クラウドコンピューティングの利用が拡大する一方、「セキュリティが心配だ」と指摘する声は、なかなか消えようとしない。本連載では、米国に本部を置く国際団体CSA(Cloud Security Alliance:クラウドセキュリティアライアンス)がまとめたガイダンスに沿って、クラウド利用者が知っておくべき知識と、押えるべきポイントを解説する。第1回は、クラウドセキュリティの定義と、CSAの活動内容を紹介する.
クラウドコンピューティングは最早、特別な存在ではなくなった。ソーシャルメディアも、ネットショッピング・サイトも、ストレージサービスも、その多くがクラウドコンピューティング環境から提供されている。日本においても、大手企業が、情報システムのすべてをクラウド環境に移行する事例も急速に増えてきた。
またBCP(Business Continuity Plan:事業継続計画)対策としても、クラウド上のデータやシステムの保全、復旧の容易さが確認されている。また緊急時ニーズに柔軟かつ迅速に対応できる点も、東日本大震災を契機に注目されたところだ。
一方で、クラウドに対してはセキュリティ上の懸念が多数、指摘されている。特にデータ保障の視点からクラウド利用に踏み込めないといった利用企業の声を聞くことが少なくない。
クラウドのセキュリティ課題については、すでに多くの研究と報告が出されている。「Security Guidance for Critical Areas of Focus in Cloud Computing(略称CSAガイダンス)」が、その1つだ。クラウドのセキュリティ課題に専門に取り組む国際団体であるCSA(Cloud Security Alliance:クラウドセキュリティアライアンス)が、クラウドのセキュリティ課題を体系的にまとめている。日本でも日本語訳が無料提供されている 。
CSAガイダンスを読み込めば、クラウドのセキュリティについて過度に懐疑的・消極的になる必要がないことが分かるはずだ。そのうえで、最低限守るべき基礎的なセキュリティ対策や保護手続きを怠らなければ、クラウドをビジネスに活用することが可能になる。
クラウドのセキュリティとは何か
では多くの企業や利用者が懸念する、クラウドのセキュリティとは何だろうか。そもそも、クラウドコンピューティングとは、ネットワーク上に集積されたコンピューティング資源を、複数の利用者が独立して同時に、必要な量と必要な時間だけ使用するためのビジネスモデルである。従来の“所有”を前提にしたITの利活用の姿を根本から変えるコンセプトとして注目された。
クラウドは、コンピュータの所有と利用を分離することで、利用者を資金的、場所的、人的、運転費用的といった様々な負担から解放する。コンピューティング利用の敷居を下げ、全体効率を上げ、普及を加速するとともに、飛躍的に高度な利用を可能にする。
一方で、こうした仕組みにおいて、クラウドの仕組みそのものや、複数同時利用といった構造を可能にするための技術に対し、セキュリティ上の懸念が指摘される。CSAの「CSAガイダンス」は、クラウドが生み出した新たなセキュリティ課題を3部14章(ドメイン)に整理して解説している(表1)。
| 第1部 | Cloud Architecture(クラウドアーキテクチャ) |
| Domain1 | Cloud Computing Architecture Framework |
| (第1章:クラウドコンピューティングのアーキテクチャフレームワーク) | |
| 第2部 | Governance in the Cloud(クラウドのガバナンス) |
| Domain2 | Governance and Enterprise Risk Management |
| (第2章:ガバナンスとエンタープライズリスクマネジメント) | |
| Domain3 | Legal Issues:Contracts and Electronic Discovery |
| (第3章:法律問題: 契約と電子的証拠開示) | |
| Domain4 | Compliance and Audit Management |
| (第4章:コンプライアンスと監査マネジメント) | |
| Domain5 | Information Management and Data Security |
| (第5章:情報管理とデータセキュリティ) | |
| Domain6 | Interoperability and Portability |
| (第6章:相互運用性と移植容易性) | |
| 第3部 | Operating in the Cloud(クラウドの運用) |
| Domain7 | Traditional Security、Business Continuity and Disaster Recovery |
| (第7章:従来からのセキュリティ対策、事業継続性、災害復旧) | |
| Domain8 | Data Center Operations |
| (第8章:データセンタ運用) | |
| Domain9 | Incident Response |
| (第9章:インシデントレスポンス) | |
| Domain10 | Application Security |
| (第10章:アプリケーションセキュリティ) | |
| Domain11 | Encryption and Key Management |
| (第11章:暗号化と鍵管理) | |
| Domain12 | Identity、Entitlement、and Access Management |
| (第12章:アイデンティティ、権限付与、アクセス管理) | |
| Domain13 | Virtualization |
| (第13章:仮想化) | |
| Domain14 | Security as a Service |
| (第14章:セキュリティ・アズ・ア・サービス) | |
3部とは「クラウドのアーキテクチャ」「クラウドのガバナンス」「クラウドの運用」である。上述したようなリソースプール(集積した資源)や共同利用といった仕組みそのものに内在する課題を取り上げている。
加えて、法的・制度的・商務的諸側面の課題が展開される。コンピューティングのための設備の所有者と、その機能を利用してデータを加工・処理したり保存したりする利用者が、別の主体になることに伴う課題である。そして最後に、障害可能性を整理し解説する。コンピューティング・データ処理という「機能」を動かす部分が、他者の行為に依存することに伴う実務上の懸念事項である。
会員登録(無料)が必要です
- 1
- 2
- 次へ >
- 【第12回】クラウドベースのセキュリティサービス「SecaaS」を考える(後編)(2014/09/24)
- 【第11回】クラウドベースのセキュリティサービス「SecaaS」を考える(前編)(2014/09/09)
- 【第10回】クラウド利用における暗号化と仮想化のセキュリティ(2014/08/26)
- 【第9回】クラウドのID/権限管理では各種システムの連携が不可避(2014/08/12)
- 【第8回】クラウドアプリケーションのためのセキュリティアーキテクチャの確立を(2014/07/22)
CSA / リファレンス / クラウドセキュリティ
