パブリッククラウドセキュリティの実像：Microsoft Azureの中の人が話した

　「IT部門はユーザーの先を行かなければならない。シャドーITの動きを静観したり、止めようとするのではなく、ユーザーが正しいやり方でクラウドを使うよう助けなければならない」と、マーク・ルシノビッチ（Mark Russinovich）氏はRSA Conference 2014 USAの講演、「Public Cloud Security: Surviving in a Hostile Multitenant Environment」で話した。「ユーザーがガバナンスを回避しようとすること自体がビジネスリスクになっているからだ」。

　ルシノビッチ氏はマイクロソフトのクラウドサービスMicrosoft Azure（旧Windows Azure）でテクニカル・フェローを務めている。OS、セキュリティ、分散システムに詳しいが、最近は特にセキュリティ関連で活動しており、サイバーセキュリティをテーマとした小説を3冊書いている。

　クラウドサービスの運営側にいる人が、上記のようにクラウドサービスの利用を促すような発言をするのは驚くべきことではない。だが、同氏は「社内ユーザーによるクラウドサービスの利用を放任せよ」といっているわけでもない。

　ルシノビッチ氏がこの講演のあちらこちらで指摘したのは、クラウドサービスが使い方によってさまざまなリスクを生むということだ。

　パブリッククラウドサービスでは、パブリックIPアドレスを与えられているすべての仮想マシン（仮想サーバ）は、インターネットに露出していることになる。だれでもその仮想マシンに到達できる。すなわちDoS攻撃やその他の攻撃の対象の対象となる可能性がある。

　ファイアウォールの内側にある社内ネットワークであれば、基本的には社内の人々しか入ることができない。このため、社内で運用されているサーバやアプリケーションについては、セキュリティ上のさまざまな問題への対処には時間の余裕がある。しかし、サーバがインターネットにさらされていれば、そうはいかない。

　ルシノビッチ氏は、これをOSやアプリケーションのぜい弱性の問題で説明した。例えばOSに何らかのぜい弱性が発見され、これに対応するパッチを入手できたなら、企業の社内で運用されているシステムの場合は、数週間を掛けて検証し、徐々に導入していくというのが一般的なパターン。

IT INSIDER No.28では、RSA Conference 2014 USA（2014年2月）における、ルシノビッチ氏のパブリッククラウドセキュリティに関する講演の内容をお送りします

　だが、クラウドサービス上にユーザーが作成し、パブリックIPアドレスを割り当てた場合は、ぜい弱性が発見され、その情報が公開された途端に、これを活用した攻撃にさらされる可能性が生まれる。従って、パッチの適用も可能な限り急ぐ必要がある。

　パスワード管理にも問題が生じる可能性がある。ユーザーは個人向けのサービスで使っているID／パスワードと、業務で使うクラウドサービスのID／パスワードを同一にしてしまうことがあり得る。こうした認証情報の使い回しが攻撃者に付け込まれ、社内の情報が漏れてしまうおそれがある。

　本記事の冒頭に取り上げたルシノビッチ氏のコメント、「ユーザーがガバナンスを回避しようとすること自体がビジネスリスクになっているからだ」は、上記を踏まえて言っている。「ユーザーが正しいやり方でクラウドを使うよう助けなければならない」というコメントは、業務部門のユーザーにとっての利便性や柔軟性を損なうことなく、セキュリティに関してIT部門がコントロールを確保していく必要があることを示している。

　IT INSIDER No.28「Microsoft Azureの担当者が語る、パブリッククラウドセキュリティの実像」では、ルシノビッチ氏の講演を、さらに分かりやすいように構成してお届けします。ぜひご覧ください。