クラウドを安全に使うのはなぜ難しいのか？ クラウドセキュリティの落とし穴：Google Workspaceのセキュリティに関する専門家とGoogleの見解【第4回】

ユーザー企業が自らクラウドサービスのセキュリティ向上に取り組むのには限界がある。クラウドサービスを安全に使う上で、考慮すべきこととは何か。セキュリティを高めるために、ユーザー企業ができることとは。

[Arielle Waldman，TechTarget]

　「セキュリティの確保をクラウドベンダーの手に委ねることには限界がある」。クラウドセキュリティベンダーMitiga Securityのセキュリティ研究員、オール・アスピール氏はこう述べる。クラウドサービスには、セキュリティを高める上で幾つかの課題があるという。それは何なのか。

クラウドのセキュリティ対策はなぜ難しいのか？

併せて読みたいお薦め記事

連載：Google Workspaceのセキュリティに関する専門家とGoogleの見解

• 第1回：Googleドライブのログが残らない　専門家がGoogle Workspaceに見つけた事象とは
• 第2回：Google Workspaceのセキュリティに関する専門家とGoogleの見解
• 第3回：“Googleドライブでログが記録できない問題”へのGoogleの反論がもっとも過ぎた

Googleのセキュリティはどれほど？

• Googleアカウントの「2段階認証」が標準で有効に　Googleの狙いは？
• Googleのセキュリティ向上策に不満の声　「2段階認証」はなぜ嫌われる？

　クラウドサービスのセキュリティ対策は「責任共有モデル」に基づく。責任共有モデルは、ハードウェア、ミドルウェア、ソフトウェアといったコンポーネントごとに、ユーザー企業とベンダーとの間で、責任の所在を明確に分ける考え方だ。例えばIaaS（Infrastructure as a Service）の仮想マシンサービスの場合、一般的には仮想マシンまでのインフラはベンダー、仮想マシンで稼働するソフトウェアはユーザー企業がセキュリティ対策の責任を負う。

　アスピール氏によれば、クラウドサービスではセキュリティ対策について、クラウドベンダーへの依存度が高くなる傾向がある。例えばオンプレミスシステムであれば、必要に応じてログ管理の仕組みを構築できる。クラウドサービスでは、ログ管理機能がもともと存在しない場合、ユーザー企業の意思だけで用意することは難しい。「ユーザー企業はログを閲覧できなければ、問題が起きたかどうかを確認できない」（同氏）

　ログ管理機能があるクラウドサービスのユーザー企業に対してMitiga Securityは、ログで確認可能な全てのイベントを監視することを推奨する。オンラインストレージサービスの場合、ファイルのダウンロードだけではなく、ファイルのコピーも含めて監視することで、攻撃の兆候を見つけやすくなる。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。