Microsoft Azure CTOが挙げる、10項目のパブリッククラウドリスク:パブリッククラウドはココに注意
米MicrosoftのAzureクラウドCTO、マーク・ルシノビッチ氏は、パブリッククラウドセキュリティの主なリスクとして、悪意のある内部関係者、共有テクノロジー、データ侵害、人工知能、データ喪失など、10項目を挙げた。
「コンピューティングは、クラウドやモバイルが全盛の第3世代に入った。しかし、クラウドのセキュリティについてはまだ十分考えられていない。パブリッククラウドのセキュリティリスクに対処し、その懸念を広く知らしめることが重要だ」と、ロンドンで開催された年次IP Expo 2014で米MicrosoftのAzureクラウドCTO、マーク・ルシノビッチ氏は語った。
Computer Weekly日本語版 12月3日号無料ダウンロード
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 12月3日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
「信頼なくしてクラウドは成り立たないため、これは重要だ」
同氏は、米Cloud Security Allianceが発表したクラウドコンピューティングの脅威トップ9をベースに、パブリッククラウド特有のセキュリティの懸念事項10項目をリストアップし、Microsoft Azureや米AWSなどのパブリッククラウドサービスプロバイダーがこれらのセキュリティリスクに対処するための取り組みについて次のように説明した。
1.共有テクノロジーの脆弱性:クラウドのリスク
誰もがアクセスできるソフトウェアに脆弱性があると、攻撃者はその脆弱性を突いて、同じサービスを使用する他のユーザーのデータを危険にさらす。
共有テクノロジーの脆弱性は、企業のデータセンターのセキュリティにとっても問題だが、クラウドサービスの方が悪用のリスクが高い。多くのユーザーのデータが集まることからクラウドサービスは格好の標的となる上、企業のAPIよりもクラウドのAPIの方がアクセスが容易なためだ、とルシノビッチ氏は話す。
クラウドプロバイダーは、ソフトウェアの自動展開や迅速かつ大規模な修正プログラムの配布などを行ってこの脅威に対応している。
2.不十分なデューデリジェンスとシャドーIT
「多くの会社がITプロセスを経ないで、データをクラウドに保存している(シャドーIT)」とルシノビッチ氏は言う。
「IT部門がオンプレミスサーバとアプリケーションを対象に管理、監査、フォレンジック、アクセス制御のシステムを設計していても、シャドーITは行われる」
パブリッククラウドでシャドーITが行われることによって企業に生じるリスクは、企業が責任を持つ必要があると同氏は指摘する。
「IT部門は、コーポレートガバナンスを徹底しながら各部門が力を発揮できる方法を見極め、責任ある導入を進める必要がある」とルシノビッチ氏はIP Expoの参加者にアドバイスした。
3.クラウドサービスの悪用
続きはComputer Weekly日本語版 12月3日号にて
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 11月19日号:データセンター管理者はもういらない
Computer Weekly日本語版 11月5日号:クラウドに失敗する企業の法則
Computer Weekly日本語版 10月22日号:次に市場から消えるのは誰?
Copyright © ITmedia, Inc. All Rights Reserved.