2014年12月04日 08時00分 UPDATE
特集/連載

パブリッククラウドはココに注意Microsoft Azure CTOが挙げる、10項目のパブリッククラウドリスク

米MicrosoftのAzureクラウドCTO、マーク・ルシノビッチ氏は、パブリッククラウドセキュリティの主なリスクとして、悪意のある内部関係者、共有テクノロジー、データ侵害、人工知能、データ喪失など、10項目を挙げた。

[Archana Venkatraman,Computer Weekly]
Computer Weekly

 「コンピューティングは、クラウドやモバイルが全盛の第3世代に入った。しかし、クラウドのセキュリティについてはまだ十分考えられていない。パブリッククラウドのセキュリティリスクに対処し、その懸念を広く知らしめることが重要だ」と、ロンドンで開催された年次IP Expo 2014で米MicrosoftのAzureクラウドCTO、マーク・ルシノビッチ氏は語った。

Computer Weekly日本語版 12月3日号無料ダウンロード

15607.gif

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 12月3日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。


 「信頼なくしてクラウドは成り立たないため、これは重要だ」

 同氏は、米Cloud Security Allianceが発表したクラウドコンピューティングの脅威トップ9をベースに、パブリッククラウド特有のセキュリティの懸念事項10項目をリストアップし、Microsoft Azureや米AWSなどのパブリッククラウドサービスプロバイダーがこれらのセキュリティリスクに対処するための取り組みについて次のように説明した。

1.共有テクノロジーの脆弱性:クラウドのリスク

 誰もがアクセスできるソフトウェアに脆弱性があると、攻撃者はその脆弱性を突いて、同じサービスを使用する他のユーザーのデータを危険にさらす。

 共有テクノロジーの脆弱性は、企業のデータセンターのセキュリティにとっても問題だが、クラウドサービスの方が悪用のリスクが高い。多くのユーザーのデータが集まることからクラウドサービスは格好の標的となる上、企業のAPIよりもクラウドのAPIの方がアクセスが容易なためだ、とルシノビッチ氏は話す。

 クラウドプロバイダーは、ソフトウェアの自動展開や迅速かつ大規模な修正プログラムの配布などを行ってこの脅威に対応している。

2.不十分なデューデリジェンスとシャドーIT

 「多くの会社がITプロセスを経ないで、データをクラウドに保存している(シャドーIT)」とルシノビッチ氏は言う。

 「IT部門がオンプレミスサーバとアプリケーションを対象に管理、監査、フォレンジック、アクセス制御のシステムを設計していても、シャドーITは行われる」

 パブリッククラウドでシャドーITが行われることによって企業に生じるリスクは、企業が責任を持つ必要があると同氏は指摘する。

 「IT部門は、コーポレートガバナンスを徹底しながら各部門が力を発揮できる方法を見極め、責任ある導入を進める必要がある」とルシノビッチ氏はIP Expoの参加者にアドバイスした。

3.クラウドサービスの悪用

ITmedia マーケティング新着記事

news021.jpg

ITRが「IT投資動向調査2020」を実施 「卸売・小売」の投資意欲が盛んに
国内企業のIT予算は堅調に増加傾向にはあるものの、その勢いには陰りが見え始めています。

news031.jpg

「グロースハック」の神髄とは? Dropboxとメルカリの場合
元祖グロースハック企業Dropboxと、わずか数年で世界有数のフリマアプリに成長したメルカ...

news091.jpg

インターネット広告に関するユーザー意識 8割のユーザーが情報活用に不安――JIAA調査
ユーザーのインターネットメディア・広告への意識、情報取得活用への意識、業界が取り組...