自社のセキュリティ要件を満たしたIaaSプロバイダーを選ぶポイントクラウドの潜在リスク

クラウドサービスを利用する側が用心すべきことを紹介する。クラウドにおいても、情報セキュリティへの対策は従来のオンプレミスと変わらないことを忘れてはいけない。唯一の違いはデータの所在だけだ。

2012年04月23日 09時00分 公開
[Joseph Granneman,TechTarget]

 現在利用できるクラウドベースのインフラには、サービスとしてのストレージから仮想サーバの完全なインフラまで、さまざまな種類がある。クラウド提供のトレンドに乗って売り上げの増大を狙うベンダーも幅広く、その機能はさらに多岐にわたる。クラウドサービスを利用する側が用心すべきときというのがもしあるとすれば、今がそのときだ。本稿ではサービスとしてのインフラ(IaaS:Infrastructure as a Service)を選定する際に考慮すべきリスクを紹介する。

リソース共有

 IaaSプロバイダー選定に関して明らかに考慮すべき分野の1つはパフォーマンスだ。クラウドベースのサービスは、ハードウェアと帯域幅を異なる顧客多数に横断的に割り振って、コスト削減につなげている。SaaSソリューションであれば、この点はIaaSソリューションほど重大ではない。例えばクラウドベースのストレージサービスの帯域幅には、アプリケーションホスティングサービスよりも厳しい条件と、より高い耐性が求められる。1つのリスクとして、別の顧客が大量のリクエストを通じてシステムを独占してしまえば、自分の会社はデータにアクセスしにくくなるかもしれない。クラウドサービス事業者は、個々の顧客の間でどのようにリソースを分配しているのだろうか。

会員登録(無料)が必要です

 考慮すべきもう1つの問題も、リソース共有の概念に起因する。危険にさらされるのはクラウドベースインフラのパフォーマンスにとどまらない。データも同じだ。IaaSプロバイダーの多くは共有型のデータベースを利用しており、自社のデータと競合他社のデータを隔てるのは1つのフィールドのみだ。もしも自社のデータが他社のデータと混じって流出したら、事業にどれほどの影響が出るだろう。

 IaaSプロバイダーは、容量の追加やサービス経費の削減を模索するまっとうな企業に恩恵をもたらすのみにとどまらない。サービス妨害(DDoS)攻撃を仕掛けたりマルウェアを操ったりするための手早く簡単に導入できるサービスとして、犯罪集団にも目を付けている。さらに、不審な、あるいは違法なコンテンツを提供しているサーバもあるかもしれない。そうした不正なサービスと同じ物理サーバで自社の事業がホスティングされていたとしたら? サーバがトラフィックの洪水状態となり、それに伴って他の仮想インスタンスも全てダウンするかもしれない。あるいは犯罪捜査のためにサーバが押収され、自社のデータに手が届かなくなることもあり得る。自社の仮想サーバがIaaSプロバイダーのインフラ全体を通じてどのように運用されるかを把握し、各サーバインスタンスを1つのビジネスプロセスに限定することは不可欠だ。こうしたIaaSサービスを定期的にローカルあるいは全く別のIaaSプロバイダーにバックアップすることも大切になる。

管理と運営

 管理機能も考慮する必要がある。クラウドベースインフラでは、システムのプロビジョニングやハードウェアのメンテナンスといった管理業務をクラウド事業者に委託するという点は銘記しておきたい。こうした業務の管理者は顧客の社外秘情報にもアクセスできる。一方、管理者がどの情報にアクセスしたのかを顧客が監視できるとは限らない。米Googleでさえ、悪意を持った管理者がユーザーの電子メールや音声メッセージに許可なくアクセスする問題に見舞われたと伝えられる。

 加えてクラウドベースインフラサービスの管理についても考慮しなければならない。もしIaaSプロバイダーが管理用インタフェースに何らかの暗号を使っていない場合、暗号化されていないパスワードを入手した者は誰でも顧客の仮想インフラにアクセスできてしまう。IaaSプロバイダーの中にはAPI秘密鍵を使って信頼できる接続を確立しているところもあるが、これももし暗号化されていなければ、中間者攻撃の標的になり得る。こうしたAPI鍵の安全な取り扱いに関する手順は社内でも確立しておかなければならない。IaaSサービスのAPI秘密鍵を付せんに書いたりすれば、誰でも会社のインフラにアクセスできてしまう。システムを社内で運用する場合と同じ情報セキュリティ基準を利用することだ。全てのパスワードとAPI鍵を暗号化し、管理者権限を特定のIPアドレスに限定し、管理用には厳密な認証を条件として定めるべきだ。

 コントロールの変更やサーバプロビジョニングの権限といった手順の標準化も、IaaSインプリメンテーションを日々運用する中で重要だ。これはサーバが会社のデータセンターにあって社内で運用されている場合と変わらない。こうした手順はデータとサービスの所在を文書化し、リスクおよび適切な回避戦略を見極める上で不可欠だ。さらに、コストをコントロールする一助になるという付加的なメリットもある。仮想サーバとストレージは従量制の課金方式が一般的であり、適切な手順と権限なしではIaaS利用に伴うコスト削減効果もたちまち霧消してしまいかねない。

コンプライアンスの難しさ

 クラウドベースのインフラ利用に伴うあらゆるリスクを考えると、SOX、HIPAA、PCIのコンプライアンスは極めて難しいかもしれない。例えばHITECHでは、電子的に保護された医療情報(ePHI)をFIPS-140暗号仕様に沿ったアルゴリズムで暗号化することを義務付けている。暗号化はサーバ利用の増大を伴うことから、多くのIaaSプロバイダーはこのレベルの暗号化をデフォルトでは提供していない。SOXではデータプロビデンスとデータリネージが必要だが、それをクラウドで実現するのは難しい。サーバが帯域幅とCPU、それにデータベースまで共有している状態で、全てのデータのソースと正確性をどうやって確認できるのか。クラウド事業者は一般的に、ファイアウォールのログを企業が参照することも、企業がIDSやIPSをインストールすることも認めていない。そのためにはネットワークトラフィックの傍受が必要になり、これは通常、サービス利用条件に違反するからだ。

 以上のような潜在リスクを踏まえてもなお、IaaSプロバイダーの利用を検討すべきなのか。リスクを認識している限り、そして一定レベルの隔離と暗号化を提供し、コンプライアンスおよびセキュリティ条件にかなった契約を提示してくれるIaaSプロバイダーを見つけられる限りはそうすべきだ。だがクラウドにおいても情報セキュリティ対策に変わりがないことを忘れてはいけない。唯一の違いはデータの所在だけだ。各IaaSプロバイダーのセキュリティ能力を評定し、適切なコントロールと手順を実装すれば、クラウドベースのインフラサービスが約束するメリットをうまく実現できるだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

製品資料 株式会社MONO-X

IBM i の資産を生かし、着実に DX へとつなげるモダナイゼーションの進め方

IBM i 基幹システムを運用する企業でモダナイゼーションが喫緊の課題となる中、推進の課題も多い。そこで、「クラウド」「ノーコード開発」「API」「AI」を主軸とするIBM i ユーザー向けモダナイゼーションサービスを紹介する。

製品資料 富士通株式会社

小売業のDXを加速する次世代のプラットフォームとは

小売業界にとって、顧客体験(CX)、従業員体験(EX)の向上ならびにDX推進は重要度の高い課題である。多拠点、多店舗、他業態を展開する小売業でCXとEXをグローバルに向上する次世代のリテールコマースプラットフォームとは。

事例 株式会社BeeX

わずか4カ月でデータ分析基盤の内製化に成功、ロッテに学ぶDX推進の秘訣

ロッテはシステムのAWS移行を進める中、DX推進の鍵は内製化比率の向上にあると考え、内製化の強化に踏み切った。本資料では、内製化の実現に向け、支援を受けながら、初めて取り組んだAWS開発と人材育成を成功させた事例を紹介する。

製品資料 株式会社AIT

国際間の映像データ配信や拠点間での動画共有も高速で、ファイル転送の注目手法

大容量データの送受信には、通信遅延や帯域制限の課題がある。本資料では、高速で安全なデータ送信を実現できるファイル転送プラットフォームを紹介する。導入時に気になるポイントとともに、料金プランも分かりやすく解説している。

製品資料 発注ナビ株式会社

リードが商談化できない? SaaS導入のベンダー側と企業側の悩みを一掃する方法

SaaSの利用が拡大する中、ベンダー側と企業側の両方がさまざまな課題を抱えている。ベンダー側は商談につながるリードが獲得しにくいと感じており、企業側は製品の選定に困難さを感じているという。双方の課題を一掃する方法とは?

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...