クラウドサービスを利用する場合、セキュリティ対策の多くを事業者に委ねることになる。提供されるシステム基盤やアプリケーションサービスの脆弱性対策、データセンターの物理的な安全対策などだ。だからといって、セキュリティ対策を事業者に任せきってはいけない。
クラウドサービスに対しても、社内システムと同様のセキュリティレベルを保てるように配慮する必要がある。ポイントは大きく三つある。(1)パスワードライフサイクルの管理を徹底する、(2)社外PCからの利用に注意する、(3)統合ID管理の仕組みを導入しているならクラウドサービスとの連携も視野に入れる、である。
一つ目のパスワードライフサイクルの管理では、SaaS(Software as a Service)を利用する際に特に注意が必要になる。
多くのSaaSは、利用部門単位で気軽に契約して、すぐに使い始められる。情報システム部門に確認することもなく利用が始まると、IDとパスワードの管理が利用部門に委ねられることになる。全社のセキュリティポリシーでは、退職時のID消去ルールなどを決めていても、それが守られるとは限らない。情報漏えいなどのリスクが高まることになる。
SaaSを利用する場合のパスワードライフサイクルについても、セキュリティポリシーの中で明確に定義し、社内で徹底することが必要だ。
二つ目の社外PCからの利用に関しては、ほとんどのクラウドサービスで注意が必要になる。多くのサービスはインターネット経由で提供されており、特別に配慮しなければ、どんなPCからもアクセスできてしまう。
社員の自宅のPCや、インターネットカフェなどのPCから利用可能だと、PCのウイルス対策が不完全だったり、ログアウトを忘れて第三者に利用されたりといったリスクが出てくる。PCにキーロガーなどが埋め込まれていると、パスワードや機密情報の漏えいにもつながりかねない。
クラウドサービスには、アクセス元のIPアドレスを制限したり、VPN接続で利用したりできる機能を持つものがある。そうした機能を活用して、想定しない社外PCからのアクセスは遮断するようにしたい。
三つ目に、社内システムで統合ID管理システムを導入しているなら、クラウドサービスにも適用範囲を広げることを検討したい。
米Googleや米Salesforce.comは、標準仕様の認証連携技術であるSAML(Security Assertion Markup Language)などを実装している。多くの統合ID管理システムとも連携が可能で、IDの登録、変更、削除を一元的に実行できるようになる(図1)。1回のログインでどのシステムも利用できるシングルサインオンの仕組みを提供できるメリットもある。
統合ID管理システムがあれば、各システムへのアクセスログを一元的に記録することも可能だ。ログを十分に残せないSaaSを利用する場合でも、一定レベルの証跡を残すことができる。
このようにクラウドサービスを利用する場合でも、きちんと社内のルールを作り、セキュリティ対策を施すことが求められる。
日本ヒューレット・パッカード テクノロジーサービス事業統括 テクノロジーコンサルティング統括本部 ソリューションビジネス推進本部 ビジネス開発 担当部長