クラウドサービスを利用する側が用心すべきことを紹介する。クラウドにおいても、情報セキュリティへの対策は従来のオンプレミスと変わらないことを忘れてはいけない。唯一の違いはデータの所在だけだ。
現在利用できるクラウドベースのインフラには、サービスとしてのストレージから仮想サーバの完全なインフラまで、さまざまな種類がある。クラウド提供のトレンドに乗って売り上げの増大を狙うベンダーも幅広く、その機能はさらに多岐にわたる。クラウドサービスを利用する側が用心すべきときというのがもしあるとすれば、今がそのときだ。本稿ではサービスとしてのインフラ(IaaS:Infrastructure as a Service)を選定する際に考慮すべきリスクを紹介する。
IaaSプロバイダー選定に関して明らかに考慮すべき分野の1つはパフォーマンスだ。クラウドベースのサービスは、ハードウェアと帯域幅を異なる顧客多数に横断的に割り振って、コスト削減につなげている。SaaSソリューションであれば、この点はIaaSソリューションほど重大ではない。例えばクラウドベースのストレージサービスの帯域幅には、アプリケーションホスティングサービスよりも厳しい条件と、より高い耐性が求められる。1つのリスクとして、別の顧客が大量のリクエストを通じてシステムを独占してしまえば、自分の会社はデータにアクセスしにくくなるかもしれない。クラウドサービス事業者は、個々の顧客の間でどのようにリソースを分配しているのだろうか。
考慮すべきもう1つの問題も、リソース共有の概念に起因する。危険にさらされるのはクラウドベースインフラのパフォーマンスにとどまらない。データも同じだ。IaaSプロバイダーの多くは共有型のデータベースを利用しており、自社のデータと競合他社のデータを隔てるのは1つのフィールドのみだ。もしも自社のデータが他社のデータと混じって流出したら、事業にどれほどの影響が出るだろう。
IaaSプロバイダーは、容量の追加やサービス経費の削減を模索するまっとうな企業に恩恵をもたらすのみにとどまらない。サービス妨害(DDoS)攻撃を仕掛けたりマルウェアを操ったりするための手早く簡単に導入できるサービスとして、犯罪集団にも目を付けている。さらに、不審な、あるいは違法なコンテンツを提供しているサーバもあるかもしれない。そうした不正なサービスと同じ物理サーバで自社の事業がホスティングされていたとしたら? サーバがトラフィックの洪水状態となり、それに伴って他の仮想インスタンスも全てダウンするかもしれない。あるいは犯罪捜査のためにサーバが押収され、自社のデータに手が届かなくなることもあり得る。自社の仮想サーバがIaaSプロバイダーのインフラ全体を通じてどのように運用されるかを把握し、各サーバインスタンスを1つのビジネスプロセスに限定することは不可欠だ。こうしたIaaSサービスを定期的にローカルあるいは全く別のIaaSプロバイダーにバックアップすることも大切になる。
管理機能も考慮する必要がある。クラウドベースインフラでは、システムのプロビジョニングやハードウェアのメンテナンスといった管理業務をクラウド事業者に委託するという点は銘記しておきたい。こうした業務の管理者は顧客の社外秘情報にもアクセスできる。一方、管理者がどの情報にアクセスしたのかを顧客が監視できるとは限らない。米Googleでさえ、悪意を持った管理者がユーザーの電子メールや音声メッセージに許可なくアクセスする問題に見舞われたと伝えられる。
加えてクラウドベースインフラサービスの管理についても考慮しなければならない。もしIaaSプロバイダーが管理用インタフェースに何らかの暗号を使っていない場合、暗号化されていないパスワードを入手した者は誰でも顧客の仮想インフラにアクセスできてしまう。IaaSプロバイダーの中にはAPI秘密鍵を使って信頼できる接続を確立しているところもあるが、これももし暗号化されていなければ、中間者攻撃の標的になり得る。こうしたAPI鍵の安全な取り扱いに関する手順は社内でも確立しておかなければならない。IaaSサービスのAPI秘密鍵を付せんに書いたりすれば、誰でも会社のインフラにアクセスできてしまう。システムを社内で運用する場合と同じ情報セキュリティ基準を利用することだ。全てのパスワードとAPI鍵を暗号化し、管理者権限を特定のIPアドレスに限定し、管理用には厳密な認証を条件として定めるべきだ。
コントロールの変更やサーバプロビジョニングの権限といった手順の標準化も、IaaSインプリメンテーションを日々運用する中で重要だ。これはサーバが会社のデータセンターにあって社内で運用されている場合と変わらない。こうした手順はデータとサービスの所在を文書化し、リスクおよび適切な回避戦略を見極める上で不可欠だ。さらに、コストをコントロールする一助になるという付加的なメリットもある。仮想サーバとストレージは従量制の課金方式が一般的であり、適切な手順と権限なしではIaaS利用に伴うコスト削減効果もたちまち霧消してしまいかねない。
クラウドベースのインフラ利用に伴うあらゆるリスクを考えると、SOX、HIPAA、PCIのコンプライアンスは極めて難しいかもしれない。例えばHITECHでは、電子的に保護された医療情報(ePHI)をFIPS-140暗号仕様に沿ったアルゴリズムで暗号化することを義務付けている。暗号化はサーバ利用の増大を伴うことから、多くのIaaSプロバイダーはこのレベルの暗号化をデフォルトでは提供していない。SOXではデータプロビデンスとデータリネージが必要だが、それをクラウドで実現するのは難しい。サーバが帯域幅とCPU、それにデータベースまで共有している状態で、全てのデータのソースと正確性をどうやって確認できるのか。クラウド事業者は一般的に、ファイアウォールのログを企業が参照することも、企業がIDSやIPSをインストールすることも認めていない。そのためにはネットワークトラフィックの傍受が必要になり、これは通常、サービス利用条件に違反するからだ。
以上のような潜在リスクを踏まえてもなお、IaaSプロバイダーの利用を検討すべきなのか。リスクを認識している限り、そして一定レベルの隔離と暗号化を提供し、コンプライアンスおよびセキュリティ条件にかなった契約を提示してくれるIaaSプロバイダーを見つけられる限りはそうすべきだ。だがクラウドにおいても情報セキュリティ対策に変わりがないことを忘れてはいけない。唯一の違いはデータの所在だけだ。各IaaSプロバイダーのセキュリティ能力を評定し、適切なコントロールと手順を実装すれば、クラウドベースのインフラサービスが約束するメリットをうまく実現できるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
小売業界にとって、顧客体験(CX)、従業員体験(EX)の向上ならびにDX推進は重要度の高い課題である。多拠点、多店舗、他業態を展開する小売業でCXとEXをグローバルに向上する次世代のリテールコマースプラットフォームとは。
インフラのハイブリッドクラウド化を進める一方、オンプレミスとクラウドを管理するためのツールが異なるため、“二重管理”が発生している企業は少なくない。これでは運用負荷は高まるばかりだ。そこでこの状況を解消する方法を解説する。
SaaSの普及により、企業の情報システムは大きく変化した。リモートワークやDX推進が加速する一方、情報システム部門には負担がかかり、セキュリティリスクも増すこととなった。調査レポートから、今後の“在り方”について考察する。
ビジネスパーソンに欠かせない名刺だが、作成/発注業務は意外と手間がかかるため、担当者の負担になっていることも少なくない。そこで、名刺の作成から注文までの全工程をWeb上で完結し、業務を効率化する名刺発注サービスを紹介する。
契約業務の効率化やコストの削減といった効果が期待できることから、多くの企業で「電子署名」の導入が進んでいる。一方で、訴訟問題へと発展した際に証拠として使えるのかといった疑問を抱き、導入を踏みとどまるケースもあるようだ。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
