2011年11月04日 09時00分 公開
特集/連載

企業システムのクラウド化を成功させるセキュリティ戦略クラウドセキュリティ戦略はたったの2種類

企業システムを安全にクラウドへ移行するためには、クラウド事業者の選定、クラウド上でのデータ保護や監視といった情報セキュリティ対策が重要だ。ここでは、クラウド利用のためのガイドラインを幾つか紹介する。

[Bill Kleyman,TechTarget]

 どんな企業にも、情報セキュリティへの不安は付いて回る。そしてその不安がクラウドコンピューティングによって増幅されることもある。だが幾つかの基本的ルールを採用すれば、ユーザーとそのデータ、クラウドに対する全般的な投資を守る一助にできる。

 クラウドにまつわるセキュリティ不安を数え上げればきりがないように思えるかもしれない。だが現実には、クラウドセキュリティ戦略は主に2種類に分類できる。すなわちパートナーベースのセキュリティ、つまりSaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)モデルのためのセキュリティと、ユーザーベースあるいはクライアントベースのセキュリティだ。以下にプライベート/パブリッククラウドのセキュリティ対策のためのガイドラインを幾つか挙げる。

クラウドセキュリティ計画の戦略的な立案

 全ての環境には独自性がある。会社のワークロードをエンドユーザーにどう提供するか、念入りに検討しなければならない。最初の計画段階でセキュリティを前面に押し出せば、確固たる基盤ができ、コンプライアンス対応が必要な組織において復旧力が高く監査も念頭に置いたクラウドインフラを構築できる。

クラウド事業者の選定は慎重に

 セキュリティガイドラインの『Cloud Security Alliance』によると、クラウドを脅かすセキュリティ不安の筆頭はデータの紛失と流出だ。会社の重要な情報を守ることのできるクラウドパートナーを選ぶことが極めて重要になる。会社のITサービスのためのクラウドパートナーを見極めるに当たっては、その業者にITとセキュリティサービスの両方の経験があることをはっきりさせなければならない。クラウドに対応したリスク回避がその業者の標準的なセキュリティプラクティスに盛り込まれていることは確認したい。そして、ITとセキュリティ、ネットワークサービスの統合において定評があり、戦略的なサービス/パフォーマンス保証を提供できるクラウド事業者のみを選定の対象とすることだ。

ID管理システムの確立

 あらゆる企業環境には、会社のデータとコンピューティングリソースへのユーザーのアクセスを管理する何らかのID管理システムが存在するはずだ。パブリッククラウドへの移行やプライベートクラウドの構築に際しては、IDフェデレーションの検討に重点を置く必要がある。

 クラウド事業者は、IDフェデレーションやシングルサインオン(SSO)を使って既存のID管理システムをその事業者のインフラに統合するか、その事業者自身のID管理システムを提供することに前向きでなければならない。それができなければ、IDプール状態の環境が出来上がり、エンドユーザーが複数セットのログイン情報を使って共通のワークロードにアクセスしなければならなくなる(参考:クラウド導入で見直すアイデンティティー管理)。

クラウドに置いた企業情報の保護

 セキュアなIT組織では、エンドユーザーごとのデータが適切に分割されている。言い換えれば、静止状態にあるデータはセキュアに保存され、動いているデータは1つの場所から別の場所へと支障なく安全に移動できなければならない。信頼できるクラウドパートナーはデータの流出を防止でき、無許可の第三者がデータにアクセスできないようにする措置を講じてきた。役割と責任を明確に定義し、ユーザーは別の権限を持たない限り、(たとえ特権ユーザーであっても)監査、監視、検査を免れることはできないと確認しておくことが大切だ。

アクティブな監視システムの開発

 クラウドのデータは継続的に監視する必要がある。パフォーマンスのボトルネック、不安定なシステムといった問題は、サービス障害を避けるため早期に発見しなければならない。クラウド環境の継続的な監視を怠れば、結果としてパフォーマンスの低下や情報流出の可能性、エンドユーザーの怒りを招く。クラウドに対応した組織は、どの監視ツールを使い、どの程度の頻度でデータの追跡と監視を行うかについて計画を立てる必要がある。

 例えば、仮想デスクトップのためにクラウドを利用している企業なら以下の項目に関心があるだろう。

  • SANの利用
  • WANの運用
  • ネットワークの問題やボトルネック
  • ログイン情報:例えばログイン失敗の記録やロックアウトに関する情報など
  • ゲートウェイ情報
  • ユーザーの居所、不審なトラフィックがプライベートクラウドに入り込んでいないか
  • IPアドレスがどのように使われているか、社内ゲートウェイのルーティングは適切に機能しているか

 この後、発生したイベントや障害に手動あるいは自動で対応する手順を導入すればいい。クラウドソリューションをアクティブに監視することの価値を理解しておくことは非常に重要だ。クラウド環境に常に目を光らせることにより、IT管理はエンドユーザーが気付く前に先手を打って問題を解決できる。

クラウドパフォーマンスの基準確立と定期的な診断

 クラウドサービス事業者について調べる際には、パブリッククラウドであれプライベートクラウドであれ、その業者が可用性、問題発生時の連絡、障害連絡、サービス復旧、平均解決時間などの基準を盛り込んだしっかりとしたサービスレベル契約(SLA)を提示しているかをチェックしたい。定期的に予防的診断を行えばセキュリティリスクやデータ流出のリスクを大幅に低減できる。

 たとえクラウド事業者が診断を実施しているとしても、社内の診断手順も定めておくことは必須となる。その環境、そしてエンドユーザーのニーズについて最もよく知っているのはIT管理者だ。クラウドベースのワークロードの使われ方に一貫性がなかったり不規則な点があったりすれば、セキュリティ問題や情報流出につながりかねない。

次のステップ:クラウドにおけるIDフェデレーション

 ホストレベルに始まってクラウドインフラからエンドユーザーに至るまで、全てを通じて徹底したセキュリティ戦略を定める必要がある。企業のクラウドへの投資を守る一助となるツールも複数市販されている。

 例えばIDフェデレーションは、クラウドインフラのセキュリティ対策によってログイン情報管理を1段高いレベルへと引き上げる助けになる。クラウドは、そのための投資を行う環境が整っていれば絶大なメリットをもたらす。だがその条件として、クラウドセキュリティの選択肢評価において賢明かつ入念な調査に基づく決定を下さなければならない。

ITmedia マーケティング新着記事

news061.jpg

インフルエンサーがスポーツ観戦で最も利用しているSNSは「Instagram」――LIDDELL調べ
東京五輪の開催中に情報収集や投稿でSNSを活用すると回答した人は全体の96.9%に上りまし...

news031.jpg

ライブコマースを今始めるべき理由と成功するためのポイント 17LIVEのCEOに聞く
オンラインでのショッピング体験の充実がコロナ禍の課題となっている。新たな手法として...

news148.jpg

ミレニアル世代とZ世代 日本では5割超が経済見通しを悲観――デロイト トーマツ調査
ミレニアル世代とZ世代では組織で成功するスキルとして「柔軟性・適応性」を挙げた人が最...