データを預けるクラウドサービスを使うなら

三輪信雄

Ｓ＆Ｊコンサルティング代表取締役

2010.06.15

　前回は仮想サーバーを利用する際の注意点などを説明しましたが、今回は、ストレージや売上情報などのデータを預けるようなサービスを利用する際に注意すべき点などについて考えてみたいと思います。

　自社のデータを外部のクラウドサービス業者に預けることに対する脅威については、一般的に以下のような点が指摘されています。

データを外部業者に預けることによる漏えいの脅威の増大
クラウド業者が自社よりも大きな会社の場合、仮に訴訟を起こしても弁護士団や徹底した控訴などにより体力で負けてしまう可能性がある
クラウド業者を訴えようとすると海外の裁判所が指定されていることがある
海外にデータが置かれることにより、勝手に検閲されてしまう懸念がある

　さらに、以下の点も注意すべき点として挙げられると思います。

クラウド業者からデータが漏えいしたことが疑わしくても、当事者がそれを認めず、確かに漏えいしたという証明もできない
クラウド業者がデータを消してしまった場合、あるいは、データが壊れた場合に、当事者がそれを認めず、確かに壊れている、消えている、という証明ができない

　私もクラウドサービスでカレンダーを利用しています。先月のことですが、入力したはずのアポイントが消えていました。そのおかげで大事なアポイントをすっぽかしてしまいました。私は確かに入力したはずだし、消した覚えもありません。

　また、私の知り合いがレストランの予約をキャンセルしたはずなのに、キャンセルされていなくて請求が来たというハプニングに巻き込まれました。その知り合いも私と同様に確かにキャンセルしたと言っています。

　このようなことが、もし会社の重要な情報で起こったらどうでしょう。担当者は確かに入力したと言い張りながらもクラウド業者は障害を認めない。このようなことはいつ起こっても不思議ではありません。

　このような場合、ユーザー企業とクラウド業者の力関係にもよりますが、一般的にはユーザーがあきらめるしかありません。なぜなら、証明することができないからです。では、どうすればいいでしょうか？

　対策としては信頼できるログを信頼できる形で収集しておくということになります。しかし、クラウドの場合、サーバーはクラウド業者のものですから、クラウド業者がログをしっかり取っておくことが必要となります。しかも、いざというときにそれを閲覧できなければなりませんんし、該当する操作のログが十分に証明できる形で残されている必要があります。しかもクラウド業者のログそのものを信用できるか、ということも考えなければいけません。

　従って、問題が発覚してからクラウド事業者のログを入手するのではなく、日常的に操作ログを入手できる環境が必要となります。これはまだまだ未整備の状況ですので、「サーバーのログをいつでも参照／入手できる機能」をユーザーとして事業者に要望していかなければいけません。要望のない機能は業者は用意しません。ユーザーから要望することは、今後、クラウドをセキュアに利用するためになると思います。一部のクラウド事業者の中にはアクセス履歴をいつでも参照できるようになっている事業者もありますから、今後の機能拡充に期待したいところですし、クラウド事業者もアクセス履歴の提供を差別化の機能としてアピールして頂きたいと思います。

　一方で、クライアントの操作ログを取得しておくこともセキュリティ対策として盛り込むべき事項とです。例えば、キーストロークとかマウス操作、送信されたパケット、画面のハードコピーなどです。

　これらは、従業員の不正や誤操作の記録保持、または、クラウド事業者に起因する障害などを指摘するためにも役立ちます。ただし、パソコンそのものにログを記録しておくことは従業員の不正を想定した場合には無効な対策となります。パソコン上にあるログを改ざんされる恐れがあるからです。パソコンの操作ログは、社内の別のサーバー、あるいは第三者のパソコン操作ログの蓄積サービスなどを利用するべきでしょう。

　また、クラウドを利用する上で、認証も重要なセキュリティ対策になります。認証は古くて新しい話題となるでしょう。クラウドサービスにログインするためには、様々な認証方法が考えられますが、ここで重要な判断基準は「最高にセキュリティが高いこと」ではなく「セキュリティとコストと利便性のバランス」です。ワンタイムパスワードはコストの面と利便性を考慮するとベストなソリューションと言い切れません。また、頻繁にパスワードを変更することは、利便性を損なうと同時に、付せん紙をディスプレイに貼り付けたり、メモ帳などに書き留めたパスワードをパソコンと一緒に鞄に入れて持ち歩いたりするという問題を生み出します。

　クラウドに関する認証はこれから多くの製品やサービスが出てくると思われますので、コストとセキュリティそして利便性をバランスさせたソリューションを検討して頂きたいと思います。

　これまでクラウドのセキュリティ対策などについて考えてきましたが、インフラとしてもサービスとしても、セキュリティから見ればまだまだこれからの状況ですので、慌てて飛びつかずに比較的影響の軽微なシステムやデータから徐々に移行していきながら、ユーザとしてもノウハウを積んでいくことをおすすめします。