OTP認証とは、コントロールパネルへログインする際に、専用のアプリケーション[1]に表示されるワンタイムコードをパスワードとして用いる認証方式のことです。OTP認証を利用することで、セキュリティの強化を実現できます。
OTP認証は無料で利用できます。
1. FreeOTPまたはGoogle Authenticator(Google認証システム)
はじめに
-
本ドキュメントの目的
-
本ドキュメントでは、ニフクラの利用を検討している方が、ニフクラにおけるセキュリティの考え方を理解することを目的としています。
-
-
前提知識
-
以下の知識を有することが望ましい
-
OSに関する基本的な知識
-
インターネット、イントラネットに関する基本的な知識
-
セキュリティに関する基本的な知識
-
バックアップ、監視、冗長化等システム設計/システム運用に関する基本的な知識
-
-
-
ニフクラサービスの変更は最新のドキュメントを参照してください。
情報セキュリティとは
情報セキュリティとは
-
OECDが1992年に発表した「情報セキュリティのためのガイドライン」(※注1~注3)では、情報セキュリティの目的を以下のように定めています。
「情報システムセキュリティが目的とするのは、可用性、機密性、完全性が不十分であることから生じる危害より、情報システムを信頼している人たちの関心を保護すること」 -
ここでいう、機密性、完全性、可用性は以下のように定義されています。
-
機密性(Confidentiality):データや情報が、正当なときに、正当な手順によって、正当な権限を持つ人・実体・プロセスだけにのみ公開されること
-
完全性(Integrity):データや情報が、正確かつ完全である状態が保たれること
-
可用性(Availability):データや情報、情報システムが必要なときに必要な手順に従ってアクセスできること
-
-
これらは、英語の頭文字をとってCIAと呼ばれ「情報セキュリティの三要素」といわれています。
-
システムを構成する各要素、及びシステムの運用において「情報セキュリティの三要素」を意識し対策を積み重ねることが、情報システム全体のセキュリティを高めるためには重要です。
クラウド固有の情報セキュリティの考え方
一般的にクラウドを利用してシステムを運用する場合、クラウド固有の情報セキュリティの考え方を理解しておく必要があります。
クラウド(IaaS)では、システム管理者が管理可能なシステム構成要素は、オンプレミス上(利用者自身の環境など)でシステムを運用する場合と大きく異なります。
システムの構成要素(比較観点) |
オンプレミス上のシステム |
クラウド上のシステム |
|---|---|---|
物理的な機器の設置施設 |
情報システム部門などのシステム管理者が管理 |
クラウドサービス事業者が管理 |
物理的な機器の維持管理 |
||
仮想化基盤の管理 |
||
OSや、ミドルウェア、業務アプリケーション等の仮想サーバー環境の維持管理 |
クラウドサービス利用者が管理 |
|
ファイアウォールなどのネットワーク利用環境の設定 |
セキュリティ管理の観点でメリット・デメリット
情報システムのセキュリティ管理の観点でメリット・デメリットをまとめると以下のようになります。
オンプレミス上のシステム |
クラウド上のシステム |
|
|---|---|---|
メリット |
情報システムを構成するすべてのシステム構成要素をシステム管理者自身で管理可能なため、システムに必要となるセキュリティレベルを自ら定めて、適切に対処できる。 |
システム管理者(クラウドサービス利用者)は、物理機器を管理するための設備や、物理機器・仮想化基盤に関する運用(ハード故障への対応やファームウェア・セキュリティパッチの適用等)から解放される。なお、仮想サーバー環境の管理や、ネットワーク利用環境の設定は、従来どおりシステム管理者が運用管理する必要がある。 |
デメリット |
情報システムを構成するすべてのシステム構成要素の運用を自分たちで行う必要がある。 |
システム管理者(クラウドサービス利用者)は、クラウドサービス提供者が管理する設備や、物理機器・仮想化基盤について、きちんとセキュリティを保った運用管理を行っていると信頼して、サービスを利用することとなる。 |
つまり、一般的に、クラウドサービスを利用する場合、クラウドサービスの提供者とクラウドサービスの利用者がお互いの責任分界点を理解したうえで、相互に協力してシステム全体のセキュリティを確保する必要があります。クラウドサービスを利用する場合は、このような考え方を理解しておくことが非常に重要になります。
IaaSサービスの責任分界点
契約者とクラウド事業者のそれぞれがインフラ環境のどこからどこまでを担当するか定めた境界である責任分界点についてはこちらを参照してください。
サービスの責任分界
クラウド基盤に対するセキュリティ確保の取組み
「情報セキュリティの三要素」概要
-
クラウド基盤をセキュアな状態で利用者へ提供するため、データセンターやクラウド基盤の構成要素(ネットワーク、物理ストレージ、物理サーバー)で、どのような技術的あるいは運用上の対策を施しているのか、「情報セキュリティの三要素」という観点があります。
-
機密性(第三者による不正アクセス対策)
-
完全性(データの改ざん防止、証跡の管理)
-
可用性(単一障害点の回避)
-
各要素の詳細について確認する場合は以下を参照してください。
【参考情報】仮想基盤に対する対策例
機密性-仮想化リソースの区画化について
-
共用ネットワークではファイアウォールによるマイクロセグメンテーションを実装し、論理的に区分しています。
-
プライベートLAN機能では、共用ネットワークからL2レベルで隔離されたプライベートネットワークセグメントを利用することが可能となります。
ニフクラをセキュアに利用するために提供する機能
ニフクラが提供するセキュリティ機能概要
ニフクラの利用者は、OS、ミドルウェア、業務アプリケーションといった仮想サーバー環境や、仮想ストレージ、仮想ネットワークの利用に関するセキュリティについては、利用者自身でセキュリティを確保する必要があります。これには、ニフクラが提供する機能やOSの機能、あるいは、サードパーティのソフトウェアなどを用います。
-
システム全体のセキュリティを高めるためには、ニフクラが提供している機能だけではなく、様々な機能を併用する必要がある点にご留意ください。従来、オンプレミス上(利用者自身の環境など)のシステムで行っていた対策と同等の検討が必要です。
-
本章では、ニフクラをセキュアにご利用頂くために、ニフクラが提供している機能を紹介します。なお、個々の機能詳細につきましては、各種マニュアルを参照してください。
利用環境管理
ニフクラの機能(コントロールパネル、API)に対するセキュリティ関連機能・サービス
機能名 |
詳細 |
セキュリティ面での期待効果 |
|---|---|---|
IP許可制限(コントロールパネル) |
コントロールパネルやAPIへのアクセスについて、制限可能です。詳細はこちらを参照してください。クラウド技術仕様/制限値(アカウントメニュー:IP許可制限) |
正当にアクセスする権利を持たない第三者からのアクセスを制限します。 |
OTP認証(コントロールパネル) |
なりすましアカウントによりリソースの停止や削除、高額なサーバーを作成されてしまうなどの被害防止につながります。 |
|
マルチアカウント(コントロールパネル) |
操作範囲に制限を持たせたアカウントを作成するには、こちらを参照してください。クラウド技術仕様/制限値(アカウントメニュー:マルチアカウント) |
操作範囲に制限を持たせたアカウントを作成することで、意図しない操作による被害防止につながります。 |
アクティビティログ(コントロールパネル) |
コントロールパネルの操作ログを確認できます。操作方法や制限については、こちらを参照してください。クラウド操作方法ガイド(アカウントメニュー:アクティビティログ)[2]
2. コンピューティング以外の操作ログは確認できないものもあるため、サービスごとにイベントログ取得機能を確認してください。
|
取得したログから、意図しない操作が行われていないかを確認します。 |
仮想マシン環境
仮想マシンに対するセキュリティ関連機能
サービス/機能名 |
概要 |
セキュリティ面での期待効果 |
|---|---|---|
キーペア管理機能を用いた仮想サーバーへのSSHログイン |
仮想サーバー作成時にSSH通信をするためのキーペアを登録、管理する機能を提供します。 |
仮想サーバー接続時にキーペアの鍵ファイルを用いることで、SSHによるサーバーログイン、またはログイン情報の取得が可能です。IDやパスワードを利用せずに済むため、ブルートフォース攻撃(総当り攻撃)などによるサーバーへのクラッキングのリスクを低減できます。 |
仮想マシンに対するアップデートサーバーの提供 |
|
常に最新のパッケージを適用することで、セキュリティを保ちます。 |
IDS |
利用者専用の検知基準による不正アクセス検知機能を提供します。詳しい概要と効果、注意事項に関しては、こちらを参照してください。 クラウド技術仕様/制限値(IDS) |
左記ページを参照してください。 |
仮想マシン環境 (ソリューションサービス)
仮想マシンに対するセキュリティ関連機能
サービス/機能名 |
概要 |
セキュリティ面での期待効果 |
|---|---|---|
Trend Micro Cloud One - Workload Security |
仮想サーバーに対して、様々なセキュリティ機能を提供します。 詳細はこちらを参照してください。サーバー向けクラウド型セキュリティ(Trend Micro Cloud One – Workload Security) |
左記ページの特徴、仕様を参照してください。 |
仮想サーバーに対して、様々なセキュリティ機能を提供します。 詳細はこちらを参照してください。ウイルス・スパイウエア対策(ESET Server Security) |
左記ページの特徴、仕様を参照してください。 |
|
サイトの改ざんの有無を定期的にチェックする機能などを提供します。詳細はこちらを参照してください。Web改ざん検知(GREDセキュリティサービス) |
左記ページの特徴を参照してください。 |
|
GMOサイバーセキュリティ byイエラエ株式会社のセキュリティエンジニアが、アプリケーションやシステムに対し、脆弱性診断を実施するサービスです。詳細はこちらを参照してください。 脆弱性診断サービス Powered by GMOイエラエ |
左記ページの特徴を参照してください。 |
|
WEBサイト/WEBサーバーへのサイバー攻撃を可視化・遮断するセキュリティサービスです。詳細はこちらを参照してください。WAF(攻撃遮断くん) |
左記ページの特徴、機能を参照してください。 |
ソリューションサービスのセキュリティ関連機能
ソリューションサービスに対するセキュリティ関連機能
サービス/機能名 |
概要 |
セキュリティ面での期待効果 |
|---|---|---|
バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud) |
アクロニス・ジャパン株式会社が提供するバックアップのソリューションサービスです。セキュリティ機能の詳細はこちらを参照してください。クラウド技術仕様/制限値(ニフクラ バックアップ/セキュリティサービス(Acronis Cyber Protect Cloud)) |
仮想ストレージサービスのセキュリティ関連機能
オブジェクトストレージサービス
サービス/機能名 |
概要 |
セキュリティ面での期待効果 |
|---|---|---|
バケットポリシーの設定 |
デフォルトでは、すべてのバケットとオブジェクトは作成したユーザーのみがアクセスできるようになっています。ほかのユーザーと共有したり、匿名ユーザーに公開するときは、 バケットポリシーを設定してください。 |
正当なアクセス権限を持たない第三者からのオブジェクトストレージへのデータアクセスを防止することが可能です。 |
ニフクラNAS
サービス/機能名 |
概要 |
セキュリティ面での期待効果 |
|---|---|---|
NASファイアウォール |
NASファイアウォールグループのアクセス制御の詳細はこちらを参照してください。クラウド技術仕様/制限値(NAS:NASファイアウォール) |
正当なアクセス権限を持たない第三者によるデータアクセスの防止が可能です。 |
仮想ストレージサービス利用時の留意事項
仕様 |
詳細 |
|---|---|
ストレージ内のデータ暗号化 |
仮想ストレージに保存したデータを個々に暗号化する必要がある場合には、利用者がデータ暗号化の方式を検討する必要があります。 |
仮想ネットワークに対するセキュリティ関連機能
サービス/機能名 |
概要 |
セキュリティ面での期待効果 |
|---|---|---|
ファイアウォール |
仮想インスタンスに対して、パケットフィルタを行う機能を提供します。 |
不正な通信を遮断することで、システムに対する第三者からの不正アクセスを防止できます。 |
拠点間VPNゲートウェイ |
仕様に関する内容はこちらを参照してください。クラウド技術仕様/制限値(拠点間VPNゲートウェイ:拠点間VPNゲートウェイ) |
通信経路上での盗聴などの攻撃リスクを低減できます。 |
インターネットVPN(H/W) |
機器設置型(ハードウェアタイプ)のVPNサービスです。サービス内容はこちらを参照してください。 インターネットVPN(H/W) |
通信経路上での盗聴などの攻撃リスクを低減できます。 |
リモートアクセスVPNゲートウェイ |
利用者端末との接続の詳細は、こちらを参照してください。クラウドユーザーガイド(ネットワーク)_リモートアクセスVPNゲートウェイ |
通信経路上での盗聴などの攻撃リスクを低減できます。 |
ダイレクトポート |
従来インターネットを通してニフクラに転送していたデータを、専用線・閉域網から可能にするためのサービスです。ニフクラへダイレクトに接続するための内容はこちらを参照してください。クラウド技術仕様/制限値(ネットワーク:ダイレクトポート(専用線・閉域網 接続サービス)) |
社内環境とクラウドをセキュアなネットワークで接続することで、既存システムを維持したまま、イントラネットの延長として必要な分だけクラウドを利用することが可能です。ニフクラのリージョン同士の接続も可能です。 |
プライベートアクセス |
ニフクラから回線事業者の閉域網へのプライベートな接続を提供するサービスです。 |
閉域網と直結しているので、インターネットを経由せずに拠点とのセキュアな通信が実現できます。 |
プライベートブリッジ |
プライベートLAN同士をL2接続する機能を提供します。 |
インターネットを経由せずにニフクラのリージョン同士、ゾーン同士のセキュアな通信が実現できます。 |
仮想ネットワーク利用時の留意事項
仕様 |
詳細 |
選択値・条件 |
|---|---|---|
ファイアウォールのログ |
ファイアウォールに記録されるログ情報について、詳しくは以下を参照してください。 |
左記ページの「ログ保存期間について」を参照してください。 |
外部ネットワーク(インターネット)環境との接続 |
ニフクラのサーバーは、新規作成時にグローバルネットワークを適用するかどうかを選択できます。 |
その他のセキュリティ関連機能
サービス/機能名 |
概要 |
セキュリティ面での期待効果 |
|---|---|---|
ニフクラのコントロールパネル上で実施したサーバーや増設ディスクなどに対する削除操作について、その操作が実行されたという証明書を発行するサービスです。 対象サービス、サービス仕様、料金等詳細については、左記ページを参照してください。 |
セキュリティ推進体制と取組み
情報セキュリティへの組織的取組み
-
ニフクラでは、情報セキュリティ基本方針及び規程/実施基準を基に、組織的に適切なセキュリティ教育を受けた運用者が、運用手順書に従い継続的に運用しています。
-
技術的対策だけでなくサービス運用についても運用端末、アクセス権を限定し、運用者がアクセスする際のログを管理するなど、予防対策を講じることで問題が発生しないよう努めています。
-
また万が一セキュリティ上の問題が発生した場合は、事象の識別、原因の究明を実施し、被害を最小限かつ局所化するため組織的対応を迅速に実施します。
セキュリティ専門チームの設置
-
ニフクラにおけるセキュリティの脅威 (サイバーテロ、不正利用、情報漏洩等)に対して、予防及び検知に努め、セキュリティ専門チームを設置することにより、トラステッド(高信頼) な対応をします。
-
外部からの様々な攻撃を水際で検知するモニタリングを実施し、ニフクラをセキュリティの脅威より守ります。
-
万が一セキュリティ事故の発生を検知した際には、収束に向け迅速に対応を実施します。
-
また、社内に情報セキュリティ委員会を設け、情報セキュリティガバナンスを実践しています。
社外セキュリティ組織との連携
-
社外のセキュリティ組織と連携することで、高度化、複雑化するセキュリティ攻撃に対してグローバルな観点で適切に対処します。
-
JPCERT/CC(JPCERTコーディネーションセンター)
-
インターネットを介して発生するコンピューターセキュリティに関連する事象の情報を収集し、インシデント対応の支援、コンピューターセキュリティ関連情報の発信などを行なう組織。日本の代表的なCSIRT。
-
-
JASA(日本セキュリティ監査協会)
-
セキュリティ監査技術の向上、監査主体の質の向上(監査人スキルアップ、行動規範の確立、監査人資格のあり方の検討)の他、各種団体との連携、監査制度の国際標準の調査研究や改善提言、並びに監査などについての相談窓口の開設など、幅広い活動をし「公正かつ公平な情報セキュリティ監査」の普及・浸透をさせる組織。
-
-
富士通サイバーディフェンスセンター
-
富士通グループにおける、ICTに対する高度化、複雑化したサイバー攻撃に対し適切に対処し、情報共有する組織。
-
-
脆弱性診断・モニタリングと検知
-
脆弱性診断やモニタリング等の情報セキュリティ対策を実施し、運用しています。
-
脆弱性診断
-
品質・セキュリティ管理部より定期的に脆弱性診断を実施し、問題があった場合は関連部署と検討・協議し、対応を実施します。
-
-
モニタリングと検知
-
不正アクセスとマルウェアのモニタリングを実施しています。何か問題があれば関連部署と情報共有し、連携を行い迅速に対応を検討・実施します。また、ログ/イベントの相関分析とレポーティングを行います。
-
-
脆弱性情報の収集・分析・管理のプロセスを確立
-
脆弱性情報を収集し、セキュリティ専門チームによる分析を実施、インパクト(影響度)に応じたトリアージ(影響度と緊急度からの優先度付け)を実施し、変更管理・パッチ管理に反映するプロセスを確立しています。
-
脆弱性対策を実施することにより、利用者にトラステッド(高信頼)なパブリッククラウドサービスを提供しています。
迅速・確実なインシデントマネジメントの実施
-
ニフクラでは、セキュリティインシデント発生時の対応プロセスを定めており、万が一にセキュリティインシデントが発生した際には、事象の識別・解決・被害局所化を迅速かつ確実に実施します。
-
利用者システム固有の問題を除いたセキュリティインシデントの発生を検知した場合、セキュリティ専門チームにエスカレーションされ、インシデントレベルのトリアージ(影響度と緊急度からの優先度付け)を実施、事象の確認、インパクト(影響度)を判断したうえで対応します。
-
また、万が一セキュリティインシデントが発生した場合に備え、迅速に行動ができるよう定期的にトレーニングを実施し、関連部署との連携確認、証拠保存等のオペレーション訓練を行っています。
情報の集中管理
-
ニフクラ基盤の「構成情報」「性能情報」「ログ」「イベント」を統合管理することにより、課題を可視化し、課題への対処を迅速に対応できる体制を整えています。
-
ニフクラ基盤に関わる各機器(物理サーバー、ネットワーク、ストレージ等)のリソース状況、ネットワーク利用状況、APIの受け付け状況等を常に監視しサービスを維持するためのキャパシティ管理、ネットワーク管理をしています。ニフクラ基盤に対する監視を実施しており、利用者個別のリソースの監視は実施していません。
各リージョンに関する情報
ニフクラの認証・規格への対応状況(日本)
クラウド提供事業者として当社が取得している第三者認証については、第三者認証(ISMS、ISO/IEC27017など)を参照してください。
ニフクラのセキュリティ評価制度、基準への対応状況(日本)
-
政府情報システムのためのセキュリティ評価制度(ISMAP)
-
ニフクラにおけるISMAPへの登録につきましては以下を参照してください。
-
-
FISC安全対策基準への対応状況
-
ニフクラにおけるFISCへの対応につきましては以下を参照してください。
-
ニフクラの認証・規格への対応状況(海外)
-
各リージョンの法制度
-
利用者が、ニフクラ上に保管したデータについても同様に各リージョンが置かれた各国の法令などの遵守が求められ、利用者自身での管理が必要となります。
-
ニフクラは、利用者のデータは等しく扱い、内容については関知しておりません。※
-
法令、裁判所の命令その他法的手段により、第三者へのデータ開示を強制された場合に、法的に開示可能な範囲で、ニフクラにおいて定められたプロセスに従い判断します。※
-
※ 以下詳細を参照してください。
-
-
-
EU一般データ保護規則(GDPR)への対応
-
EU一般データ保護規則(以下「GDPR」といいます)とはEUの個人情報保護に関する法律です。利用者がGDPRにおける管理者または処理者としてEU個人データを取り扱うとき、ニフクラは、処理者としてGDPRに準拠したサービスを提供します。
-
ソリューションパートナーのGDPRへの対応方針につきましては、各ソリューションパートナーのWebサイトを確認してください。
-
