2012年09月28日 08時00分 UPDATE
特集/連載

クラウドがソフトウェア開発にもたらすリスク【前編】クラウドセキュリティのリスク増大を招くSaaS/PaaSの利用

パブリッククラウド上でソフトウェア開発する際も、セキュリティに関して第一義的な責任を負うのは企業自身であることを認識しなければならない。SaaS/PaaS利用の注意点を解説する。

[Jan Stafford,TechTarget]

 レガシーアプリケーションからパブリッククラウドサービスPaaS(Platform as a Service)に移行したり、レガシーデータをSaaS(Software as a Service)アプリケーションに移行したりすることで得られるメリットの1つとして、新たなセキュリティサービスがある。しかしクラウドの利用は通常、企業(特に開発チーム)のセキュリティ責任を増大させるとともに、新たなリスクを招くものである。これらの責任とリスクには、あらゆる種類のパブリッククラウドに共通するものもあれば、特定のSaaSベンダーやPaaSベンダーに固有のものもある。

 PaaSとSaaSのどちらを選ぼうとも、データは企業のファイアウォールの外側に出され、「大惨事が起きる可能性が高くなる」と指摘するのは、米ソフトウェアコンサルティング企業Denim Groupのダン・コーネル社長だ。ハッカーたちはシステムの外観を損なうことよりもデータを盗むことに目を向けるようになり、その手口はますます高度かつ巧妙になってきた。

 インフラとクラウドを専門とする米Tier1 Research(米451 Researchの1部門)のアナリスト、カール・ブルックス氏によると、共有型パブリッククラウドにデータを置くというのは、同じサービスを利用している他のユーザーに対する強い警戒心を必然的に呼び起こすという。このため、データの移行に当たっては、情報が他のユーザーに漏れるのを防止するために、どのような対策を講じているのかをベンダーに確認する必要がある。

 こういった警戒心について、米調査会社Forrester Researchのアナリスト、ジェームズ・スターテン氏は、個人のセキュリティをクラウドのセキュリティに例えて説明する。「スタジアムの観客席で特定の人を見つけるよりも、その人の家に強盗に入る方が簡単だ。同様に、ハッカーにとっては、パグリッククラウドの集団の中から特定の企業を見つけるよりも、その企業に侵入してデータを盗む方が簡単だ」と同氏は話す。これはパブリッククラウドのセキュリティを高める特質の1つだという。

 専門家によると、物理的セキュリティとネットワークセキュリティに対するパブリッククラウドベンダーの責任をSLA(Service Level Agreement:サービスレベル契約)で明確化する必要があるという。これらは、企業のコントロールがほとんど及ばない領域であるからだ。その上で、セキュリティに対して第一義的な責任を負うのは企業自身であることを認識しなければならない。ブルックス氏によると、セキュリティで最も重要なベストプラクティスは開発段階にあるという。すなわち、アプリケーションの開発と配備の全ての段階でセキュリティを作りこむということだ。

 社内での日常的なセキュリティ慣行も重要だ。「全てのポートが開いたままで、全てのIPアドレスを公開した状態であれば、企業のデータはデータセンターの中よりもクラウド内にある方が危険だ。しかしこれはクラウドの問題ではなく、その企業自身の問題だ」とスターテン氏は語る。

パブリッククラウドのセキュリティ対策

ITmedia マーケティング新着記事

news009.jpg

Google「Pixel 3a」(SIMフリー版)をメルマガ購読者に差し上げます
メールマガジン「ITmedia マーケティング通信」を新規にご購読いただいた方の中から抽選...

news100.jpg

ファンケル、PLAZA、QVC 小売業が自社アプリを持つべき理由とは?
2019年5月15日に開催された「アプリの虎 Vol.4 〜有名企業のアプリ活用最前線〜」におい...

news016.jpg

先進的なCMOを擁する企業は他社より11%高い株主利益を創出――アクセンチュア調査
アクセンチュアは日本を含む世界の大企業のCMOとCEOを対象にした調査を実施しました。