【クラウドセキュリティ対策比較】GCP、AWS、Azureを様々な観点から比べてみた
- AWS
- Azure
- Cloud
- IAM
パブリッククラウドを利用するにあたり気になる点の一つにセキュリティが挙げられると思います。
顧客の個人情報を扱う会社さまにとっては特にそうだと思います。そこで今回は3大パブリッククラウド、GCP、AWS、Azureのセキュリティ対策についてまとめてみました。
セキュリティ対策も幅が広いので、今回は
・ユーザー管理とアクセス管理
・電子証明書管理
・暗号鍵管理
・ネットワークセキュリティ
・ネットワーク構成と通信の制御
に限定をしてご紹介します。
ぜひ最後までご覧ください。
目次
キーワード解説
各クラウドのセキュリティについて説明するに当たって理解をしておいた方が良いキーワードを先に解説します。
キーワード | 概要 |
---|---|
クラウド | インターネットを通じて、ソフトウェアやプラットフォーム、インフラなどのデジタル資源を、サービスとして提供する形態のこと。 |
仮想化技術 | 実体のないものを、あたかも実在しているかのごとく表現する技術。たとえば、サーバー仮想化とは、1つのハードウェアに対して複数の仮想的なサーバーを構築することをいう。 |
コンテナ型仮想化 | アプリケーションと実行環境をまとめ、コンテナという単位で仮想化する技術。Dockerというソフトウェアが有名。 |
IaaS(Infrastructure as a Service) | インフラとして提供されるクラウドサービス。たとえば、クラウド上に構築された仮想的なサーバーを利用することができる。 |
PaaS(Platform as a Service) | プラットフォームとして提供されるクラウドサービス。PaaSはIaaS上に構築される。たとえば、IaaS上に構築されたWebサーバー環境やデータベースサーバー環境を利用することができる。 |
SaaS(Software as a Service) | ソフトウェアとして提供されているクラウドサービス。SaaSはPaaS上に構築される。たとえば、Google社のGmailなどがSaaSに該当する。 |
オンプレミス | サービスに必要なインフラを自社内で構築し、管理・運用する形態のこと。クラウドの対義語として使われる。 |
パブリッククラウド | 一般向けに公開されているクラウドサービスのこと。 |
プライベートクラウド | 特定の企業や個人しか利用することができないクラウドサービスのこと。 |
マルチクラウド | クラウドサービスを提供している会社を問わず、複数のクラウドサービスを利用して構築された環境のこと。 |
ハイブリッドクラウド | パブリッククラウド・プライベートクラウド・オンプレミスのうち、1つではなく、複数の種類のインフラを用いて構築された環境のこと。たとえば、プライベートクラウドとオンプレミスのインフラを用いて構築された環境のことを、ハイブリッドクラウドという。 |
VPC(Virtual Private Cloud) | 仮想化技術によって、公共のネットワーク上に構築されたプライベートクラウドのことをいう。クラウドサービスを、用途に応じて個別に作成することが容易となる。GCPやAWSでは「VPC」というが、Azureの場合、「VNet」(Virtual Network)という用語を用いる。 |
リージョン | クラウドサービスを提供している地域。 |
AZ(Availability Zone) | リージョンの中にあるデータセンターを抽象化した概念。GCPの場合、単に「ゾーン」という。 |
VM(Virtual Machine) | 仮想マシン。仮想化技術によって作成されたコンピューターのこと。 |
サブネット | ネットワークを論理的に細分化したもの。 |
暗号鍵 | データを暗号化するためのアルゴリズムのこと。暗号化と復号化(暗号化されたデータを解除すること)に同じアルゴリズムを用いることを「共通鍵暗号化方式」といい、暗号化と復号化に別々のアルゴリズムを用いることを「公開鍵(秘密鍵)暗号化方式」という。 |
多要素認証 | アクセス権限を得るための本人確認を、複数の種類の要素でユーザーに要求する認証方式。二段階認証とも呼ばれる。 |
クラウドサービスのセキュリティについての概要
クラウドサービスとは、仮想化技術によって構築されたインフラや、その上に構築されたサービスのことをいいます。クラウドサービスの利用者は、インフラやソフトウェアを保有していなくても、さまざまなサービスをインターネットを経由して利用することができます。
クラウドサービスには、さまざまな企業が参入しており、またさまざまな種類のサービスが存在しますが、その中でもGoogle社のGoogle Cloud Platform(以降、GCP)、Amazon社のAmazon Web System(以降、AWS)、Microsoft社のMicrosoft Azure(以降、Azure)の3社のクラウドサービスの利用者が特に多く、この3社はクラウドサービスの3強といえます。
このGCP・AWS・AzureはPaaSもしくはIaaSで、これらのクラウドサービスを利用することにより、インフラの設備投資を行わなくても容易にWebサーバーやデータベースサーバーを利用することができます。
クラウドサービスは、インターネットにつながる環境があれば、パソコンやスマートフォンなどのデバイスを利用して、どこからでもアクセスできるのが特徴ですが、反面、第三者にもアクセスされてしまい、機密情報が漏洩してしまうのではないか、という不安を危惧される方も多いことでしょう。実際、「クラウドサービスはセキュリティが心配のため、利用しない」という意見も散見されます。しかし、クラウドサービスには強固なセキュリティを確保するためのさまざまな仕組みがあり、オンプレミスの環境によって、機密情報が保存されているサーバーを自社で保管しておくよりも、むしろ安全と言えるでしょう。
本記事では、クラウドサービスの3強である、GCP・AWS・Azureのクラウドサービスのセキュリティ対策を比較し、各々のクラウドサービスがどのようにしてセキュリティを保護しているかをみてみることにしましょう。
クラウドサービスの特徴
クラウドサービスのセキュリティの話しに入るまえに、まずはGCP・AWS・Azureの3大クラウドサービスについて、その特徴をみてみましょう。
GCP
Google社のGCPは、2008年にサービスが開始されました。Googleといえば、検索エンジンのほか、GmailやGoogleドキュメント、GoogleマップやGoogle フォトなどのクラウドサービス(SaaS)が有名ですが、これらのクラウドサービスは、GCPを基盤として構築されており、その安定の稼働実績は折り紙つきです。
また、クラウドサービスは仮想化技術によって構築されたインフラの上で稼働するサービスですが、その仮想化技術のなかで近年、もっとも利用されているコンテナ型仮想化技術においても、Googleの技術は他社をリードする存在となっています。そのほかにも、人工知能の開発にも力を入れており、それらの人工知能もクラウドサービスとして利用することが可能です。
AWS
Amazon社のAWSは、2006年にサービスが開始されました。GCPやAzureと比べると、サービスが開始された時期は早く、パブリッククラウドにおけるクラウドサービスとしては、もっとも長い歴史があります。
約200種類もの豊富なサービスがあり、世界一のインターネット通販サイトであるAmazonのインフラを支える重要な基盤となっています。さらに、インターネット通販サイトだけでなく、Amazonプライム動画やAmazonミュージック、Amazonフォトなど、AWSを利用してさまざまなクラウドサービスを展開しています。新しい技術にも積極的に力を入れており、店員が存在しないコンビニのAmazon Goは有名です。
Azure
Microsoft社のAzureは、2010年にサービスが開始されました。Windows OSやMicrosoft Office製品で有名なMicrosoftですが、AzureはこれらのMicrosoft製品との親和性が高いのが特徴です。
また、Microsoftはデータベース市場で高いシェアを持つSQL Serverの開発元でもあり、SQL Serverを利用したシステムをオンプレミスからクラウドに移行しやすいのも特徴の1つと言えます。Azureは、オンプレミスのWindows Serverが提供するActive Directoryとの連携も容易で、ハイブリッドクラウドを実現も可能です。
最近のMicrosoftは、Apple社のiOSや、Google社のAndroid、オープンソースのLinuxなど、さまざまなプラットフォームで稼働するサービスの提供にも積極的に力を入れています。
各サービスのセキュリティ
それでは、各社のクラウドサービスにおけるセキュリティの違いを比較してみましょう。セキュリティの違いには、「ユーザー管理とアクセス管理」「電子証明書管理」「暗号鍵管理」「ネットワークセキュリティ」の4つの視点からみてみます。
ユーザー管理とアクセス管理
パブリッククラウド名 | 対象サービス |
---|---|
GCP | Cloud Identity and Access Management |
AWS | AWS Identity and Access Management |
Azure | Azure Active Directory |
クラウドサービスのアクセス管理には、IAM(Identity and Access Management)というアクセス管理が利用されています。IAMは、クラウドサービスを利用するユーザーにIDを割り当て、そのIDによってアクセスできるサービスの限定するための仕組みです。これにより、特定のユーザーがアクセスできるサービスを制御することができます。
GCPとAWSでは「IAM」というサービス名が付いていますが、Azureの同機能は、「Active Directory」というサービス名がついています。「IAM」は、「アイアム」と発音します。また、Azureの「Active Directory」は、「AD」と略されることもあり、「エーディー」と発音します。
電子証明書管理
パブリッククラウド名 | 対象サービス |
---|---|
GCP | Cloud Load Balancing |
AWS | AWS Certificate Manager |
Azure | App Service |
電子証明書は、運転免許証や健康保険証のような、身分証明書の電子版といえます。クラウドサービスは、電子証明書を適切に管理することにより、データの改ざんや盗聴、なりすましを防ぎます。たとえば、インターネットの通信を暗号化することで、安全に電子メールを宛先に送信することができるようになります。電子証明書は、その電子証明書が正式な電子証明書であることを保証する機関があり、その機関のことを認証局といいます。
AWSの「AWS Certificate Manager」は、証明書管理が可能なサービスから利用可能です。GCPの「Cloud Load Balancing」やAzureの「App Service」は、電子証明書の管理サービスではなくクラウドの負荷分散を行うサービスであったり、Webアプリケーションを構築するためのサービスですが、このサービス上で電子証明書の設定を行うことが可能です。
暗号鍵管理
パブリッククラウド名 | 対象サービス |
---|---|
GCP | Cloud Key Management Service |
AWS | AWS Key Management Service |
Azure | Azure Key Vault |
さまざまなサービスで利用するための暗号鍵を、一元管理するためのサービスです。これらの暗号鍵管理サービスは、HSM(Hardware Security Module)という、暗号鍵や電子証明書などの重要なデジタルデータを安全に保管するための暗号化プロセッサによってセキュリティを保護します。
ネットワークセキュリティ
パブリッククラウド名 | 対象サービス |
---|---|
GCP | Google Cloud Armor など |
AWS | AWS Firewall Manager など |
Azure | Azure Firewall Manager など |
クラウドサービスを利用するためには、インターネット接続が必要となるため、ネットワークに関するセキュリティは特に重要です。GCP・AWS・Azureともに、ファイアウォールなどのさまざまなネットワークセキュリティ対策が施されており、また、Webアプリケーションの脆弱性を突いた攻撃に対するセキュリティ対策の一つであるWAF(Web Application Firewall)を利用することも可能です。
Webアプリケーションの脆弱性を突いた攻撃は、通常のファイアウォールでは防ぎきれないため、WAFは、ネットワークのセキュリティ保護には必要不可欠な存在であるといえます。
各サービスのネットワーク構成と通信の制御
GCP・AWS・Azureの各種クラウドサービスは、ネットワークと通信の制御に関するアーキテクチャが異なります。クラウドサービスを利用する場合は、このアーキテクチャの違いを考慮しての管理が必要となります。
GCP
GCPのネットワークアーキテクチャの概念では、VPCのなかにリージョンが存在し、リージョンのなかにAZが存在します。サブネットは、AZをまたいで作成することができます。そのため、複数のリージョンを利用したい場合でも、1つのVPC内で対応することが可能です。たとえば、異なるリージョンにデータをバックアップさせる場合でも、VPCは1つで済みます。
GCPの通信は、VPC上のファイアウォールと、VM上のファイアウォールによって、セキュリティを保護します。
AWS
AWSのネットワークアーキテクチャの概念では、リージョンのなかにVPCが存在し、VPCのなかにAZが存在します。サブネットは、AZをまたいで作成することはできません。
GCPとの違いは、GCPの場合はVPCのなかにリージョンが存在していたのに対し、AWSの場合はリージョンのなかにVPCが存在します。また、GCPはAZをまたいでサブネットを作成できるのに対し、AWSはAZをまたいでサブネットを作成することはできません。
AWSの通信は、サブネット上の「ネットワークACL」という機能によって制御されます。また、VM上で設定可能な「セキュリティグループ」という機能によっても通信を制御することが可能です。
Azure
Azureのネットワークアーキテクチャの概念では、AWS同様、リージョンのなかにVNet(VPCと同じ役割)が存在し、VNetのなかにAZが存在します。サブネットは、GCP同様、AZをまたいで作成することができます。ただし、GCPの場合はVPCのなかにリージョンが存在しましたが、AzureはAWS同様、VNet(VPC)のなかにリージョンが存在します。
Azureの通信は、サブネット単位に設定可能な「ネットワークセキュリティグループ」(NSG)によって制御します。NSGは、VM上でも設定可能です。
まとめ
クラウドサービスを利用するときに注意すべき点について、ウィルス対策ソフトの「Norton」で有名なNorton社では、クラウドサービスを利用する際にチェックしたいセキュリティに次のように説明しています。
①ファイルや通信経路の暗号化が行われているか
②ログインに多要素認証が用意されているか
③データが多拠点でバックアップされているか
④第三者機関による評価を確認する
また、クラウドサービスを利用するユーザーが注意すべき点についても、以下のように説明しています。
①複数のバックアップをすること、複数のアクセス回線を用意する
②「野良無線LAN」に注意
③ログインIDはしっかり管理
複数のバックアップをすること、複数のアクセス回線を用意する
こちらは、もしもクラウドサービスが利用できなくなった場合のことも考えておくべきという意味です。
「野良無線LAN」に注意
こちらは、どこが提供しているかわからない無線LANのアクセスポイントは使用しないという意味です。これは、悪意を持った者が用意した無線LANのアクセスポイントをうっかり利用してしまうと、IDやパスワードは容易に漏洩します。また、閲覧していたWebサイトの履歴もすべて知られてしまいますので、注意してください。
ログインIDはしっかり管理
こちらについては、推測しやすいパスワードを使わないように心掛け、また付箋に書いてデスクトップに貼っておくなどといった行為は絶対に行わないようにしてください。
上記のように、たとえクラウドサービスのセキュリティが強固であっても、利用するユーザーの不注意によって、機密情報が漏洩していまうといったことも十分に考えられます。
セキュリティに関する問題は、会社の信頼を一気に失墜させかねる、非常に大きな問題です。クラウドサービスは、それを利用するユーザーも十分に高いセキュリティ意識をもって利用すべきでしょう。
クラウド間の比較やどんなことができるのか知りたい方におすすめの記事をご紹介!
最後までご覧いただきありがとうございます。トップゲート編集部がこの記事を読んだ方におすすめしたいGCP関連の記事を厳選します。GCPの料金体系に関する記事、GCPとAWSの料金比較に関する記事、3大クラウドの比較記事をピックアップしました。
ご興味ある記事をぜひご覧ください!
3大クラウドAWS、Azure、GCPの機能を比較したら見えてきたサービスごとの違いと特徴とは?
パブリッククラウドAWS GCP Azure Watsonの音声認識AIを価格や機能、精度の観点で比較!
3大パブリッククラウドAWS GCP Azure の画像認識AIを価格や機能、精度の観点で比較!
クラウドDWH(データウェアハウス)って何?AWS,Azure,GCPを比較しながら分析の手順も解説!
【2020年最新】GCPとAWSでの利用料の費用(コスト)比較をしてみた!
サービス概要からGCPの想定利用料を計算してみよう!コスト試算のやり方紹介
GCPはどこで契約すれば良い?メリットが多い代理店経由がオススメ
弊社トップゲートでは、TOPGATE Broadcaster と称してウェビナーを定期開催しております。
- クラウドに関すること
- Google Cloudの最新情報やお役立ち情報
- テレワークに関すること
など、 仕事で差がつく情報を忙しいビジネスパーソンのために短時間でコンパクトにお届けしております。
参加者さまからの「わかりやすかった」「勉強になった」など好評いただいております。取っ付きにくい内容も講師がわかりやすく解説しておりますので、お気軽にご参加ください。
弊社トップゲートでは、Google Cloud (GCP) 利用料3%OFFや支払代行手数料無料、請求書払い可能などGoogle Cloud (GCP)をお得に便利に利用できます。さらに専門的な知見を活かし、
- Google Cloud (GCP)支払い代行
- システム構築からアプリケーション開発
- Google Cloud (GCP)運用サポート
- Google Cloud (GCP)に関する技術サポート、コンサルティング
など幅広くあなたのビジネスを加速させるためにサポートをワンストップで対応することが可能です。
Google Workspace(旧G Suite)に関しても、実績に裏付けられた技術力やさまざまな導入支援実績があります。あなたの状況に最適な利用方法の提案から運用のサポートまでのあなたに寄り添ったサポートを実現します!
Google Cloud (GCP)、またはGoogle Workspace(旧G Suite)の導入をご検討をされている方はお気軽にお問い合わせください。
お問合せはこちら
メール登録者数3万件!TOPGATE MAGAZINE大好評配信中!
Google Cloud(GCP)、Google Workspace(旧G Suite) 、TOPGATEの最新情報が満載!