I. はじめに
私たちは通常インターネットを何も意識せずに利用しています。しかし、Webメール、ツイッター、インターネットショッピングなどのネット決済を利用する際に、個人情報の漏えいの不安を感じている人も多いのではないでしょうか。
クラウドでは、基本的にデータは雲に例えられるインターネットの向こう側にあるクラウド事業者(以下、事業者)に存在します。事業者にあるデータがどこに移動され、どこに保存されているか、見当がつきません。このデータが管理できないということが、クラウドサービス利用の弊害の1つになっていることは事実でしょう。
2011年6月~8月にErnst & Youngが行なった調査では、クラウドサービスを利用していると回答した者の大多数(約80%)は、SaaS(ソフトウェアをサービスとして提供)を利用しています。しかし、状況をより複雑にしているのは、SaaSを購入しているつもりでいても、SaaSを提供する事業者が他の事業者の提供するPaaS(ソフトウェアを稼働させるプラットフォームをサービスとして提供)を利用しており、さらに、そのPaaS事業者は共用データセンターのスペースを貸しているIaaS(インフラをサービスとして提供)事業者からインフラを購入しているという場合があるという点です。
II. クラウドサービスの責任範囲
クラウドサービスの提供形態(SaaS/PaaS/IaaS)毎に、クラウド利用者(以下、利用者)が責任を負う範囲と、事業者が責任を負う範囲が異なることを意識する必要があります。例えば、利用者においてセキュリティ対策を講じることのできる領域は、SaaSではデータ、PaaSではデータ及びアプリケーション、IaaSではデータ・アプリケーション及びミドルウェアとなります。逆に言えば、上記以外は、すべて事業者の責任範囲となります。
III. クラウドサービスのセキュリティ要件
クラウドに限らず、利用者の最大の関心は、事業者に求めるセキュリティの管理レベルをどの程度にすればよいかということでしょう。これについては、利用者のデータを事業者に預けることになるので、少なくとも利用者の現在の管理レベルと同等かそれ以上を要求することは必然となります。あくまで、データは利用者の情報資産であり、それを管理する責任も最終的には利用者側にあるからです。従って、クラウドサービスのセキュリティ対策を検討する場合、利用者のセキュリティポリシーが対策の拠り所となるのです。
次に、クラウドサービス導入の際に検討すべき、主なセキュリティ要件をご紹介します。
1. 暗号化
クラウドサービスの提供形態がどのようなものであろうと、データは利用者が責任を持っ て管理すべきものです。通常はインターネットを経由してサービスを利用することが多いため、SSL等によるデータ送受信における暗号化が必要になります。また、プライベートクラウド(特定のユーザーが利用することを前提に構築・運用されるクラウドサービス)のようなイントラネット環境でも、暗号化することにより組織内部からの盗聴によるリスクを回避できます。さらに、パブリッククラウドのように、他の利用者とシステム環境を共有する場合は、ストレージ(記憶装置)内のデータについても暗号化することが有効な対策になります。
2. バックアップ
可用性の観点から、利用者側でデータのバックアップを定期的に取得することが推奨されます。また、災害が起こった際に「利用者のデータ復旧にどのくらいの時間を要するのか」を事業者に確認しておく必要があります。
3. アクセス管理
データの重要度に応じた、アクセス権限設定を行うことが重要になります。特に、利用者のデータを扱う事業者側の特権IDやパスワードの管理方法を確認しておくことが重要です。
4. 契約
クラウドサービスの評価を行なうためにSLA(サービスレベルアグリーメント)の締結が望まれます。また、関連する法律や規制の内容、データセンター所在地、再委託条項、監査権などが明文化できれば理想的です。そのためには、システム部門の実施したクラウドサービスのリスク評価を法務部門やリスク管理部門と共有することにより、適切な契約条項を設定することが必要です。
5. 内部統制(財務諸表に関連するシステム)
内部統制評価を実施するためには、評価対象サーバの特定(データの所在の明確化)が必要になります。また、内部統制評価に必要なアクセス記録や変更管理台帳等の閲覧が可能であることが重要となります。必要に応じて、SAS70(SSAE16)や18号(将来的に86号)といった事業者を対象とした監査報告書を入手することにより、効率的に内部統制評価を実施することが可能です。
IV. おわりに
先のErnst & Youngが行なった調査結果では、明確なガイダンスがない中で、多くの組織が十分な情報を得られないまま、クラウドサービス利用に伴うリスクを検討することなくクラウドを採用、または全面的に敬遠するという決断を下そうとしています。クラウドを既に採用しているか、導入を計画中と回答した組織は約60%と比較的多いものの、その中でクラウドや仮想化などの新技術のセキュリティ対策を実現するのが困難だと答えた回答者が約80%に上っています。
結論としては、クラウドだからといって何か特別なセキュリティ対策をとる必要はありません。セキュリティ対策は、終わりのないものであり、どこまで実施したらよいのか判断が難しいため、リスクベースの対策を講じるべきです。つまり、従来のセキュリティ対策のアプローチに沿って、クラウドのセキュリティリスクを洗い出し、利用者及び事業者に求められるセキュリティ要件を明確にします。その結果、リスクの大きさに応じて対応を検討することになりますが、ネットワークの境界線があいまいになる等、クラウド環境の特性を加味した対策を講じることが重要です。
