「Jumping on the Cloud (In)security Bandwagon」より
May 12,2010 Posted by Sam Masiello
Robert Westervelt氏の2010年5月6日(米国時間)付け記事によると、クラウドコンピューティングの大規模導入を先延ばしにしている米連邦政府機関の最高情報セキュリティ責任者(CISO)たちは、その理由としてセキュリティ面の懸念を挙げたという。同じ意見は以前から何度も繰り返されている。英コルトテレコムグループが2009年の終わりに英国の調査会社、ポーショリサーチに依頼して実施した調査では、欧州企業の最高情報責任者(CIO)およびIT意思決定者の68%が「クラウド対応サービス導入の障害は、セキュリティに対する不安」と答えていた。ほかの調査会社が行った同様の調査でも、「クラウドコンピューティングにおける最大の問題はセキュリティ」とする回答者は平均で55~70%いた。これから長い期間クラウドコンピューティング市場が機能し続けるには、「クラウド対応サービスはセキュリティが不安」というイメージを問題ととらえ、解決しなければならない。
この問題を考えると、自然と「クラウド対応サービスは、同じまたは同等の機能を社内で実現するソリューションに比べて、安全だろうか」という疑問が沸く。筆者はこの疑問に「クラウド対応サービスの方が安全でなければならない」と答えよう。
中小企業では、必要最小限のITスタッフしか配置せず、一度に処理可能な作業量を上回る仕事を担当させる例が珍しくない。こうしたIT猛者は社員のデスクトップ/ノートパソコンをサポートする辛い作業に長時間かり出されるだけでなく、インターネット接続やメールサーバー、財務/会計システム、イントラネット、その他重要なシステムが日々の社内業務を滞りなく進められるようメンテナンスも担当する。セキュリティは後回しにされがちで、IT部門が「空き時間」に対応している。クラウド対応サービスには「サービス提供者は顧客の重要なデータを保管すると同時に、顧客のライバル企業の極めて大切な知的財産も保管する」という特性がある。このためクラウドサービス提供者では、クラウド用インフラや保管データのセキュリティを損なうと、会社の存続に影響する。
こうしたことから、筆者の「クラウド対応サービスの方が安全でなければならない」という考えに疑問や異論は出ないだろう。この考えを進めると、クラウドサービス提供者は、インハウスのソリューションと長期にわたって競合し続けるためにも、「クラウドは信頼できない『無法地帯』」と恐れる企業を安心させるためにも、各種標準やベストプラクティス、ベンチマークを導入する必要がある。
クラウド・コンピューティングのセキュリティ確保を目指す業界団体、Cloud Security Alliance(CSA)は、クラウドサービス提供者が順守すべき重要な分野やベストプラクティスをテーマとした文書や調査報告書を発行し、クラウド領域のセキュリティ向上に取り組んでいる(関連記事:クラウドのセキュリティ確保を目指すCSA,ガイダンス第2版を公開)。これは大きな前進である。今後大切なのは、競争が激化していくクラウド市場で生き残りをかける企業が、こうしたベストプラクティスや標準に対応することだ。クラウドサービス提供者が差異化につながる標準を導入し、重要な認定(ISO 27001など)を取得すれば、我々にとっては、サービス提供者を実際の使用環境で比べる手段が増える。そして、今後もクラウドサービス市場で事業展開し続けることに真剣なサービス提供者と、この流行に乗って次の流行が来る前に手早く稼ぎたいだけのサービス提供者を区別できるようになる。
Copyrights (C) 2010 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Jumping on the Cloud (In)security Bandwagon」でお読みいただけます。
