2018/04/03

クラウドの活用とセキュリティの課題

クラウド cloud
2018 年 4 月 3 日 Emil Hozan 著

市場規模が急速に拡大し、数十億ドルにまで拡大した今、クラウドコンピューティングの採用を検討しない企業はいないでしょう。

クラウドコンピューティングには、すぐに思い付くものだけでも、次のような優位性があります。

  • アクセスの利便性 – 最近では、ほとんどの人がインターネットにアクセスできるようになり、複数のアクセス方法でインターネットにアクセスする人も増えました
  • 迅速な展開 – オンラインインスタンスによって、オンプレミスの実装の計画や実行の時間的制約が少なくなりました
  • スケーラビリティ – ニーズの拡大に合わせて、インスタンスに割り当てるリソースも拡大できます

クラウドコンピューティングのこれらすべてのメリットを、Amazon、Google、Microsoft などのサービスを利用することで、すぐに手に入れることができます。サービスを選択する際には、多くの場合に速度が最優先されるようですが、プロバイダのセキュリティも、考慮すべき重要な条件です。セキュリティが重視されていない限り、データやビジネスプロセスの安全性は確保されません。

クラウドプロバイダを検討する際は、以下の点に注意するようお勧めします。

  1. そのプロバイダは、どのようなセキュリティを提供しているのか、また、自分の会社はどのようなセキュリティを必要としているのか。40 万人のサイバーセキュリティのエキスパートで構成される、LinkedIn のグループ、Information Security Community の参加者は、クラウドにおける最大の課題が何かという質問に対し、67% がデータの損失や漏えいを、61% がデータのプライバシーに対する脅威を、53% が機密性の侵害を挙げています。これらのどれもが、トレーニング不足や古いセキュリティツールを根本的な原因とするものです。さらには、16% が提供されるツールが不十分であると報告しており、84% が提供されるツールは業務の使用に耐えない、あるいは、機能が極めて限定されていると回答しています。最大の脅威は何かという質問については、構成ミスが第 1 位、不正アクセスや不適切なアクセス制御が第 2 位、安全性が欠如したインタフェースや API が第 3 位という回答でした。自社にとって最適なクラウド環境を構築するためには、人材の適切なトレーニング、正しい構成、および提供されるツールと場合によってはサードパーティのオプションの統合が必要とされます。したがって、クラウドプロバイダが提供するセキュリティサービスとその実装方法がある程度明らかにされていることを確認します。全面公開とは言わないまでも、サービスの種類や実装方法にある程度の透明性がなければ、サービスそのものを信頼し、安心して利用することはできません。
  2. そのプロバイダが、どのようなセキュリティや個人情報保護の規格に準拠しているのか。2018 年 5 月に発効される GDPR(一般データ保護規則)の要件は、EU 市場に顧客を持つ企業に、大きな影響をもたらすことになるでしょう。この規制によって、世界全体の売上の 4%、または 2,000 万ユーロのいずれか高い方が罰金として課される可能性があるためです。クラウドプロバイダのサーバは世界各地に展開されているため、データがどこに保存されるかという保証はなく、もちろん、国外に保存される場合もあります。プロバイダによっては、いくつかのゾーンが提供されており、ユーザがゾーンを選択することで、特定の地域にデータを保存することができます。すべてのハードウェアやソフトウェアは未公開の脆弱性の影響を受ける恐れがあるため、多層型のセキュリティモデルを実装することで、さまざまな側面を確実に保護する必要があります。
  3. ビジネス継続性計画は、自社だけでなく、クラウドサービスプロバイダが提供するサービスにも必要とされるものである。ビジネス継続性を保護するためのどのような計画をクラウドプロバイダから提供されているのでしょうか。オンプレミスのビジネス継続性については、フェイルオーバを可能にすることで、災害発生時もビジネスを継続できるようにしておくことが重要です。さまざまなホット/コールドバックアップサイトがありますが、ビジネス継続性が最優先されるのであれば、さまざまな状況が想定された、確実な計画を策定する必要があります。また、アクセシビリティを考慮して、いくつかの異なる場所にデータのバックアップを用意しておきます。クラウドプロバイダを利用する際には、バックアップ計画の一部にプロバイダのサービスを利用することになるでしょう。したがって、プロバイダのサイトで停電が発生した場合にどのような影響を受ける可能性があるのか、想定される復旧時間はどれ位なのかなどをプロバイダに確認します。プロバイダがデータをバックアップしているのでしょうか。あるいは、バックアップの責任は全面的にユーザに委ねられているのでしょうか。専門家たちは、プロバイダがバックアップを提供している場合であっても、ユーザ自身が独自にバックアップを取得しておくよう推奨しています。あるホスティング会社では実際に、このような事件も発生しています。
  4. そのプロバイダのセキュリティレベルはどの位か。セキュリティがどれほど強固なものであったとしても、侵入を試みるハッカーの標的になる可能性は残されています。データがローカルデバイスとクラウドの間を移動する際は、データの更新や同期のたびのログインを不要にする目的でユーザトークンが使用されます。データ漏えい、サービス拒否攻撃、アカウント乗っ取り、さらには、クラウドの中間者攻撃などを考慮し、作業フローを円滑かつ安全に処理する方法を十分に理解しているプロバイダを選択する必要があります。

以上の点からわかるように、オンプレミスまたはクラウドのどちらをビジネスに利用する場合も、セキュリティと継続性を常に最優先に考える必要があります。適切な計画と調査によって、自社のデータとビジネスの保護に必要なセキュリティが保証される最適なプロバイダの選択が可能になり、さまざまな地域、国、地方、団体が定めたセキュリティや個人情報保護の規制や標準を準拠しつつビジネスを遂行し、災害発生時もビジネスを継続し、セキュリティを確保しつつビジネスを前進させることができるでしょう。– Emil Hozan

参考資料

Lawton, S. 著(2018 年 3 月 30 日)『5 Question to ask cloud services providers about security(クラウドサービスプロバイダへのセキュリティに関する 5 つの質問)』、出典:https://www.scmagazine.com/5-questions-to-ask-cloud-services-providers-about-security/article/754917/
Ma, J. 著(2015 年 12 月 14 日)『Top 10 Security Concerns for Cloud-Based Services(クラウドベースサービスにおけるセキュリティの 10 大懸念事項)』、出典:https://www.incapsula.com/blog/top-10-cloud-security-concerns.html

Seals, T. 著(2018 年 3 月 27 日)『Cloud Security Concerns Surge(クラウドセキュリティに対する懸念の高まり)』、出典:https://www.infosecurity-magazine.com/news/cloud-security-concerns-surge/

Wrinkler, V. J. R. 著(2011 年 11 月)『Cloud Computing: Cloud Security Concerns(クラウドコンピューティング:クラウドセキュリティの懸念事項)』、出典:https://technet.microsoft.com/en-us/library/hh536219.aspx

Wycislik-Wilson, M. 著(2018 年 3 月 6 日)『123 Reg backup cockup wipes out users’ websites since August last year(123 Regのバックアップミスで昨年 8 月以降のユーザの Web サイトが消去される)』、出典:https://betanews.com/2018/03/06/123-reg-backup-cockup/

[更新] LINE をかたるフィッシング (2018/06/06)