2012年09月28日 08時00分 UPDATE
特集/連載

クラウドがソフトウェア開発にもたらすリスク【前編】クラウドセキュリティのリスク増大を招くSaaS/PaaSの利用

パブリッククラウド上でソフトウェア開発する際も、セキュリティに関して第一義的な責任を負うのは企業自身であることを認識しなければならない。SaaS/PaaS利用の注意点を解説する。

[Jan Stafford,TechTarget]

 レガシーアプリケーションからパブリッククラウドサービスPaaS(Platform as a Service)に移行したり、レガシーデータをSaaS(Software as a Service)アプリケーションに移行したりすることで得られるメリットの1つとして、新たなセキュリティサービスがある。しかしクラウドの利用は通常、企業(特に開発チーム)のセキュリティ責任を増大させるとともに、新たなリスクを招くものである。これらの責任とリスクには、あらゆる種類のパブリッククラウドに共通するものもあれば、特定のSaaSベンダーやPaaSベンダーに固有のものもある。

 PaaSとSaaSのどちらを選ぼうとも、データは企業のファイアウォールの外側に出され、「大惨事が起きる可能性が高くなる」と指摘するのは、米ソフトウェアコンサルティング企業Denim Groupのダン・コーネル社長だ。ハッカーたちはシステムの外観を損なうことよりもデータを盗むことに目を向けるようになり、その手口はますます高度かつ巧妙になってきた。

 インフラとクラウドを専門とする米Tier1 Research(米451 Researchの1部門)のアナリスト、カール・ブルックス氏によると、共有型パブリッククラウドにデータを置くというのは、同じサービスを利用している他のユーザーに対する強い警戒心を必然的に呼び起こすという。このため、データの移行に当たっては、情報が他のユーザーに漏れるのを防止するために、どのような対策を講じているのかをベンダーに確認する必要がある。

 こういった警戒心について、米調査会社Forrester Researchのアナリスト、ジェームズ・スターテン氏は、個人のセキュリティをクラウドのセキュリティに例えて説明する。「スタジアムの観客席で特定の人を見つけるよりも、その人の家に強盗に入る方が簡単だ。同様に、ハッカーにとっては、パグリッククラウドの集団の中から特定の企業を見つけるよりも、その企業に侵入してデータを盗む方が簡単だ」と同氏は話す。これはパブリッククラウドのセキュリティを高める特質の1つだという。

 専門家によると、物理的セキュリティとネットワークセキュリティに対するパブリッククラウドベンダーの責任をSLA(Service Level Agreement:サービスレベル契約)で明確化する必要があるという。これらは、企業のコントロールがほとんど及ばない領域であるからだ。その上で、セキュリティに対して第一義的な責任を負うのは企業自身であることを認識しなければならない。ブルックス氏によると、セキュリティで最も重要なベストプラクティスは開発段階にあるという。すなわち、アプリケーションの開発と配備の全ての段階でセキュリティを作りこむということだ。

 社内での日常的なセキュリティ慣行も重要だ。「全てのポートが開いたままで、全てのIPアドレスを公開した状態であれば、企業のデータはデータセンターの中よりもクラウド内にある方が危険だ。しかしこれはクラウドの問題ではなく、その企業自身の問題だ」とスターテン氏は語る。

パブリッククラウドのセキュリティ対策

ITmedia マーケティング新着記事

news010.jpg

テレビ視聴に関するアンケート調査――スカパーJSAT
スカパーJSATは、全国の10〜60代の男女を対象に「テレビ視聴に関するアンケート調査」を...

news143.jpg

広告運用支援ツール「AdNote」がバージョンアップ 予算調整、カスタムレポート、分析の業務を自動化
ブレインパッドは、広告運用支援ツール「AdNote」のバージョンアップを発表した。

news025.jpg

中日米3カ国生活者調査で分かったテクノロジー利用率の圧倒的な差――博報堂生活綜研(上海)
中国のテクノロジー生活の現在はどうなっているのでしょうか。