュー
試験でも良く問われるポイントやで!

アクセス制御

アクセス制御では自社の仮想マシンに対して、他社の仮想マシンからアクセスされないように制限がされる必要があります。

通信データやシステム資源が自由にアクセスされてしまうと機密情報の流失やデータ領域の不正利用など甚大な被害が起こりえます。

アクセス制御を適切に行うには、仮想化ソフトの機能や物理マシン間を接続するVLANなどによって実現されます。

仮想マシンの操作制限

仮想マシンの操作制限では、クラウド上の仮想マシンの追加、削除などの操作を適切に管理したり、仮想マシンの構成変更に応じた最新のアクセス制限リストを配布したりする仕組みが必要です。

認証システム及び認証情報の管理

認証システム及び認証情報の管理では、クラウド利用者の認証情報の管理や、クラウドシステム間の相互認証なども必要です。

相互認証の仕組みを実現する技術としてはSAML(Security Assertion Markup Language)などがあります。

ウイルススキャン

ウイルススキャンをそのまま実行してしまうと、物理マシン上の複数の仮想マシンから同じシステム資源に対して重複してウイルススキャンを行ってしまいます。

結果的にシステムの負荷を増やしてしまうため、ウイルス対策ソフトの機能を用いて重複を防ぎます。

トモル
トモル
ウイルススキャンは1回で十分!

データの保護

クラウドを利用することで、都度自社の業務データが外部のストレージへとアップロードされます。

したがって、データの機密度・重要度などに応じて、暗号化などのデータ保護が必要となります。

サイバー攻撃の防御

クラウドを利用している企業の経済的な損失を狙ったり、資金の奪取を狙ったりして、外部からさまざまな攻撃が認識されています。

例を挙げるとEDoS攻撃があり、現状では有効な対策がありません。

スポンサーリンク

クラウド技術・例題

実際に例題を解いて問題に慣れていきましょう。

問1

JIS X 9401:2016(情報技術-クラウドコンピューティング-概要及び用語)の定義によるクラウドサービス区分の一つであり,クラウドサービスカスタマの責任者が表中の項番1と2の責務を負い,クラウドサービスプロバイダが項番3~5の責務を負うものはどれか。(H.30/秋)
項番 責務
1 アプリケーションに対して、データのアクセス制御と暗号化の設定を行う。
2 アプリケーションに対して、セキュアプログラミングと脆弱性診断を行う。
3 DBMSに対して、修正プログラム適用と権限設定を行う。
4 OSに対して、修正プログラム適用と権限設定を行う。
5 ハードウェアに対して、アクセス制御と物理セキュリティ確保を行う。

ア HaaS
イ IaaS
ウ PaaS
エ SaaS

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問1の正解を表示

問1の解説を表示
JIS X 9401:2016では、クラウドコンピューティングにおけるサービスモデルのSaaS・PaaS・IaaSについて、次のように定義されていました。
  • SaaS:サービス利用者が、クラウドサービス提供者のアプリケーションを利用することができる形態
  • PaaS:サービス利用者が、クラウドサービス提供者によってサポートされる一つ以上のプログラミング言語と一つ以上の実行環境とを使って利用者が作った又は利用者が入手したアプリケーションを配置し、管理し、及び実行することができる形態
  • IaaS:サービス利用者が、クラウドサービス提供者の演算リソース、ストレージリソース又はネットワーキングリソースを供給及び利用することができる形態

表の項番3において、DBMSはミドルウェアに該当します。IaaSではミドルウェアをクラウドサービスの利用者側で用意するため、DBMSに対する修正プログラムの適用と権限設定をベンダー側で行うのはSaaSかPaaSになります。

そしてアプリケーションにおける責務である項番1・2が利用者に課されるのは、アプリケーションを利用者側が用意しなければいけないPaaSかIaaSです。

したがって、両方の条件に合致するウのPaaSが正解です。

なお、HaaSは、Hardware as a Serviceの略でIaaSとほぼ同義ですが、JIS X 9401:2016では定義されていません。

問2

NISTの定義によるクラウドコンピューティングのサービスモデルにおいて,パブリッククラウドサービスの利用企業のシステム管理者が,仮想サーバのゲストOSに対するセキュリティパッチの管理と適用を実施可か実施不可かの組合せのうち,適切なものはどれか。(H.29/春)
IaaS PaaS SaaS
実施可 実施可 実施不可
実施可 実施不可 実施不可
実施不可 実施可 実施不可
実施不可 実施不可 実施可




(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問2の正解を表示

問2の解説を表示
クラウドコンピューティングのサービスモデルSaaS・PaaS・IaaSについてそれぞれ確認していきましょう。

SaaS

SaaSはサービスの形で提供されるソフトウェアです。

ソフトウェア以外のサービスは利用者が管理することはなく、ネットワーク・サーバ・OS・データベースなどは基本的にベンダーが管理します。

PaaS

PaaSはサービスの形で提供されるプラットフォームです。

SaaS同様、利用者は基盤であるインフラストラクチャのネットワーク・サーバ・OSを管理することはありません。

一方でユーザーは自分が実装したアプリケーションと、そのアプリケーションのホストする環境の設定についてコントロール権を持ちます。

IaaS

IaaSはサービスの形で提供されるインフラストラクチャです。

利用者は基盤となるインフラストラクチャを管理することこそないものの、OS・データベース・実装されたアプリケーションなど、管理の幅が広いです。

SaaS・PaaS・IaaSのサービスの内、OSに対するコントロール権を持つIaaSのみがOSにかかるsecurityの設定を実施可能です。

したがってイが正解です。

問3

クラウドサービスにおける,従量課金を利用したEDoS(Economic Denial of Service,Economic Denial of Sustainability)攻撃の説明はどれか。(H.26/春)

ア カード情報の取得を目的に,金融機関が利用しているクラウドサービスに侵入する攻撃
イ 課金回避を目的に,同じハードウェア上に構築された別の仮想マシンに侵入し,課金機能を利用不可にする攻撃
ウ クラウド利用企業の経済的な損失を目的に,リソースを大量消費させる攻撃
エ パスワード解析を目的に,クラウド環境のリソースを悪用する攻撃

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問3の正解を表示

問3の解説を表示
EDoSは、通常のDoS攻撃のようなサービス停止が目的ではなく、標的に経済的(E:Economic)な損失を与えることが目的です。

クラウドサービスでは、サービスの利用量に応じて料金を支払う従量課金の料金体制となっているサービスが一般b的です。

攻撃者はこれを逆手にとり、外部から不要なリクエストを大量に送りつけることで、意図的にトラフィックを増加させ、契約者に本来不必要な多額の利用料を支払わせるよう目論んでいます。

したがってウが正解です。

クラウド技術・まとめ

クラウド技術は近年特に普及が著しく、試験でも良く問われる内容です。

午前試験だけでなく午後試験でも問われることが多いので、しっかりと理解しておきましょう。

トモル
トモル
SaaS・PaaS・IaaSについては頭に入れておきたいね~
アカリ
アカリ
英語の意味(S:サービス・P:プラットフォーム・I:インフラ)を理解しておけば難しくないね!

次回はシンクライアントについて学習します。

しかくのいろは
[情報処理安全確保支援士]シンクライアントとVDI[無料講座・例題付き]
https://www.sikaku-no-iroha.co.jp/it-qualification/sc/thin-client-sc
情報処理安全確保支援士で問われるシンクライアント・VDIについて解説します。シンクライアントの概要や利点を押さえておきましょう。

本気で支援士を狙うなら・・・
支援士ゼミがおすすめです!
  • ベテラン講師による手厚いサポート
  • モチベーションを保てるセキュリティコラムが満載!
  • マンツーマン形式で個別相談もできる!

スポンサーリンク







独学講義,情報処理安全確保支援士試験

Posted by 佐野 孝矩