クラウドコンピューティングのセキュリティ対策において重要なのは、クラウドコンピューティングが採用される前から存在していた脅威、クラウドによって強調される脅威、クラウドによって発生する脅威を分けて対策を講じていく必要があります。以下では、クラウドによって強調される、またはクラウドによって発生する脅威について触れます。
ハイブリッドクラウド環境での脅威
プライベートクラウドは、既存のIT資産と共存し、その上でパブリッククラウドが提供するサービスとも連携するハイブリッドな環境を前提としなくてはなりません。そうした環境での脅威を図1に示します。
まず問題になるのは、企業のセキュリティポリシーとクラウドコンピューティングのコンプライアンス規則の不適合です。外部のデータセンターに委託できるデータの種類やアクセスの記録レベルなどを調整しなければなりません。また、パブリッククラウドを利用する他のユーザーやクラウド提供者による不正な情報アクセスや漏洩、および、データの紛失・改竄などが重大な経営リスクにならないようにルールを決める必要があります。
企業グループ全体で共有するクラウドコンピューティング環境を構築する場合には、グループ各社のセキュリティ・ポリシーの統一が必要になります。逆説的ですが、クラウドコンピューティング環境においては基礎的な情報を一括して管理し、各社の求めるセキュリティレベルに応じた対応を行うことができるため、グループ各社のセキュリティ対応の変化に安全に対応していくことが可能になります。
ハイブリッドなクラウドコンピューティング環境では、ユーザーIDなどのアイデンティティーの表現がバラバラで、アイデンティティーの非一致という課題があります。インターネット上で使われている「OpenID」や、シングルサインオンのセキュリティトークンのフォーマット「SAML(Security Assertion Markup Language)」、さらに通常のユーザーIDとパスワードなど、アイデンティティの表現はまちまちで、認証認可のためのポリシー実装もバラバラです(図2)。
