ITシステムの基盤としてクラウドサービスが使われるようになった現在、オンプレミスを対象とした従来のセキュリティとともに、クラウドサービスを対象とした“クラウドセキュリティ”が注目を浴びている。ところが、「クラウドではセキュリティを犠牲にするしかない」といったように、クラウドセキュリティには誤解が多い。本記事は、クラウドセキュリティの典型的な6個の解を明らかにする。
クラウドセキュリティの典型的な誤解は、以下の六つである。
誤解1:クラウドのセキュリティリスクは大きい
誤解2:クラウドセキュリティの責任はクラウドベンダーにある
誤解3:クラウドを利用していないから、関係ない
誤解4:クラウドではセキュリティを諦めるしかない
誤解5:クラウドセキュリティは全てMicrosoftで解決する
誤解6:クラウドセキュリティは特殊なセキュリティである
クラウドセキュリティに対する誤解を生む原因の一つは、人によってクラウドセキュリティの定義が異なることである。クラウドセキュリティを、漠然と捉えたり、細かく捉えたりしている。マルチテナントや異種混在といったクラウドの特徴が、定義の揺れを生み、クラウドセキュリティに対する誤解を生んでいる。
クラウドセキュリティの定義が人によって異なることが分かる例に、ガートナーが実施したクラウドセキュリティについての理解度調査がある。「十分理解している」と「ある程度は理解しているが、全体として整理できているかは分からない」のどちらを選ぶかは、スキルにもよるが、回答者のクラウドへの認識にもよるだろう。
誤解1:クラウドのセキュリティリスクは大きい
よくある言説に「クラウドは危ない」というものがある。しかし、これは誤解である。事業者によっては危ないクラウドサービスもあるが、クラウドサービスの全てが等しく危ないわけではない。はっきりいえば、クラウド事業者の規模に応じてセキュリティリスクは変わる。
「Tier 1」に分類される大手プロバイダと、「Tier 3」に分類される小規模プロバイダでは、リスクは全く異なる。米Amazon Web Services(AWS)、米Microsoft、米Google、米Oracle、米Salesforce.comなどがTier 1に当たる。こうした大手事業者の場合、標準もしくはオプションでセキュリティ機能が提供されている。よってセキュリティを過度に危惧する必要はないが、機能を使いこなすのはあくまでもユーザーであることを忘れてはならない。
これに対してTier 3に当たる小規模プロバイダの典型例となるのが、小さなアプリケーションベンダーである。オンプレミスでの販売だけでなく、自社データセンターを使ってSaaS型で提供するといった例が当てはまる。あまり有名とはいえないベンダーが、どこにあるのか分からないデータセンター設備でSaaSを提供していたりする。
Tier 3の小規模プロバイダについては、そもそもセキュアではないと考える。そしてその上でリスクを受容できるかどうかを評価する姿勢が大切である。