クラウドコンピューティングにおけるセキュリティ対策 – 第1回

※本記事は、マカフィー株式会社 コーポレートサポート本部 本部長 諸角昌宏によるものです。

「クラウドを利用するにあたっての不安は?」というアンケートをいろいろなところで見かけますが、その第1位は必ず「セキュリティ」という結果になります。この中には、「社外に自社情報を保管すること」や「クラウド事業者の事業継続性」という点も含んだ大きく「セキュリティ」という括りでとらえられる問題ということになります。今回の記事では、クラウド環境におけるセキュリティの問題と対策について取り上げます。

しかしながら、実際には、「既存の企業内システムよりもクラウド環境の方が、よりセキュリティ的に問題があるかどうか」ということ自体が明確になっていないため、多くの企業は漠然とした「不安」を抱えています。例えば、同じWebアプリケーションを企業内ネットワークで動かす場合とクラウド上で動かす場合、どちらの環境でも同じ攻撃を受けます。また、同じウイルス対策ソフトを使用し、同じウイルス定義ファイルを使用していれば、企業内システムとクラウドではブロックできるウイルスは全く同じレベルです。このようにセキュリティ対策を技術的に考えていくと、企業内システムに比べてクラウドがセキュリティ上問題になるとは言えないことになります。また、管理者のレベルという点では、企業がIT部門にセキュリティの専門家を抱え込むことは人材面、コスト面で非常に難しくなってきています。

その一方で、クラウドではシステムを統合しているため、セキュリティの専門家を集中的に配置できます。つまり、セキュリティに対するセキュリティ管理者のレベルは、基本的にクラウドの方が高いといえるでしょう。またインフラの堅牢性という点では、企業内で高可用性のための構成や災害対策用のディザスタリカバリの構成を取ることは、コスト的に難しい場合がありますが、クラウドではこのような機能を容易に提供できます。クラウドであるがゆえにセキュリティの問題があるということではなく、むしろ企業内システムよりクラウドの方が安全であるという結論が導かれます。

では、クラウドにおいてセキュリティが「最も不安」である状況とは、何を指すのでしょうか。例えば、重要なデータやファイルの管理が第三者に任されることになるため、その法律の遵守はどうなるのか。コンプライアンスへの対応はどうなるのか。クラウド事業者が倒産した場合、ユーザのデータの保証はどうなるのか。バックアップ、障害時のデータの復元、災害対策はどうなのか。あるクラウド事業者に依存してしまうことによって発生するリスクは、回避できるのか。クラウド上に展開されるアプリケーションは、本当に安全なのか。このような問題や懸念は、つきつめていくと「企業の管理者が直接管理できないことによる不安」ということになります。

今回は、まず、クラウド環境において今までのセキュリティ対策と比較してどのような問題が発生するのかを説明します。次回以降では、クラウドに対するセキュリティ対策の現状、その中でどのような形でクラウドが利用できるか、また、クラウドセキュリティに対して現在進められている取り組みとして、日本でも活動が進められている日本クラウドセキュリティアライアンス(Cloud Security Alliance Japan Chapter (CSA JC) )について紹介します。

クラウド環境におけるセキュリティの問題と対策
ここでは、既存の企業内システムと比べてクラウドであるがゆえに発生するセキュリティの問題について改めて解説し、それに対して取るべき対策について記述していきます。

クラウドのセキュリティの問題について考えるには、まず、クラウドがどのようなものであるかという前提となる定義を行う必要があります。クラウドの定義については様々に述べられていますが、ここでは、幅広くセキュリティの専門家が関わりさまざまな標準団体と協調しているクラウドセキュリティアライアンス(CSA)のモデルを用いることとします。CSAでは、クラウドコンピューティングをレイヤーモデルで表現し、それをクラウド参照モデルとして定義しています。これは、SaaS, PaaS, IaaSという3つのクラウドの展開形態をS-P-Iモデル(SaaS, PaaS, IaaSの頭文字を取った名前)として、それぞれSaaSを基盤、PaaSをIaaS上のミドルウエア、SaaSをPaaS上の完成されたアプリケーションという形で表現しています。このS-P-Iモデルとセキュリティの関係を図示したものが以下になります。これをセキュリティの観点から言うと、IaaSでは、セキュリティ自体を利用者が自ら作りこむ必要がありますが、SaaSではRFPとしてセキュリティの要件定義を行い事業者に対して求めていくということになります。

このSPIモデルを基にセキュリティ対策を考えていくわけですが、クラウドサービスの展開モデルにより対策の方法が変わってきます。展開モデルとは、CSAも参照している以下のNISTの定義で、パブリック、プライベート、ハイブリッド、コミュニティというものです。

結論としては、クラウドのセキュリティを考える場合には、SPIモデルとしてどのような提供モデルを取るか、また、どのような展開モデルを取るかということをベースに、セキュリティ対策を考える必要があるということになります。

次回は、クラウドに対するセキュリティ対策の現状、その中でどのような形式でクラウドが利用できるかについて説明していきたいと思います。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速