【第11回】クラウドベースのセキュリティサービス「SecaaS」を考える（前編）

2014年9月9日(火)日本クラウドセキュリティアライアンス

リスト

クラウドコンピューティングのセキュリティ課題について、「Security Guidance for Critical Areas of Focus in Cloud Computing（略称CSAガイダンス）」では体系的に解説している。本連載では、CSAガイダンスに沿って、クラウド利用者が知っておくべき知識と、押えるべきポイントを解説する。前回は、クラウド利用における暗号化と鍵管理、および仮想化のセキュリティについて解説した。今回と次回は、今後、クラウド経由で提供されるケースも増えるだろうセキュリティ関連サービスである「Security as a Service（SecaaS）」について考えてみる。

　「Security as a Service（SecaaS）」−−。この用語については、聞き慣れない人が多いかもしれない。これは、クラウドからセキュリティに関するサービスを提供するモデルを総称する造語である。セキュリティ関連サービスであれば、何でもSecaaSと呼べるのだから、この範疇に入るサービスは極めて多いことになる。

　しかし、クラウドに対してセキュリティを不安視する人が多いなかで、セキュリティサービスをクラウドから提供することに疑問を抱く読者もいるだろう。SecaaSへの期待や懸念に対し、「CSAガイダンス（Security Guidance for Critical Areas of Focus in Cloud Computing）」の14章では、SecaaSのサービスを分類し、それぞれで検討すべきポイントを述べている。

　CSAガイダンスの14章では、SecaaSとして次の10種類を挙げている。

（1）ID管理や認証／承認に関するサービス（IdaaS：Identity as a Service）
（2）データ漏洩防止（DLP：Data Loss Prevention）
（3）Webセキュリティ
（4）メールセキュリティ
（5）セキュリティの検査／評価
（6）侵入検知と防御
（IDS／IPS：Intrusion Detection／Prevention System）
（7）セキュリティ情報とイベントの管理（SIEM）
（8）暗号化
（9）災害対策と事業継続
（10）ネットワークセキュリティ

この記事の続きをお読みいただくには、
会員登録（無料）が必要です