- 2017年3月27日
- セキュリティについて
クラウドコンピューティングのセキュリティリスク見逃していませんか
今ではほとんどの方がクラウドコンピューティングをあたかも当然のように使用されていますが、数年前まではクラウドコンピューティングはセキュリティ面が不安視されていたのです。
では具体的にクラウドコンピューティングにはどのような脅威があるのかを見ていきたいと思います。以下の7項目が脅威だと認識されているのです。
(1)クラウドコンピューティングの犯罪目的利用による被害
(2)安全でないインターフェイスやAPI
(3)悪意ある内部犯行
(4)仮想化、共有化技術の問題
(5)データの紛失、漏えい
(6)アカウント、サービスハイジャック
(7)未知の脅威リスク
犯罪目的の利用者が故意に攻撃を行い、他の利用者の情報やサービスに危害を加える可能性があります。また提供者が用意したクラウド利用手段の動作に不良がある場合、クラウドサービスを安全に利用することはできませんし、内部犯行の可能性はどの組織でも皆無とは言えないでしょう。
また仮想化、共有化技術にも課題があり、もし仮想化技術にセキュリティ脆弱性や不具合が発生した場合、利用者の安全が脅かされることになります。加えてクラウド上に情報を保有するためデータの紛失・漏えいという脅威も忘れてはいけません。
悪意ある犯罪者がフィッシングなどにより利用者のアカウント情報を盗み、利用者になりすまして、クラウドサービスを利用する行為が起きる可能性もあります。そして現在は顕在化していない問題が将来に発覚することも多いにあるのです。
(参照:クラウド Watch 【特別企画】クラウドコンピューティングのセキュリティ その課題と対策 2012/4/3)
このようなクラウドコンピューティングが持つ脅威に対しては以下の3つの対策を取っていくことが適切でしょう。
1. クラウドコンピューティングを利用するための情報セキュリティマネジメント
クラウドコンピューティングを利用する場合、管理すべき情報や権限が社内に限定されなくなりますが、一般に社内の情報セキュリティマネジメントは社外にまで及ばないために、ユーザ企業単独では十分な情報セキュリティマネジメントを実現することが難しいです。そこで、セキュリティ対策状況や管理状況について利用者とクラウドプロバイダ間で共有するとともに、双方で必要に応じた対策を行い、双方がコントロールする情報セキュリティマネジメントを実現することが、クラウドコンピューティングを活用していく上では非常に重要であるといえます。
2. 内部統制の観点に基づいたリスク対策
企業の内部統制においては、情報システムに係る統制(IT統制)が要求されており、クラウドコンピューティングの利用においても、同様にIT統制が要求されることに違いは無いでしょう。
3. クラウドコンピューティングにおけるSLA
SLA(Service Level Agreement:サービスレベル合意)とは、利用者とサービス提供者の間で締結される、サービスレベルに対する要求水準等の合意・契約を意味します。クラウドコンピューティングはその特性上、提供されるサービスは見えるが、その環境について利用者から見えにくく、クラウドプロバイダが抱える課題事項(情報セキュリティ上の懸念等)が残存してしまう懸念があります。そこで、SLAを得ることで、サービスレベルに関する利用者の要求水準(期待)とクラウドプロバイダが提供するサービス内容(現実)を可視化することが重要となるのです。
クラウドコンピューティングは大変便利です。ただ便利なものにはそれなりのリスクが伴います。そのリスクを把握し、そして対策を理解した上で活用していきましょう。