さくらのクラウド セキュリティ基本原則 v1

[更新: 2026年05月21日]

この文書は、さくらのクラウドのセキュリティコントロールの評価ルールに基づき、安全で効率的なクラウド環境を構築するための最適なアーキテクチャ設計の指針を提供します。

各項目は、実際の評価ルールと密接に関連しており、これらの原則に従うことで、セキュリティ要件を満たしつつ、堅牢で保守しやすいシステムを構築できます。

共通の設計原則

1. パブリックアクセスの制限

すべてのリソース(サーバー、データベース、データウェアハウスなど)は、必要最小限の範囲でのみアクセス可能であるべきです。特に、インターネットからの直接アクセスを避けるため、プライベートネットワーク内に配置してください。

実装方法

  • 共有セグメントへの接続を避け、専用のスイッチやルーターを使用する

  • パブリックIPアドレスの割り当てを制限し、必要に応じてNATゲートウェイを介して外部通信を行う

対応する評価ルール

  • server-no-public-ip

  • dba-no-public-ip

  • addon-datalake-no-public-access

  • addon-dwh-no-public-access

2. ログの有効化と監視

すべての重要なリソースとサービスでは、ログの収集と監視が有効になっている必要があります。これは、異常な動作やセキュリティ侵害の早期発見に役立ちます。

実装方法

  • エンハンスドロードバランサなどのサービスでsyslog転送機能を有効にし、自身の監視システムへログを送信する

対応する評価ルール

  • elb-logging-enabled

3. アクセス制御と認証

リソースへのアクセスは、適切な認証と認可メカニズムによって保護されている必要があります。特に、管理者権限を持つユーザーの操作は厳しく監視する必要があります。

実装方法

  • サービスプリンシパルを使用してAPIアクセスを制御する

  • 会員権限による操作を監視し、必要に応じてアラートを設定する

  • オブジェクトストレージのバケットACLを適切に設定する

対応する評価ルール

  • iam-member-operation-detected

  • objectstorage-bucket-acl-changed

4. 脅威検知と脆弱性管理

システム全体で継続的な脅威検知と脆弱性管理が行われている必要があります。これにより、潜在的なセキュリティリスクを早期に特定し、対処できます。

実装方法

  • Add-onの脅威検知および脆弱性検知サービスを有効化する

  • 定期的に脆弱性スキャンを実行し、結果に基づいて適切な対策を講じる

対応する評価ルール

  • addon-threat-detection-enabled

  • addon-threat-detections

  • addon-vulnerability-detections

5. データ保護と暗号化

保存中のデータと転送中のデータは、適切に暗号化されている必要があります。また、データのアクセス権限は厳しく管理する必要があります。

実装方法

  • データベースやデータウェアハウスの暗号化機能を有効にする

  • オブジェクトストレージの各バケットで暗号化設定を有効にする

対応する評価ルール

  • disk-encryption-enabled

  • dba-encryption-enabled

  • nosql-encryption-enabled

  • objectstorage-bucket-encryption-enabled

各サービス別の設定例

各サービス別の推奨設計では、上記の共通原則を前提としたうえで、サービス固有の設定方法を示します。

サーバー

  • プライベートネットワーク内に配置し、共有セグメントやインターネットへの直接接続を避ける

  • 必要に応じてVPNやNATゲートウェイを介して外部通信を行う

  • 適切なパケットフィルタを設定し、不要なポートへのアクセスを制限する

データベースアプライアンス

  • プライベートネットワーク内に配置し、パブリックIPアドレスの割り当てを避ける

  • 定期的なバックアップと暗号化を実施する

データウェアハウス

  • パブリックネットワークアクセスを無効に設定する

  • データの暗号化とアクセス制御を適切に行う

エンハンスドロードバランサ

  • syslog転送機能を有効にし、ログの収集と監視を実施する

  • ヘルスチェックを適切に設定し、障害時の自動フェイルオーバーを実現する

  • SSL/TLS終端を適切に設定し、通信の暗号化を確保する

オブジェクトストレージ

  • バケットACLを適切に設定し、不要なアクセスを制限する

  • 各バケットで暗号化設定を有効にし、保存データを保護する

  • バケットポリシーを定期的にレビューし、変更があった場合は迅速に対応する

  • オブジェクトのバージョニングを有効にし、誤削除からの復旧を可能にする

まとめ

本ガイドラインに従ってアーキテクチャを設計・実装することで、さくらのクラウドのセキュリティコントロールの評価ルールを満たすだけでなく、堅牢でスケーラブル、そして保守しやすいクラウド環境を構築できます。

定期的にガイドラインを見直し、最新のセキュリティベストプラクティスを取り入れることが重要です。