クラウド利用に関するセキュリティポリシーの追加が急がれます。
IT界ではまさにクラウド一色の様相を呈しています。しかしながら、ほとんどの企業において、まだその利用に関するセキュリティポリシーの追加や修正は行われていません。それにも関わらず、クラウドサービスの利用はどんどん進められています。
これまでのASP(Application Service Provider)サービスでは、セキュリティ上のリスクは「ASP事業者が信頼できるのか」の点にしぼられてきたと言っていいでしょう。ASPサービスの多くは、事業者が用意したサーバーをデータセンターに配置して、そのサーバーをインターネット経由で利用するものだったからです。ASPの進化形のようにも言われるクラウドですが、技術的には仮想化技術が使われるなど、全く基盤が異なります。クラウドを利用する際に特有のセキュリティリスクは技術的には以下のようなことが考えられます。
- 仮想サーバーのシステムイメージがコピーされ、情報が漏えいする
- コピーされた仮想サーバーのシステムイメージが改ざんされる
- 隣の仮想サーバーから未知の方法で侵入されてしまう
- 仮想サーバーのホストOSから侵入されてしまう
これらは、すでに多くのセキュリティや仮想コンピュータの専門家から指摘されていることです。しかし、残念ながら検知・防御する技術はまだありません。仮想コンピューター技術が本格的に利用され始めたのがここ数年のことなので、利用促進が先行しているのが現状です。
確かに、メリットは多くあります。インターネットがなかったころに比べてインターネットが普及した今、そのメリットに疑いを持つことは無いでしょう。
しかし、インターネットも最初はメリットばかりが強調されて普及が進んだ後で、情報セキュリティという問題がクローズアップされました。クラウドも同じような歴史を辿る可能性があります。
クラウドは前述のように技術的にまだまだ未知の脆弱(ぜいじゃく)性が眠っていると考えられています。それは事業者の安全性、国境をまたいだ情報の流通といった問題とは別のものです。もちろん、情報がどこにあるのか、誰が扱っているのか管理できなくなるという問題は大きいものです。
従って、ASPサービスのときのように事業者が信用できるかという問題以上の大きなテーマに向き合う必要があります。
今はまさに「みんなで渡れば怖くない」という状況であると言えます。最初は怖がっているものの、みんながやっていると分ればみんなやるという悪い流れにあるように思えてなりません。
また、全社的なセキュリティポリシーがないことをいいことに「コスト削減と利便性の向上」を掲げてユーザー部門主導でクラウドが導入されてしまっている例も多く出始めたようです。日本ではユーザー部門が情報化の予算を握っているケースが多く、情報システム部門の知らないところでのクラウドの導入がまかり通り始めたのです。
このような状況になると、個々の案件ベースでクラウドのセキュリティがどうのこうのと議論していては間に合いません。全社的なセキュリティポリシーに、クラウドに関する記述を書き込む必要があるのです。
セキュリティポリシーに書き込むべきクラウドの利用に関する記述は以下のようなものが考えられます。
1. クラウドサービスの定義
2. クラウドに預けてよい情報、預けてはならない情報
3. クラウドに顧客情報などの重要な情報を預ける場合の技術的な対処
4. クラウドサービスの選定基準
5. クラウドサービスを利用する場合の社内承認手続き
次回からはこれらについて具体的に考えていきたいと思います。
