クラウドコンピューティング【情報処理安全確保支援士講座】

2022年8月31日2026年1月5日

今回は情報処理安全確保支援士で問われるクラウドコンピューティングについて学習します。

アカリ

クラウドって曇のこと？

トモル

インターネット(雲)の向こう側のサービスを利用しているからクラウドって言うって聞いたことあるよ～？

本記事のまとめ！

クラウドコンピューティングの概要
SaaS・PaaS・IaaSの違い
クラウド上のシステム構成について

科目B対策なら支援士ゼミ

1. クラウドコンピューティング
2. クラウドコンピューティング・例題
3. クラウドコンピューティング・まとめ

クラウドコンピューティング

それではさっそく、クラウドコンピューティングについて学習していきましょう。

クラウドコンピューティングと仮想化技術

最近ではコンピュータの仮想化技術を用いたクラウドコンピューティングが注目されていて、多くの企業や組織で取り入れられています。

今まではユーザとして多くの企業がサーバなどのハードウェア・OS・アプリケーション・データなどを自社で保有・管理し、それぞれを利用する形態が一般的でした。

しかし、クラウドではユーザ企業はそれらのサーバなどのシステム環境を自社で保有せず、最低限必要な端末機器の実を用意するだけで、あたかも雲のようなインターネットの向こう側にあるアプリやデータを活用できるようになってきています。

クラウドでは利用状況に対してサービス料をベンダに支払う形態が一般的です。

キュー

クラウドに対して、サーバやアプリを自社で用意して管理する形態をオンプレミス(オンプレ)って呼ぶで

クラウドコンピューティングを利用するメリットは以下の通りです。

クラウドコンピューティングのメリット

自社でハードウェアなどの資産を保有・管理する必要がない
実際に利用した分の料金のみを払えばよい
ソフトウェアのインストールなどが不要で、契約後すぐに利用可能である
急激な処理量の増加やシステム不可の増加にも柔軟に対応できる

クラウドコンピューティングの形式

クラウドの形態としては主に以下の3つです。

SaaS(Software as a Service)

SaaSでは、パッケージソフトウェアを提供します。

ユーザは都度、必要なソフトウェアを選択して利用できます。

キュー

SlackやらChatworkみたいなチャットアプリや、Zoomみたいな会議アプリはそうやな

📝【出題履歴】令和3年度春期午後Ⅱ問2 SaaSに関する出題

【問題文】
要件6については，C社では，SaaSを契約するに当たって，⑦SaaS又はSaaS事業者が何らかのセキュリティ規格に準拠していることの第三者による認証を確認するか，SaaS事業者が自ら発行するホワイトペーパーを確認することにした。

【設問】
設問5
(1) 本文中の下線⑦について，企画又は認証の例を20字以内で答えよ。

出題：令和3年度春期午後Ⅱ問2

PaaS(Platform as a Service)

PaaSでは、アプリケーションの実行環境が提供されます。

ユーザは自身のアプリケーションを構築できます。

アカリ

調べたところ、Google App EngineやMicrosoft Azureが該当するみたい！

IaaS(Infrastructure as a Service)

IaaSでは、CPUやストレージなどのインフラを提供します。

ユーザはOS・ミドルウェア・ストレージ要領などを選択してサーバを構築できます。

キュー

IaaSはHaaS(Hardware as a Service)とも呼ばれるで

それぞれの管理範囲を見てみましょう。

管理主体・管理内容	SaaS	PaaS	IaaS	オンプレ
ハードウェア・ネットワーク	ベンダ	ベンダ	ベンダ	自社
OS・ミドルウェア	ベンダ	ベンダ	自社orベンダ	自社
アプリケーション	ベンダ	自社	自社	自社
迷惑メール・マルウェア対策	自社orベンダ	自社orベンダ	自社	自社
自社の管理工数	少	中	多	多

📝【出題履歴】令和5年度春期午後Ⅱ問2 クラウドの管理範囲に関する出題

【問題文】

【設問】
設問1
表2中の a ～ i に入れる適切な内容を，”〇”又は”×”から選び答えよ。

出題：令和5年度春期午後Ⅱ問2

クラウドのシステム構成イメージ

クラウドでは、コンピュータの仮想技術を活用することによって柔軟な仮想マシン環境を提供できます。

仮想化はコンピュータの各種システム資源を物理的な構成にとらわれずに柔軟に分割、統合することで抽象化する技術です。

仮想化によって1台のコンピュータ上で複数のOSを並行動作させ、複数台のマシンのように見せかけたり、複数台のコンピュータを統合して1台のマシンのように見せかけたりすることが可能となります。

ラク

昔仮想立ててオンラインゲームで1人でグループ組んで戦っていたの思い出すぜ！

アカリ

技術的にはすごい！！けどなんか虚しい・・・

クラウドコンピューティングにおけるセキュリティ上のポイント

クラウドコンピューティングを利用するにあたっては、セキュリティ上で気を付けるべきポイントがいくつかあります。

キュー

試験でもよく問われるポイントやで！

アクセス制御

アクセス制御では自社の仮想マシンに対して、他社の仮想マシンからアクセスされないように制限がされる必要があります。

通信データやシステム資源が自由にアクセスされてしまうと機密情報の流失やデータ領域の不正利用など甚大な被害が起こりえます。

アクセス制御を適切に行うには、仮想化ソフトの機能や物理マシン間を接続するVLANなどによって実現されます。

仮想マシンの操作制限

仮想マシンの操作制限では、クラウド上の仮想マシンの追加、削除などの操作を適切に管理したり、仮想マシンの構成変更に応じた最新のアクセス制限リストを配布したりする仕組みが必要です。

認証システム及び認証情報の管理

認証システム及び認証情報の管理では、クラウド利用者の認証情報の管理や、クラウドシステム間の相互認証なども必要です。

相互認証の仕組みを実現する技術としてはSAML(Security Assertion Markup Language)などがあります。

ウイルススキャン

ウイルススキャンをそのまま実行してしまうと、物理マシン上の複数の仮想マシンから同じシステム資源に対して重複してウイルススキャンを行ってしまいます。

結果的にシステムの負荷を増やしてしまうため、ウイルス対策ソフトの機能を用いて重複を防ぎます。

トモル

ウイルススキャンは1回で十分！

データの保護

クラウドを利用することで、都度自社の業務データが外部のストレージへとアップロードされます。

したがって、データの機密度・重要度などに応じて、暗号化などのデータ保護が必要となります。

サイバー攻撃の防御

クラウドを利用している企業の経済的な損失を狙ったり、資金の奪取を狙ったりして、外部からさまざまな攻撃が認識されています。

例を挙げるとEDoS攻撃があり、現状では有効な対策がありません。

ISMAP

政府が求めるセキュリティレベルを満たしたクラウドサービスを事前に登録し、円滑な導入を目指したシステムとしてISMAP(Information System Security Management and Assessment Program)が挙げられます。

ISMAPのうち、セキュリティリスクの小さな業務・情報の処理に用いるSaaSを対象とした仕組みとして、SMAP-LIU(SMAP for Low Impact Use)があります。

クラウドコンピューティング・例題

実際に例題を解いて問題に慣れていきましょう。

問1

JIS X 9401:2016(情報技術－クラウドコンピューティング－概要及び用語)の定義によるクラウドサービス区分の一つであり，クラウドサービスカスタマの責任者が表中の項番1と2の責務を負い，クラウドサービスプロバイダが項番3～5の責務を負うものはどれか。(H.30秋/問10)

項番	責務
1	アプリケーションに対して、データのアクセス制御と暗号化の設定を行う。
2	アプリケーションに対して、セキュアプログラミングと脆弱性診断を行う。
3	DBMSに対して、修正プログラム適用と権限設定を行う。
4	OSに対して、修正プログラム適用と権限設定を行う。
5	ハードウェアに対して、アクセス制御と物理セキュリティ確保を行う。

ア:HaaS
イ:IaaS
ウ:PaaS
エ:SaaS

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問1の正解を表示

ウ

問1の解説を表示

JIS X 9401:2016では、クラウドコンピューティングにおけるサービスモデルのSaaS・PaaS・IaaSについて、次のように定義されていました。

SaaS:サービス利用者が、クラウドサービス提供者のアプリケーションを利用することができる形態
PaaS:サービス利用者が、クラウドサービス提供者によってサポートされる一つ以上のプログラミング言語と一つ以上の実行環境とを使って利用者が作った又は利用者が入手したアプリケーションを配置し、管理し、及び実行することができる形態
IaaS:サービス利用者が、クラウドサービス提供者の演算リソース、ストレージリソース又はネットワーキングリソースを供給及び利用することができる形態

表の項番3において、DBMSはミドルウェアに該当します。IaaSではミドルウェアをクラウドサービスの利用者側で用意するため、DBMSに対する修正プログラムの適用と権限設定をベンダー側で行うのはSaaSかPaaSになります。

そしてアプリケーションにおける責務である項番1・2が利用者に課されるのは、アプリケーションを利用者側が用意しなければいけないPaaSかIaaSです。

したがって、両方の条件に合致する「ウ」のPaaSが正解です。

なお、HaaSは、Hardware as a Serviceの略でIaaSとほぼ同義ですが、JIS X 9401:2016では定義されていません。

問2

NISTの定義によるクラウドコンピューティングのサービスモデルにおいて，パブリッククラウドサービスの利用企業のシステム管理者が，仮想サーバのゲストOSに対するセキュリティパッチの管理と適用を実施可か実施不可かの組合せのうち，適切なものはどれか。(H.29春/問8)

	IaaS	PaaS	SaaS
ア	実施可	実施可	実施不可
イ	実施可	実施不可	実施不可
ウ	実施不可	実施可	実施不可
エ	実施不可	実施不可	実施可

ア
イ
ウ
エ

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問2の正解を表示

イ

問2の解説を表示

クラウドコンピューティングのサービスモデルSaaS・PaaS・IaaSについてそれぞれ確認していきましょう。

SaaS

SaaSはサービスの形で提供されるソフトウェアです。

ソフトウェア以外のサービスは利用者が管理することはなく、ネットワーク・サーバ・OS・データベースなどは基本的にベンダーが管理します。

PaaS

PaaSはサービスの形で提供されるプラットフォームです。

SaaS同様、利用者は基盤であるインフラストラクチャのネットワーク・サーバ・OSを管理することはありません。

一方でユーザーは自分が実装したアプリケーションと、そのアプリケーションのホストする環境の設定についてコントロール権を持ちます。

IaaS

IaaSはサービスの形で提供されるインフラストラクチャです。

利用者は基盤となるインフラストラクチャを管理することこそないものの、OS・データベース・実装されたアプリケーションなど、管理の幅が広いです。

SaaS・PaaS・IaaSのサービスの内、OSに対するコントロール権を持つIaaSのみがOSにかかるsecurityの設定を実施可能です。

したがって「イ」が正解です。

問3

クラウドサービスにおける，従量課金を利用したEDoS(Economic Denial of Service，Economic Denial of Sustainability)攻撃の説明はどれか。(H.26春/問3)

ア:カード情報の取得を目的に，金融機関が利用しているクラウドサービスに侵入する攻撃
イ:課金回避を目的に，同じハードウェア上に構築された別の仮想マシンに侵入し，課金機能を利用不可にする攻撃
ウ:クラウド利用企業の経済的な損失を目的に，リソースを大量消費させる攻撃
エ:パスワード解析を目的に，クラウド環境のリソースを悪用する攻撃

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問3の正解を表示

ウ

問3の解説を表示

EDoSは、通常のDoS攻撃のようなサービス停止が目的ではなく、標的に経済的(E:Economic)な損失を与えることが目的です。

クラウドサービスでは、サービスの利用量に応じて料金を支払う従量課金の料金体制となっているサービスが一般b的です。

攻撃者はこれを逆手にとり、外部から不要なリクエストを大量に送りつけることで、意図的にトラフィックを増加させ、契約者に本来不必要な多額の利用料を支払わせるよう目論んでいます。

したがって「ウ」が正解です。