パブリッククラウド上でソフトウェア開発する際も、セキュリティに関して第一義的な責任を負うのは企業自身であることを認識しなければならない。SaaS/PaaS利用の注意点を解説する。
レガシーアプリケーションからパブリッククラウドサービスのPaaS(Platform as a Service)に移行したり、レガシーデータをSaaS(Software as a Service)アプリケーションに移行したりすることで得られるメリットの1つとして、新たなセキュリティサービスがある。しかしクラウドの利用は通常、企業(特に開発チーム)のセキュリティ責任を増大させるとともに、新たなリスクを招くものである。これらの責任とリスクには、あらゆる種類のパブリッククラウドに共通するものもあれば、特定のSaaSベンダーやPaaSベンダーに固有のものもある。
PaaSとSaaSのどちらを選ぼうとも、データは企業のファイアウォールの外側に出され、「大惨事が起きる可能性が高くなる」と指摘するのは、米ソフトウェアコンサルティング企業Denim Groupのダン・コーネル社長だ。ハッカーたちはシステムの外観を損なうことよりもデータを盗むことに目を向けるようになり、その手口はますます高度かつ巧妙になってきた。
インフラとクラウドを専門とする米Tier1 Research(米451 Researchの1部門)のアナリスト、カール・ブルックス氏によると、共有型パブリッククラウドにデータを置くというのは、同じサービスを利用している他のユーザーに対する強い警戒心を必然的に呼び起こすという。このため、データの移行に当たっては、情報が他のユーザーに漏れるのを防止するために、どのような対策を講じているのかをベンダーに確認する必要がある。
こういった警戒心について、米調査会社Forrester Researchのアナリスト、ジェームズ・スターテン氏は、個人のセキュリティをクラウドのセキュリティに例えて説明する。「スタジアムの観客席で特定の人を見つけるよりも、その人の家に強盗に入る方が簡単だ。同様に、ハッカーにとっては、パグリッククラウドの集団の中から特定の企業を見つけるよりも、その企業に侵入してデータを盗む方が簡単だ」と同氏は話す。これはパブリッククラウドのセキュリティを高める特質の1つだという。
専門家によると、物理的セキュリティとネットワークセキュリティに対するパブリッククラウドベンダーの責任をSLA(Service Level Agreement:サービスレベル契約)で明確化する必要があるという。これらは、企業のコントロールがほとんど及ばない領域であるからだ。その上で、セキュリティに対して第一義的な責任を負うのは企業自身であることを認識しなければならない。ブルックス氏によると、セキュリティで最も重要なベストプラクティスは開発段階にあるという。すなわち、アプリケーションの開発と配備の全ての段階でセキュリティを作りこむということだ。
社内での日常的なセキュリティ慣行も重要だ。「全てのポートが開いたままで、全てのIPアドレスを公開した状態であれば、企業のデータはデータセンターの中よりもクラウド内にある方が危険だ。しかしこれはクラウドの問題ではなく、その企業自身の問題だ」とスターテン氏は語る。
Copyright © ITmedia, Inc. All Rights Reserved.
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
