もはやオンプレミス以上のセキュリティを確保できるともいわれるクラウド。だが、セキュリティ対策が不要になったことを意味するわけではない。例えばIaaS/PaaS上で構築されたシステムに関するセキュリティ対策はIaaS/PaaSベンダーの責任範囲外であり、そこはユーザー企業がセキュリティを意識すべき部分である。クラウドインテグレータ（CIer）やセキュリティベンダーは、そこに商機を見出している。24時間365日、止まることなく成長を続けるクラウドサービス。セキュリティ対策ビジネスも眠らない。（取材・文／畔上文昭）

●難しいセキュリティ投資とユーザー企業の責任範囲

　悪意のある者の攻撃手法は常に進化している。狙い撃ちされるようなことがあれば、ひとたまりもない。その先には、想像を絶する規模の被害が待っている。

　一方、多くの企業では情報セキュリティに関する被害が生じていないか、あるいは気づくような被害が発生していないという実情がある。警察庁が2月に発表した「不正アクセス行為対応等の実態調査」によると、68.5％の企業や団体が過去1年で被害は生じなかったとしている。ひとたび何かが起きれば甚大な被害が発生するとしても、実感できないことに対して投資するという判断は難しい。

　また同調査によると、セキュリティ対策の問題点として挙げられたのは「費用対効果がみえない」（53.7％）がトップであり、「どこまで行えばよいのか基準が示されていない」（45.5％）が続いている。多くのユーザー企業がセキュリティ対策に迷っていることがわかる。

　その迷いは、クラウドに対してはどうだろうか。クラウドはサービスの性格上、ユーザー企業ではコントロールできない部分が必ずある。それがユーザー企業に漠然としたセキュリティの不安を与えてきた。

　しかし、逆の見方をすれば、オンプレミスはすべての責任がユーザー企業側にあったが、例えばIaaSであればインフラ基盤の部分はセキュリティが担保される。ユーザー企業側で対応すべきセキュリティの範囲が狭くなったといえるのである。クラウドが普及し、事例が増えてきたことで、クラウドに対する漠然とした不安は払拭されつつあるのは、そうした認識が広まってきたからだ。


●クラウドのセキュリティはCIerのビジネスそのもの

　IaaS/PaaSのマーケットリーダーであるAWS（Amazon Web Services）の取り組みも、クラウドのセキュリティに対するイメージを変えてきている。例えば、AWSは4月2日、ブログ上でセキュリティインパクトレベル1-2についての米国国防総省暫定認証を取得したと発表した。これにより、米国国防総省の関連機関は、AWSのセキュリティを評価するにあたってこの暫定認証を利用すればよく、評価に必要な時間と費用を節約できるようになった。こうしたクラウドベンダーの取り組みにより、もはやクラウドはオンプレミスよりもセキュアな環境にあるともいわれるようになっている。

　ただし、セキュリティ対策は、そう単純なものではない。いくら米国国防総省が認定したとはいえ、AWSを採用しさえすればすべてのセキュリティが確保されるとは限らない。AWSの基盤の上にデプロイしたユーザー企業のシステムは、セキュリティを保証していないからだ。AWS以外のIaaSやPaaSも同様である。自由にシステムを構築できる以上、そこまではクラウドベンダーが面倒をみていられない。AWSが「共有責任モデル（shared responsibility model）」として、セキュリティの責任範囲を明確にしているのはそのためである。

　CIer（クラウドインテグレータ）はこうした事情を考慮し、ユーザー企業が求めるセキュリティとクラウドベンダーが責任の範囲内とするセキュリティとのギャップを埋めることが求められる。

[次のページ]