前回まで主にクラウドの悪用方法について説明してきた。一連の説明の中で使用した事例は、なるべく理解しやすいものを使用してきた。

図●クラウドを使用してWPA-PSK事前共有鍵の辞書攻撃を行うサービス
[画像のクリックで拡大表示]

 実のところ、クラウドの悪用方法はほかにもいろいろ考案されている。SalesForce上でWebアプリケーションとして動作するCGIスキャナ、多数のインスタンスを使用したパスワードリマインダ破り、WPAキーの解読()などが現在のところ挙げられる。今後、これら以外の方法も考案され得るであろう。

 このような状況下で、クラウドを悪用させないための対策はあるのか。技術的に取り得る策はある。クラウドから送信される迷惑メールを問題視するのであれば、クラウド事業者そのものが利用者の了解を得た上でクラウドから送信される迷惑メールをフィルタリングすればよい。クラウドから送信される攻撃パケットを問題視するのであれば、同様にクラウド事業者が利用者の了解を得た上でクラウドから送信される攻撃パケットを、IPS(侵入防止システム)などを使用して止めてしまえばよい。止めたログをもとに、利用者を特定する仕組みを整備して、アカウントを停止してしまえばよい。

 さて、ここで立ち止まる必要がある。その情報セキュリティ対策コスト、果たして誰が負担するのか。残念ながら、こうした情報セキュリティ対策整備のコストは利用料へ反映され、最終的には利用者の負担となると考えるのが自然だろう。

 従って、仮にこうしたクラウドからの攻撃を事業者側の取り組みで完全に防ぐとなると、そのコストを含む形となったクラウドの利用料は、もはやクラウドを使用する理由としてはふさわしいものではなくなるだろう。そしてクラウドを使用する最大の理由はコストであり、その理由が消滅することはどういうことを意味することになるのか、自明なはずだ。

 とはいえ、我々は知らず知らずのうちにクラウドの恩恵を受けている。例えば筆者もTwitterを使用してつぶやいているが、このサービスを利用できるのもクラウドの恩恵である。そう、知らず知らずのうちに我々は、クラウドを使う立場になっている。

 そうした社会の中で、クラウドにおいて情報セキュリティ対策として解消すべき課題は、従来からある課題と新しい課題の両方を今もなお含んでいる。2010年はクラウドにとってこうした課題がより明確になる。そして、これを乗り越えた先に本当のクラウドの時代が到来するのではないか。筆者はそう考えている。

新井 悠(あらい ゆう)
ラック サイバーリスク総合研究所 研究センター長
2000年、株式会社ラック入社。セキュリティ診断サービス部門を経験したのち、コンピュータセキュリティ研究所にて脆弱性の分析、R&D部門の統括、ネットワークセキュリティ脅威分析などのコンサルティング業務やセキュリティアドバイザーを経て、現職。