企業システムのクラウド化を成功させるセキュリティ戦略：クラウドセキュリティ戦略はたったの2種類

企業システムを安全にクラウドへ移行するためには、クラウド事業者の選定、クラウド上でのデータ保護や監視といった情報セキュリティ対策が重要だ。ここでは、クラウド利用のためのガイドラインを幾つか紹介する。

[Bill Kleyman，TechTarget]

　どんな企業にも、情報セキュリティへの不安は付いて回る。そしてその不安がクラウドコンピューティングによって増幅されることもある。だが幾つかの基本的ルールを採用すれば、ユーザーとそのデータ、クラウドに対する全般的な投資を守る一助にできる。

　クラウドにまつわるセキュリティ不安を数え上げればきりがないように思えるかもしれない。だが現実には、クラウドセキュリティ戦略は主に2種類に分類できる。すなわちパートナーベースのセキュリティ、つまりSaaS（Software as a Service）、PaaS（Platform as a Service）、IaaS（Infrastructure as a Service）モデルのためのセキュリティと、ユーザーベースあるいはクライアントベースのセキュリティだ。以下にプライベート／パブリッククラウドのセキュリティ対策のためのガイドラインを幾つか挙げる。

クラウドセキュリティ計画の戦略的な立案

　全ての環境には独自性がある。会社のワークロードをエンドユーザーにどう提供するか、念入りに検討しなければならない。最初の計画段階でセキュリティを前面に押し出せば、確固たる基盤ができ、コンプライアンス対応が必要な組織において復旧力が高く監査も念頭に置いたクラウドインフラを構築できる。

クラウドのコンプライアンス、セキュリティに関する記事

• コストとコンプライアンスを踏まえたクラウド戦略の策定
• パブリッククラウドを選択できない企業、クラウドが越えなければならない壁
• パブリッククラウド利用前に押さえておきたい4つのセキュリティリスク
• 調査から見えたクラウドの不安要素とセキュリティ強化への意欲
• 調査結果から見る中堅・中小企業のクラウドセキュリティに対する懸念

クラウド事業者の選定は慎重に

　セキュリティガイドラインの『Cloud Security Alliance』によると、クラウドを脅かすセキュリティ不安の筆頭はデータの紛失と流出だ。会社の重要な情報を守ることのできるクラウドパートナーを選ぶことが極めて重要になる。会社のITサービスのためのクラウドパートナーを見極めるに当たっては、その業者にITとセキュリティサービスの両方の経験があることをはっきりさせなければならない。クラウドに対応したリスク回避がその業者の標準的なセキュリティプラクティスに盛り込まれていることは確認したい。そして、ITとセキュリティ、ネットワークサービスの統合において定評があり、戦略的なサービス／パフォーマンス保証を提供できるクラウド事業者のみを選定の対象とすることだ。

クラウド事業者選びに関する記事

• パブリッククラウドプロバイダーは信頼できるか？
• 代表的な4つのPaaSを比較、使いやすいものはどれだ？

ID管理システムの確立

　あらゆる企業環境には、会社のデータとコンピューティングリソースへのユーザーのアクセスを管理する何らかのID管理システムが存在するはずだ。パブリッククラウドへの移行やプライベートクラウドの構築に際しては、IDフェデレーションの検討に重点を置く必要がある。

　クラウド事業者は、IDフェデレーションやシングルサインオン（SSO）を使って既存のID管理システムをその事業者のインフラに統合するか、その事業者自身のID管理システムを提供することに前向きでなければならない。それができなければ、IDプール状態の環境が出来上がり、エンドユーザーが複数セットのログイン情報を使って共通のワークロードにアクセスしなければならなくなる（参考：クラウド導入で見直すアイデンティティー管理）。

クラウドに置いた企業情報の保護

　セキュアなIT組織では、エンドユーザーごとのデータが適切に分割されている。言い換えれば、静止状態にあるデータはセキュアに保存され、動いているデータは1つの場所から別の場所へと支障なく安全に移動できなければならない。信頼できるクラウドパートナーはデータの流出を防止でき、無許可の第三者がデータにアクセスできないようにする措置を講じてきた。役割と責任を明確に定義し、ユーザーは別の権限を持たない限り、（たとえ特権ユーザーであっても）監査、監視、検査を免れることはできないと確認しておくことが大切だ。

クラウドの本質を突く記事

• “オレオレクラウド”にはこりごり、クラウドの本質を知る
• クラウドは本当にコストダウンになるのか

アクティブな監視システムの開発

　クラウドのデータは継続的に監視する必要がある。パフォーマンスのボトルネック、不安定なシステムといった問題は、サービス障害を避けるため早期に発見しなければならない。クラウド環境の継続的な監視を怠れば、結果としてパフォーマンスの低下や情報流出の可能性、エンドユーザーの怒りを招く。クラウドに対応した組織は、どの監視ツールを使い、どの程度の頻度でデータの追跡と監視を行うかについて計画を立てる必要がある。

　例えば、仮想デスクトップのためにクラウドを利用している企業なら以下の項目に関心があるだろう。

• SANの利用
• WANの運用
• ネットワークの問題やボトルネック
• ログイン情報：例えばログイン失敗の記録やロックアウトに関する情報など
• ゲートウェイ情報
• ユーザーの居所、不審なトラフィックがプライベートクラウドに入り込んでいないか
• IPアドレスがどのように使われているか、社内ゲートウェイのルーティングは適切に機能しているか

　この後、発生したイベントや障害に手動あるいは自動で対応する手順を導入すればいい。クラウドソリューションをアクティブに監視することの価値を理解しておくことは非常に重要だ。クラウド環境に常に目を光らせることにより、IT管理はエンドユーザーが気付く前に先手を打って問題を解決できる。

クラウドパフォーマンスの基準確立と定期的な診断

　クラウドサービス事業者について調べる際には、パブリッククラウドであれプライベートクラウドであれ、その業者が可用性、問題発生時の連絡、障害連絡、サービス復旧、平均解決時間などの基準を盛り込んだしっかりとしたサービスレベル契約（SLA）を提示しているかをチェックしたい。定期的に予防的診断を行えばセキュリティリスクやデータ流出のリスクを大幅に低減できる。

　たとえクラウド事業者が診断を実施しているとしても、社内の診断手順も定めておくことは必須となる。その環境、そしてエンドユーザーのニーズについて最もよく知っているのはIT管理者だ。クラウドベースのワークロードの使われ方に一貫性がなかったり不規則な点があったりすれば、セキュリティ問題や情報流出につながりかねない。

次のステップ：クラウドにおけるIDフェデレーション

　ホストレベルに始まってクラウドインフラからエンドユーザーに至るまで、全てを通じて徹底したセキュリティ戦略を定める必要がある。企業のクラウドへの投資を守る一助となるツールも複数市販されている。

　例えばIDフェデレーションは、クラウドインフラのセキュリティ対策によってログイン情報管理を1段高いレベルへと引き上げる助けになる。クラウドは、そのための投資を行う環境が整っていれば絶大なメリットをもたらす。だがその条件として、クラウドセキュリティの選択肢評価において賢明かつ入念な調査に基づく決定を下さなければならない。

関連ホワイトペーパー

クラウドコンピューティング | ID管理 | 情報流出 | コンプライアンス | セキュリティ対策 | シングルサインオン