もはやオンプレミス以上のセキュリティを確保できるともいわれるクラウド。だが、セキュリティ対策が不要になったことを意味するわけではない。例えばIaaS/PaaS上で構築されたシステムに関するセキュリティ対策はIaaS/PaaSベンダーの責任範囲外であり、そこはユーザー企業がセキュリティを意識すべき部分である。クラウドインテグレータ(CIer)やセキュリティベンダーは、そこに商機を見出している。24時間365日、止まることなく成長を続けるクラウドサービス。セキュリティ対策ビジネスも眠らない。(取材・文/畔上文昭)
●難しいセキュリティ投資とユーザー企業の責任範囲 悪意のある者の攻撃手法は常に進化している。狙い撃ちされるようなことがあれば、ひとたまりもない。その先には、想像を絶する規模の被害が待っている。
一方、多くの企業では情報セキュリティに関する被害が生じていないか、あるいは気づくような被害が発生していないという実情がある。警察庁が2月に発表した「不正アクセス行為対応等の実態調査」によると、68.5%の企業や団体が過去1年で被害は生じなかったとしている。ひとたび何かが起きれば甚大な被害が発生するとしても、実感できないことに対して投資するという判断は難しい。
また同調査によると、セキュリティ対策の問題点として挙げられたのは「費用対効果がみえない」(53.7%)がトップであり、「どこまで行えばよいのか基準が示されていない」(45.5%)が続いている。多くのユーザー企業がセキュリティ対策に迷っていることがわかる。
その迷いは、クラウドに対してはどうだろうか。クラウドはサービスの性格上、ユーザー企業ではコントロールできない部分が必ずある。それがユーザー企業に漠然としたセキュリティの不安を与えてきた。
しかし、逆の見方をすれば、オンプレミスはすべての責任がユーザー企業側にあったが、例えばIaaSであればインフラ基盤の部分はセキュリティが担保される。ユーザー企業側で対応すべきセキュリティの範囲が狭くなったといえるのである。クラウドが普及し、事例が増えてきたことで、クラウドに対する漠然とした不安は払拭されつつあるのは、そうした認識が広まってきたからだ。
●クラウドのセキュリティはCIerのビジネスそのもの IaaS/PaaSのマーケットリーダーであるAWS(Amazon Web Services)の取り組みも、クラウドのセキュリティに対するイメージを変えてきている。例えば、AWSは4月2日、ブログ上でセキュリティインパクトレベル1-2についての米国国防総省暫定認証を取得したと発表した。これにより、米国国防総省の関連機関は、AWSのセキュリティを評価するにあたってこの暫定認証を利用すればよく、評価に必要な時間と費用を節約できるようになった。こうしたクラウドベンダーの取り組みにより、もはやクラウドはオンプレミスよりもセキュアな環境にあるともいわれるようになっている。
ただし、セキュリティ対策は、そう単純なものではない。いくら米国国防総省が認定したとはいえ、AWSを採用しさえすればすべてのセキュリティが確保されるとは限らない。AWSの基盤の上にデプロイしたユーザー企業のシステムは、セキュリティを保証していないからだ。AWS以外のIaaSやPaaSも同様である。自由にシステムを構築できる以上、そこまではクラウドベンダーが面倒をみていられない。AWSが「共有責任モデル(shared responsibility model)」として、セキュリティの責任範囲を明確にしているのはそのためである。
CIer(クラウドインテグレータ)はこうした事情を考慮し、ユーザー企業が求めるセキュリティとクラウドベンダーが責任の範囲内とするセキュリティとのギャップを埋めることが求められる。
クラウドこそ注意したい
IDとパスワードの管理
クラウドのセキュリティ対策について、基本中の基本を説明しておきたい。それは、IDとパスワードの管理だ。正式なIDとパスワードを使われてしまうと、どんなに高度なセキュリティ対策も機能しない。
「IDとパスワードの流出は、高い確率で利用者や管理者、SIerのPCが悪意のあるプログラムに感染したことが原因になっている。地味な対応だが、パスワードの定期的な変更や不要なIDの削除など、しっかりと運用しなければならない」と、データセンタークロスアライアンス(DCXA=デクサ)事務局の田沢一鮱氏は警鐘を鳴らす。ちなみにDCXAは、日本国内の複数のデータセンター事業者が連携して、クラウドサービス「JMT(Japan Motto Tsunagaru)」などを提供している。各社のセキュリティレベルを同じ水準にすることが、サービス提供で重要な要素になっている。
IDとパスワードの管理は、とくにCIerなどのインテグレータが注意して運用すべきポイントでもある。ユーザー企業に徹底させるのも、インテグレータの役割だ。例えば、ウェブサイトの改ざんはユーザー企業が被害者だが、そのサイトの利用者に被害を与えると、今度はユーザー企業が加害者になってしまう。
「IaaSはスマートフォンから申し込みができるほど手軽になった。この利便性を損なわないようにするためにも、クラウドベンダーとCIer、ユーザー企業、それぞれの対応が重要となる」と田沢氏。その第一歩が、パスワードの定期的な変更ということになる。日本の経営者はセキュリティへの意識が高い!?
米プライスウォーター
ハウスクーパース
プリンシパル
デビッド・バーグ氏 日本企業の情報セキュリティに対する意識は、米国企業と比べて低いといわれる。その傾向は、米国プライスウォーターハウスクーパース(PwC)が実施したCEOを対象としたセキュリティ調査にもみることができる。「サイバーセキュリティの新たな脅威に対して投資をするかとの問いに対し、世界のCEOは40%がイエスと答えたが、日本のCEOは20%にとどまっている」と、PwC プリンシパルのデビッド・バーグ氏は説明する。
一方で、「サイバーアタックを懸念しているか」の問いに対し、世界のCEOが50%のところ、日本のCEOは70%がイエスと答えているという。さらに「サイバーセキュリティの脅威は今後も高まっていくか」の問いに対し、世界のCEOは33%がイエスだが、日本のCEOは61%がイエスだった。
「非常に興味深い結果だ。日本のCEOは、セキュリティに対する意識は高いが、投資はしない」とバーグ氏。被害の実態が把握できなければ、明確なセキュリティ戦略を立てにくい。セキュリティに関連する被害がなかなか表に出てこない日本は、その状況にあるのかもしれない。
[次のページ]
