データセンターのセキュリティとは？ティア評価とセキュリティレベル

企業のインフラがデータセンターに収容されている場合、その第三者拠点の物理的・仮想的な安全性を確保することが不可欠です。データセンターのセキュリティには、企業データを攻撃者から守るための物理的および仮想的なサイバーセキュリティが含まれます。ほとんどのデータセンターには、多数の企業の機密データが保管されているため、たった1つの脆弱性が数十の企業の情報漏えいにつながる可能性があります。データセンターのセキュリティは、データ漏えいを防ぐだけでなく、企業のインフラやクラウド上にオフロードされたサービスの稼働時間と完全性を確保します。

多くの企業において、データに対する最大の脅威は、ソフトウェアやネットワークインフラの脆弱性を見つけ出すサイバー攻撃者です。データセンターでは、同じ種類の脅威から保護するだけでなく、インフラを物理的に保護するという役目も果たさなければなりません。プロバイダーは、認証を維持するために従わなければならない独自のコンプライアンス基準があります。しかし、これらの基準は、手順が高度なサイバーセキュリティの実装を正しく行えているかどうかを確認するために監査されています。

物理的セキュリティ

データセンターは、大都市から離れた合理的な場所に建設されます。これは、物理的なセキュリティのためでもありますが、地域の住宅や企業に影響を与えずにデータセンターを運営するためでもあります。遠隔地にあるため、物理的な脅威はほとんどありませんが、データセンターを標的として攻撃者が施設内に入ってくる可能性があります。攻撃者が施設内に侵入した場合、USBなどの物理デバイスを使ってサーバーからデータを取り出す可能性があります。

第一の防御は、周囲に設置されたカメラと警備員です。データセンターでは、入口にカメラを配置しています。データセンターにはガラス窓がないので問題にはなりませんが、どんなドアでも物理的セキュリティのリスクになります。カメラ、錠前、警備員がこのレベルの攻撃から守ってくれます。

攻撃者がドアを通過できれば、次の物理的セキュリティはファラデーケージ（導体に囲まれた空間）です。適切な鍵がなければ、攻撃者はファラデーケージを通過することができません。鍵には、物理的なキー、セキュリティデバイスに入力されたキーコード、スキャナを介してスライドするカード、または生体認証システムがあります。生体認証システムは最も安全ですが、最もコストがかかります。ティア4レベルのデータセンターでは、セキュリティレイヤーとして必ず生体認証を採用しています。

データセンターでは、敷地内を歩く人がほとんどいないため、訪問者は注意深く監視されます。来訪者がいる場合は、機器へのアクセスが制限され、従業員のエスコートが必要となります。来訪者には来訪者であることを示すバッジが渡され、来訪者が敷地内に到着したときと退出したときにはログが記録されます。

仮想的セキュリティ

データセンターをサイバー攻撃者から守るためには、いくつかの戦略が用いられます。オンプレミスのインフラを持つ企業は、データセンターで使用されている戦略の多くを利用することができます。一般的なマルウェアや仮想攻撃の多くを回避するために、データセンターは厳格な監視や監査ルールを遵守しています。

データセンターのリソースを利用するすべてのユーザーは、他のユーザーのアカウント情報にアクセスできないようにする必要があります。データセンターでは、すべての資産とトラフィックの活動を360度把握できるSIEM (Security Information and Event Management) ツールを使用するのが一般的です。これらのツールは、リスク管理や脅威検知モニタリングと組み合わせて、疑わしいアクティビティを特定します。

ネットワーク活動はゾーンごとに区分けされています。このサイバーセキュリティ手法は、企業のネットワーク設定と大差ありませんが、はるかに厳しく、顧客のトラフィックが他の顧客データと相互作用したり、露出したりしてはいけません。ネットワーク構成は、顧客が仮想環境上で独自のソフトウェアを自由に実行できるようにする一方で、顧客のソフトウェア内の脆弱性から他の顧客やデータセンターを保護する必要があります。

データセンターのインフラにアプリケーションを配備する前に、徹底的に侵入テストを行い、脆弱性がないかコードを確認します。データセンターの環境にマルウェアが侵入すると、データセンターだけでなく、データセンターを利用するすべての顧客のセキュリティに悪影響を及ぼす可能性があります。

データセンターのセキュリティレベルはティア評価で説明されます。その評価基準であるティアレベルは、特定のプロバイダーにデータを預ける企業にとって重要です。クラウドプロバイダーを探す際、企業は、自社の規制基準に従っているかどうかを確認するために、特定のティアレベルのデータセンターを見つけなければなりません。データセンターのティアレベルが高いほど、より高度なサイバーセキュリティを備えた大規模な施設であることを示しています。データセンターのティアレベルは、稼働時間の保証を決定するためにも使用されます。

• ティア1： ティア1は、データセンターの中でも最下位の階層であり、最も基本的なデータセンターです。主に、極めて機密性の高い情報を保存せず、独自のインフラの冗長性を持つ中小企業が利用します。データセンターは99.671%の稼働時間を保証しており、そのサービスレベル契約では年間28.8時間のダウンタイムを許容していることになります。
• ティア2： ティア2は、主にコロケーションサービスを必要とする企業が利用します。企業は自社のインフラの多くを保有していますが、データセンターのインフラのみに依存することなく、フェイルオーバーやデータセンターへのリソースの分配を行う必要があります。ティア1とティア2のデータセンターでは、電源と冷却水の供給源が1つであるため、これらのリソースに障害が発生した場合、データセンター全体とその顧客にダウンタイムが発生することになります。Tier 2は、99.741%の稼働時間を保証し、年間22時間のダウンタイムを許容することになります。
• ティア3： ティア3データセンターは、ティア1およびティア2から大きくグレードアップしたデータセンターです。前の2つの階層との主な違いは、電源と冷却のリソースを2重に使用し、稼働時間に冗長性を持たせていることです。冗長化されたリソースはフェイルオーバーを可能にするため、1つのリソースが故障しても顧客にダウンタイムが発生することはありません。また、メンテナンス時にもダウンタイムは発生しません。Tier3では、99.982%の稼働時間保証、または年間1.6時間のダウンタイムが発生する可能性があります。
• ティア4： ティア4データセンターは、稼働時間の保証を必要とする大企業のために、すべてのリソースを冗長化し、ダウンタイムに対するフォールトトレランスを提供します。ティア4では、顧客がダウンタイムを経験することはほとんどありません。ティア4データセンターでは、99.995%の稼働時間、または年間わずか26.3分のダウンタイムを実現します。

ティアが高いほど、データセンターの信頼性と安全性が高いことを意味します。パブリッククラウド分野の大手ベンダー（Amazon Web Services、Google Cloud Platform、Microsoft Azureなど）は、いずれもティア4のデータセンターを持っています。物理的なアクセスは、生体認証システムとバックアップシステムによって保護され、データの完全性と信頼性を守っています。

すべてのデータセンターは、サイバーセキュリティにおいて独自の基準に従っていますが、ほとんどのデータセンターが従っているグローバルガイドラインもあります。クラウドプロバイダーは、独自のデジタルコンプライアンス基準に従っており、適切なプロバイダーを探している顧客は、コンプライアンスガイドラインに従っているデータセンターを探す必要があります。

PCIやHIPAAコンプライアンスに準拠したデータセンターは、金融取引や医療取引を遵守しなければならない顧客に利用されますが、データセンターは主にSOC（Service Organization Control）に基づいて統一された業務遂行を証明する監査ガイドラインに従っています。SOC基準とは、リスクの評価、報告、技術の定期的な見直しをめぐるガイドラインです。SOCは、手順を確認する監査人が作成・配布する監査報告書であることに留意する必要があります。

以下のリストは、SOC のレベルとコンプライアンスについての簡単な説明です。

• SOC 1： SOC 1は、金融アプリケーションをホストするために使用される手順に焦点を当てています。データセンターのインフラにホストされているアプリケーションで、顧客や企業の財務データを扱うものはすべてこのレポートに該当します。
• SOC 2： SOC 2は、データセンターに顧客情報を保管しているSaaS企業に適用される最も一般的な監査の1つです。監査人は、サイバーセキュリティの戦略と手順を検証し、データの機密性、完全性、可用性を確保しているかどうかを確認します。
• SOC 3： SOC 3監査は、SOC 2レポートと同じですが、主な違いは、このレポートが、データセンターがSOC 2基準に準拠していることを確認するために、一般人がレビューするためのものであることです。

データセンターのセキュリティの重要性は、クラウド事業者だけではなく、顧客もコンプライアンスで定められた基準を満たした事業者と連携することが不可欠です。クラウドの顧客は、データセンターに機密データを保管する際には、SOC 3レポートを確認する必要があります。顧客のためにサービスをホストするデータセンター提供企業は、提供するすべてのセキュリティプロトコル、手順、および冗長性リソースが、ユーザーにとってベストの完全性を持つことを保証しなければなりません。