クラウド導入のジレンマ〜見えにくいクラウドのセキュリティ問題

IT批評
Pocket
LINEで送る

佐藤 健・西田助宏(NRIセキュアテクノロジーズ)

情報システムとして、クラウドコンピューティングの導入を検討する企業は多いが、実態としてそのペースは意外と鈍い。なかでも、クラウドの導入を阻害する要因として最も不安視されている点は、セキュリティであることがアンケート調査等の結果から見えてきた。利用者が不安を感じるほど、クラウドのセキュリティは未熟なのであろうか。本稿では、クラウドの利用を検討する企業の疑問を解いていこう。

コストパフォーマンスとセキュリティ

 

当社のアンケート調査によると、企業がクラウドサービスを選定する上で、最も重視するのはコストであることが分かった。一方、企業のクラウド導入を阻害する要因としては、セキュリティが一番の要因として挙げられた。当然ながら、情報セキュリティを考慮し、対策を重ねれば重ねるほど、多くのコストを要することになる。割安なサービスはチープなセキュリティしか持たないとイメージされるのも無理はない。

また、情報セキュリティ自体が直接利益を稼ぐものではなく、リスクヘッジでしかないという考えが主流である以上、企業にとってその重要性の判断は難しいものにならざるを得ない。実のところ、クラウドがセキュリティ的に脆弱であるかどうかの絶対的な判断に意味はない。重要なのは、個々の企業の現時点でのセキュリティレベルとの比較であるからだ。クラウドを導入することで企業のセキュリティレベルが向上するのか低下するのか、また低下するとして、そのリスクを許容できるかどうかを判断することが重要となる。

言い換えれば、クラウドが十分なセキュリティを備えているかどうかは導入する企業によって異なる、ということになる。クラウドが十分なセキュリティを備えていると判断する企業にとっては、クラウドは安価なサービスである、と言えるのかもしれない。しかし、強固なセキュリティを実装することを義務づけられている企業にとっては、クラウドのセキュリティは不十分で、クラウド導入時に追加のコストを支払い、セキュリティ対策を別途実装しなければならないケースもある。そうなると、コスト重視でクラウドを導入するはずが、期待するほどの結果を得られないことになる。

 

プライベート・クラウド

 

本質的には、クラウドによるリスクは、アウトソーシングによるリスクに該当する部分が多い。クラウドであるかないかに関わらず、アウトソーシングには機密漏洩などのリスクがつきもので、クラウドにも同様のリスク対策が必要になる。

一般に情報システムにおけるセキュリティの基本理念はConfidentiality(機密性)、Integrity(完全性)、Availability(可用性)の頭文字からCIAと呼ばれている。簡単に言えば、情報が漏洩することなく、また改ざんされることもなく、システムに障害もなくいつでも使えることが大切という意味である。

CIAの観点からクラウドを見るとき、システムやデータセンターが雲(クラウド)の向こう側にあるということが、利用者の不安をあおる要因となる。今まで自分たちでセキュリティをコントロールしていたシステムやデータが、雲の向こう側に移り、コントロールが及ばなくなるからだ。現実問題として、システムやデータを遠隔地に置くこと自体はそれほど珍しくはない。だが、複数の利用者が同一の環境に混在し、一律のサービスレベルで提供されるクラウドサービスでは、コントロールの主導権をクラウド事業者が握っている。そのため、コントロールを奪われる企業は、自分たちの業務に合わせてシステムをカスタマイズしてもらえるのか、障害時には自社の業務への影響度を考慮して、復旧するシステムの優先度を変えてくれるのか、といったことに不安を感じ始めるのである。ユーザの要望に対するきめ細かな個別対応に重点を置いてきたシステムやサービスに慣れた利用者であれば、なおさらだろう。

そこでひとつの解決策となるのが、プライベート・クラウド、という考え方である。企業個別に専用のクラウドを構築することで、クラウドの性質を確保しつつ、利用企業のコントロール下にクラウドを置くことができる。しかし、一般的にはスケールメリットを活かせないことで、パブリック・クラウドほどのコストメリットを得られない点には注意が必要だ。また、今までのシステム構築と何が違うのか、といった疑問を抱くシステム担当者も少なくない。

事故の発生を前提とした対応を実際のところ企業における情報セキュリティの問題は、純粋に技術的な要因によるものよりも、組織におけるルールの不備、あるいは人為的なミスによるものの方が圧倒的に多い。

日本ネットワークセキュリティ協会(JNSA)のレポートによると、個人情報漏洩事件(2009年)の原因の51%は管理ミスによるものであった。件数ベースで見ると、以下、誤操作(24%)、紛失・置忘れ(8%)と続く。よくニュースなどで話題になる、バグ・セキュリティホール、ワーム・ウイルスによる被害は、どちらも1%程度とそれほど多くない。

一方で、単なるミスではなく悪意を持った犯行も決して少なくない。被害件数ベースで見るとそれほど多くないが、被害人数で見ると内部犯罪・内部不正(29%)、不正アクセス(9%)と、多大な影響をもたらしていることがわかる。ミスにしろ犯罪にしろ、人がいちばんのセキュリティ上の脅威であることを示しているのかもしれない。

情報セキュリティの教科書通りの対策を行うのであれば、まずは職務を分離し、担当者に割り当てる権限を最小に留めることだ。しかし、企業の規模や状況によっては難しく、一人の担当者に大きな権限を割り当てざるを得ないケースもあるだろう。また、詳しくは後述するが、そもそも事故の発生をゼロにするのは極めて困難である。とすると、次に考えるべきであるのは、事件や事故が発生した際の対応、即ち、インシデントレスポンス、である。事故や不正が起きたときに

すみやかに正常な状態を回復し、被害を最小限に食い止める。

事故を前提とする考え方が重要となる。

Pocket
LINEで送る

1 2