佐藤 健・西田助宏（ＮＲＩセキュアテクノロジーズ）

情報システムとして、クラウドコンピューティングの導入を検討する企業は多いが、実態としてそのペースは意外と鈍い。なかでも、クラウドの導入を阻害する要因として最も不安視されている点は、セキュリティであることがアンケート調査等の結果から見えてきた。利用者が不安を感じるほど、クラウドのセキュリティは未熟なのであろうか。本稿では、クラウドの利用を検討する企業の疑問を解いていこう。

コストパフォーマンスとセキュリティ

当社のアンケート調査によると、企業がクラウドサービスを選定する上で、最も重視するのはコストであることが分かった。一方、企業のクラウド導入を阻害する要因としては、セキュリティが一番の要因として挙げられた。当然ながら、情報セキュリティを考慮し、対策を重ねれば重ねるほど、多くのコストを要することになる。割安なサービスはチープなセキュリティしか持たないとイメージされるのも無理はない。

また、情報セキュリティ自体が直接利益を稼ぐものではなく、リスクヘッジでしかないという考えが主流である以上、企業にとってその重要性の判断は難しいものにならざるを得ない。実のところ、クラウドがセキュリティ的に脆弱であるかどうかの絶対的な判断に意味はない。重要なのは、個々の企業の現時点でのセキュリティレベルとの比較であるからだ。クラウドを導入することで企業のセキュリティレベルが向上するのか低下するのか、また低下するとして、そのリスクを許容できるかどうかを判断することが重要となる。

言い換えれば、クラウドが十分なセキュリティを備えているかどうかは導入する企業によって異なる、ということになる。クラウドが十分なセキュリティを備えていると判断する企業にとっては、クラウドは安価なサービスである、と言えるのかもしれない。しかし、強固なセキュリティを実装することを義務づけられている企業にとっては、クラウドのセキュリティは不十分で、クラウド導入時に追加のコストを支払い、セキュリティ対策を別途実装しなければならないケースもある。そうなると、コスト重視でクラウドを導入するはずが、期待するほどの結果を得られないことになる。

プライベート・クラウド

本質的には、クラウドによるリスクは、アウトソーシングによるリスクに該当する部分が多い。クラウドであるかないかに関わらず、アウトソーシングには機密漏洩などのリスクがつきもので、クラウドにも同様のリスク対策が必要になる。

一般に情報システムにおけるセキュリティの基本理念はConfidentiality（機密性）、Integrity（完全性）、Availability（可用性）の頭文字からCIAと呼ばれている。簡単に言えば、情報が漏洩することなく、また改ざんされることもなく、システムに障害もなくいつでも使えることが大切という意味である。

CIAの観点からクラウドを見るとき、システムやデータセンターが雲（クラウド）の向こう側にあるということが、利用者の不安をあおる要因となる。今まで自分たちでセキュリティをコントロールしていたシステムやデータが、雲の向こう側に移り、コントロールが及ばなくなるからだ。現実問題として、システムやデータを遠隔地に置くこと自体はそれほど珍しくはない。だが、複数の利用者が同一の環境に混在し、一律のサービスレベルで提供されるクラウドサービスでは、コントロールの主導権をクラウド事業者が握っている。そのため、コントロールを奪われる企業は、自分たちの業務に合わせてシステムをカスタマイズしてもらえるのか、障害時には自社の業務への影響度を考慮して、復旧するシステムの優先度を変えてくれるのか、といったことに不安を感じ始めるのである。ユーザの要望に対するきめ細かな個別対応に重点を置いてきたシステムやサービスに慣れた利用者であれば、なおさらだろう。

そこでひとつの解決策となるのが、プライベート・クラウド、という考え方である。企業個別に専用のクラウドを構築することで、クラウドの性質を確保しつつ、利用企業のコントロール下にクラウドを置くことができる。しかし、一般的にはスケールメリットを活かせないことで、パブリック・クラウドほどのコストメリットを得られない点には注意が必要だ。また、今までのシステム構築と何が違うのか、といった疑問を抱くシステム担当者も少なくない。

事故の発生を前提とした対応を実際のところ企業における情報セキュリティの問題は、純粋に技術的な要因によるものよりも、組織におけるルールの不備、あるいは人為的なミスによるものの方が圧倒的に多い。

日本ネットワークセキュリティ協会（JNSA）のレポートによると、個人情報漏洩事件（2009年）の原因の51％は管理ミスによるものであった。件数ベースで見ると、以下、誤操作（24％）、紛失・置忘れ（8％）と続く。よくニュースなどで話題になる、バグ・セキュリティホール、ワーム・ウイルスによる被害は、どちらも1％程度とそれほど多くない。

一方で、単なるミスではなく悪意を持った犯行も決して少なくない。被害件数ベースで見るとそれほど多くないが、被害人数で見ると内部犯罪・内部不正（29％）、不正アクセス（9％）と、多大な影響をもたらしていることがわかる。ミスにしろ犯罪にしろ、人がいちばんのセキュリティ上の脅威であることを示しているのかもしれない。

情報セキュリティの教科書通りの対策を行うのであれば、まずは職務を分離し、担当者に割り当てる権限を最小に留めることだ。しかし、企業の規模や状況によっては難しく、一人の担当者に大きな権限を割り当てざるを得ないケースもあるだろう。また、詳しくは後述するが、そもそも事故の発生をゼロにするのは極めて困難である。とすると、次に考えるべきであるのは、事件や事故が発生した際の対応、即ち、インシデントレスポンス、である。事故や不正が起きたときに

すみやかに正常な状態を回復し、被害を最小限に食い止める。

事故を前提とする考え方が重要となる。

セキュリティに対する「線引き」

そもそも情報システムにおいて完璧なセキュリティを築くことは、クラウドでなくとも難しいと言わざるを得ない。情報漏洩やシステム停止のリスクは、ある程度ゼロに近づけることは可能であっても、限りなくゼロに近づけようとすると、かかるコストが飛躍的に増加していくためだ。そのため、現実的には各企業ともリスクとコストを秤にかけたうえで、現実的な割り切りのもとでシステムを構築・運用している。

たとえば、車には通常、パンクというリスクに対する備えとして予備のタイヤが一つ積まれている。予備のタイヤを二つ載せている人はほとんどいないだろう。しかし、同時に二つのタイヤがパンクする可能性はゼロではない。三つのタイヤが同時にパンクする可能性もあるし、予備として準備していたタイヤがパンクすることだってあるだろう。パンクに対するリスクをゼロにすることが難しいことはお分かりいただけると思うが、どこまでの事態を想定して対策するのかの各ドライバーによる線引きが必要となる。

では、クラウド利用時に検討するセキュリティ対策において、企業はどこに「線」を引けばよいのだろうか。その一つの解が企業の持つセキュリティポリシーであり、企業が従うべきルールである。クラウドの導入に際して、各企業のクラウド導入担当者には、今一度自社のセキュリティポリシーやルールを確認することを是非お勧めしたい。もし、企業が持つルールを参照してもクラウドを導入してよいかどうかの判断がつかない、ということであれば、企業のポリシーやルールが形骸化している、あるいは、クラウドに対応できていない、ということに他ならない。その際は、ポリシーやルールを見直す作業が必要となる。

クラウド事業者の多くは、比較的セキュリティ対策に熱心で新技術の取入れにも意欲的だ。だが、事業者が多くなるとどうしても玉石混交の感が出てきてしまう。

日本でも経済産業省を中心にガイドライン策定の動きが進みつつあり、将来的にはクラウドに対応した第三者機関による監査や認証制度が整備される可能性もあるが、現在の制度はまだそこまで熟していない。

クラウドを利用する各企業が、それぞれのセキュリティ基準を持ち、それにマッチするクラウド事業者を見つけることができればいいのだが、クラウドと称するサービスが次々と登場する中で、多くの企業は詳細を把握することができないまま戸惑いを抱えている状況なのではないだろうか。

いずれにせよクラウドは一過性のブームで終わるものではなく、IT業界のパラダイムシフトの一角を担うものだと当社では考えている。拙速に導入する必要はないだろうが、目配りだけは欠かさないでおきたい。