「クラウドによって新たにもたらされたリスクや課題がある。移行にあたって利用者は、契約事項やサービスレベルを確認するとともに自衛する必要がある」。NRIセキュアテクノロジーズ テクニカルコンサルティング部の鈴木 伸 部長は2010年2月23日、同社開催の「情報セキュリティマネジメントセミナー2010」に登壇し、こう指摘した(写真1)。
鈴木部長の講演タイトルは「クラウドにおける情報セキュリティのポイントと対策の方向性」だ。まず、「クラウドが不安に思われているのは、いくつか事件があったから」として、米セールスフォース・ドットコムの全サービスが2010年1月4日に1時間強停止した事例や、米アマゾン・ドットコムのサービスの一部サービスで性能が低下した事例などを紹介。こうした事故の原因についてしっかり説明されていないことが不安につながっていると語った。
そのうえでクラウド移行における具体的なセキュリティ面のリスクや課題を、法・制度的な観点と技術的な観点の両面から説明した。
法・制度的な観点としては、サーバーを設置してある国やネットワークの経由国の法令に従う必要があることなどを解説。例えば米国のサーバーにデータが保存されている場合、パトリオット法によって、テロ対策などの目的でデータを閲覧されたりサーバーを押収されたりする可能性があるという。
技術的な観点からは、ネットワーク、ホスト、アプリケーション、データそれぞれについて事業者とユーザーの責任範囲を整理し、注意すべきリスクと対策を述べた。例えばホストに関しては、SaaSやPaaSではユーザー側でセキュリティのコントロールはできないが、IaaSだとユーザーには仮想マシンを管理する責任が生じる。このため、インターネット経由の攻撃や仮想マシン間の攻撃といったリスクを考慮して、従来の物理サーバーと同レベルのセキュリティ対策をすべきだとした。
確かに社内のシステムをクラウドへ移行することによって得られるメリットは大きい。しかし、移行すべきではないシステムもある。移行すべきか、移行する際にはサービスのセキュリティレベルを見極める必要がある。さらに、契約時には契約事項やサービスレベルなどをきちんと確認することが重要――。鈴木部長は、こう指摘する。それでも残る課題に対しては、「様々なセキュリティのソリューションを使って自社で防衛することも必要」(鈴木部長)である。
当初は説明資料を1枚掲載していましたが、セミナー内限定だったため現在は掲載しておりません。 [2010/02/24 10:30]
