自分のデータが安全な状態にあるかどうかは、データセンターのセキュリティに大きく依存する。しかしユーザーにはデータセンター内部の状況が見えない。ではどうやって、ユーザーはデータの安全性を確かめたり、対策したりできるのだろうか。
安全性については、大きく二つの考え方がある。一つは「セキュリティレベルの高いクラウドサービス事業者にすべての対策を任せる」という考え方。サービスのセキュリティに関して公開されている資料を精査し、自分の納得がいくサービスを選ぶことになる。
もう一つは「サービス事業者に任せきりにするのではなく、なるべく自分の手でセキュリティレベルを高く保つ設定を施す」という考え方だ。ユーザー側の設定ミスによって逆にセキュリティレベルが下がるという危険性があるため、きちんと知識を持ったユーザーであることが前提だ。さらに、セキュリティレベルが高いのはもちろんのこと、セキュリティ設定の自由度が高いサービスを選ぶ必要がある。ここでは後者に注目し、ユーザーがどこまで設定できるのかを見ていこう。
複数あるクラウドのサービス形態
セキュリティ設定の自由度は、クラウドサービスのタイプによって大きく異なる。まずはクラウドサービスにどのようなタイプがあるのかを押さえておこう。
クラウドサービスはシステムの利用形態によって「パブリッククラウド」と「プライベートクラウド」に分かれる(図7)。パブリッククラウドは複数のユーザー企業がサービス事業者のシステムを共有する形態だ。これに対しプライベートクラウドは、ユーザー企業がシステムの一部を専有する形態や、自社でクラウド環境(仮想化されたシステム)を構築し利用する形態を指す。
また、事業者が提供する内容によっても分けられる。事業者がアプリケーションを提供するSaaS(サース)、アプリケーションの実行環境(OS)を提供するPaaS(パース)、OSを稼働させる仮想化環境(仮想マシン)を提供するIaaS(イアース)/HaaS(ハース)である。
SaaS、PaaS、IaaSのそれぞれで、ユーザーが設定できる範囲は異なる。言い換えれば、ユーザーが責任を持つ範囲が異なるわけだ。
SaaSの場合、ユーザーは基本的にアプリケーションを稼働させるシステムには触ることができない。共有設定や、メールの添付ファイルなど可能なものは暗号化して送るように注意するくらいだ。
PaaSだとユーザーにはアプリケーションを管理する責任が生じる。このため、アプリケーションのぜい弱性に対処したり、攻撃を防ぐため通信ポートを制限するといった設定をユーザー自身ができるようになる。
さらに設定できることが多いのがIaaSだ。OSやミドルウエア、アプリケーションをユーザーの責任で管理する。Amazon EC2のユーザーであるTIS/SonicGardenの並河 祐貴(なみかわ ゆうき)さんは、「セキュリティ周りの機能は結構充実しているので、設定にさえ気を配れば希望するセキュリティレベルを確保できます」と評価する。ほかにも、ウイルス対策などのセキュリティソフトや、VPNソフトをインストールできる。
