クラウドがソフトウェア開発にもたらすリスク【前編】クラウドセキュリティのリスク増大を招くSaaS／PaaSの利用

パブリッククラウド上でソフトウェア開発する際も、セキュリティに関して第一義的な責任を負うのは企業自身であることを認識しなければならない。SaaS／PaaS利用の注意点を解説する。

[Jan Stafford，TechTarget]

　レガシーアプリケーションからパブリッククラウドサービスのPaaS（Platform as a Service）に移行したり、レガシーデータをSaaS（Software as a Service）アプリケーションに移行したりすることで得られるメリットの1つとして、新たなセキュリティサービスがある。しかしクラウドの利用は通常、企業（特に開発チーム）のセキュリティ責任を増大させるとともに、新たなリスクを招くものである。これらの責任とリスクには、あらゆる種類のパブリッククラウドに共通するものもあれば、特定のSaaSベンダーやPaaSベンダーに固有のものもある。

　PaaSとSaaSのどちらを選ぼうとも、データは企業のファイアウォールの外側に出され、「大惨事が起きる可能性が高くなる」と指摘するのは、米ソフトウェアコンサルティング企業Denim Groupのダン・コーネル社長だ。ハッカーたちはシステムの外観を損なうことよりもデータを盗むことに目を向けるようになり、その手口はますます高度かつ巧妙になってきた。

クラウドセキュリティに関する調査記事

• 調査結果から見る中堅・中小企業のクラウドセキュリティに対する懸念
• 企業システムのクラウド化を成功させるセキュリティ戦略
• 調査から見えたクラウドの不安要素とセキュリティ強化への意欲
• 40％がセキュリティを理由に見送り――パブリッククラウドのメリット／デメリット

　インフラとクラウドを専門とする米Tier1 Research（米451 Researchの1部門）のアナリスト、カール・ブルックス氏によると、共有型パブリッククラウドにデータを置くというのは、同じサービスを利用している他のユーザーに対する強い警戒心を必然的に呼び起こすという。このため、データの移行に当たっては、情報が他のユーザーに漏れるのを防止するために、どのような対策を講じているのかをベンダーに確認する必要がある。

　こういった警戒心について、米調査会社Forrester Researchのアナリスト、ジェームズ・スターテン氏は、個人のセキュリティをクラウドのセキュリティに例えて説明する。「スタジアムの観客席で特定の人を見つけるよりも、その人の家に強盗に入る方が簡単だ。同様に、ハッカーにとっては、パグリッククラウドの集団の中から特定の企業を見つけるよりも、その企業に侵入してデータを盗む方が簡単だ」と同氏は話す。これはパブリッククラウドのセキュリティを高める特質の1つだという。

　専門家によると、物理的セキュリティとネットワークセキュリティに対するパブリッククラウドベンダーの責任をSLA（Service Level Agreement：サービスレベル契約）で明確化する必要があるという。これらは、企業のコントロールがほとんど及ばない領域であるからだ。その上で、セキュリティに対して第一義的な責任を負うのは企業自身であることを認識しなければならない。ブルックス氏によると、セキュリティで最も重要なベストプラクティスは開発段階にあるという。すなわち、アプリケーションの開発と配備の全ての段階でセキュリティを作りこむということだ。

　社内での日常的なセキュリティ慣行も重要だ。「全てのポートが開いたままで、全てのIPアドレスを公開した状態であれば、企業のデータはデータセンターの中よりもクラウド内にある方が危険だ。しかしこれはクラウドの問題ではなく、その企業自身の問題だ」とスターテン氏は語る。

クラウドセキュリティに関して議論した記事

• 専門家8人が徹底討論！　クラウドにデータを預けるリスクとメリット
• クラウドは安全か？　事業者との責任分界点、注目すべき安全基準とは

パブリッククラウドのセキュリティ対策