後編 クラウド利用時にクリアすべきリスクと課題
篠崎将和
NRIセキュアテクノロジーズ株式会社
セキュリティコンサルタント
事業開発部
2010/7/13
前編「クラウドコンピューティングの心理的課題」に引き続き、クラウドを利用する上で把握しておきたいリスクと課題について解説する(編集部)
クラウドサービス利用におけるセキュリティ面での考慮事項
クラウドサービスに対する利用者の不安を少しでも取り除くために、セキュリティ面での課題について整理する。
ENISAでも言及されているように、クラウドコンピューティングはこれまでの技術の組み合わせであり、その運用レベルを高めたものである。これまで個々の技術では課題やリスクと認識されなかったことが、技術の重ね合わせや従来と異なる活用方法により、課題やリスクの影響度が大きくなり、重要な課題やリスクであると認知されるようになってきた。この見解については、Cyber Lawで著名な弁護士や監査士(監査法人、情報セキュリティ監査人)、データセンター事業者、セキュリティベンダなどの有識者の間でもおおむね一致している。
クラウドサービスを利用する際のリスクや課題は、サービスが社外のデータセンター上で供給されるために、利用側がその実態を把握することが困難であることに起因することが多い。 ASPやホスティングサービスの利用でも存在していたリスクや課題とも考えられるが、 クラウドの特性から影響を受けているリスク・課題も存在する。例えば、仮想化技術を用いたマルチテナント化に伴う物理リソースの共有に起因するデータの機密性や、従量課金に関連したEDoS(Economic Denial of SustainabilityまたはEconomic Denial of Service)などは、クラウド色の強い課題であるだろう。
上記を踏まえ、パブリックに提供される各種クラウドサービス(SaaS/PaaS/IaaSを含め)を利用する利用者の観点で課題整理を行うと、大別して、
- 法・制度的観点からみた課題
- 技術的観点からみた課題
- 運用の観点からみた課題
に分類できる。それぞれの分類に対して少しコメントを加えたいと思う。
法・制度的観点からみた課題
当然のことであるが、クラウドコンピューティングが世にうたわれる前から、法・制度は制定されているため、必然的にクラウドサービスなども法・制度への遵守が必要となってくる。
利用者の業種により関連する業法も異なるであろうが、定められたルールに従わなければならない。しかしながら、利用対象のクラウドサービスが、法・制度を遵守するものとなっているかを利用者側では判断しにくい、あるいはできない部分もある。そのような場合は、クラウド事業者側に情報開示を求め、適切に守るべき法が遵守されていることを確認し、事業者側では対応しきれない部分は利用者自身でカバーすることが可能であるかを判断する必要がある。
最も大きなリスク・課題は、データ保護である。
海外の大手クラウド事業者のサービスを利用すると、利用者が預託したデータへのサービス可用性を確保するために、世界各地の複数サーバに分散して保存するケースも多い。
このような場合に、預託したデータを利用者が削除した際に、各地に保存されたすべてのデータが削除されないと、データの不正利用につながる恐れや個人情報保護法を守れない恐れがある。営業秘密や個人情報などの重要データをクラウド上へ預け入れる場合には、データの暗号化などの対策を利用者側で行うことも必要となるだろう。
ほかにも海外に設置されたサーバへ利用者のデータを保存するケースでは、サーバ設置国やネットワークの経由国の法律に縛られることが考えられる。
クラウド事業者が何らかの訴訟や犯罪強制捜査に巻き込まれた際は、捜査機関によるサーバの差し押えが発生し、預託したデータの機密性が損なわれる可能性がある。このような事態が想定されるため、サービスの準拠法を事前に確認しておく必要がある。
海外の大手クラウド事業者の中には、日本の利用者の不安を取り除くために、データセンターを日本に設置したり、日本の法律に準拠することを明示したりするところもある。
経済産業省「クラウド・コンピューティングと日本の競争力に関する研究会 報告書(案)」(パブリックコメントの募集は2010年07月21日まで)では、先に述べたような課題なども含め、現時点の法制度の見解に加えて、今後の制度整備に関する大まかなスケジュールが記載されている。このような状況も踏まえ、法制度面のリスクを理解していくことが必要である。
| 【参考】 「クラウド・コンピューティングと日本の競争力に関する研究会 報告書(案)」に対する意見公募 http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=595210017 |
●表1 法・制度的観点からみたリスク・課題
| 大分類 | 小分類 | リスク・課題の内容 |
|---|---|---|
| 法・制度 | 国外 |
|
| 国内 |
|
|
| ITガバナンス | ITガバナンス |
|
| コンプライアンス |
|
1/3 |
 |
| Index | |
| クラウド利用時にクリアすべきリスクと課題 | |
 |
Page1 クラウドサービス利用におけるセキュリティ面での考慮事項 法・制度的観点からみた課題 |
| Page2 技術的観点からみた課題 運用の観点からみた課題 |
|
| Page3 クラウドサービスを安心して利用するためには 最新動向を注視し、メリットを見極めた利用を |
|
なぜクラウドは「不安」なのか バックナンバー
- 第1回 クラウドコンピューティングの心理的課題
- 最終回 クラウド利用時にクリアすべきリスクと課題
 |
なぜクラウドは「不安」なのか 連載インデックス |
TechTargetジャパン
- 実録、「Hardening Zero」の舞台裏 (2012/5/25)
コラムの更新頻度を落として何をやっていたかって? 「守る技術」に焦点を当てたこんなイベントを開催しました - 複雑化、巧妙化する脅威への対策は? (2012/5/23)
データ保護や標的型攻撃対策、クラウドセキュリティ……「第9回 情報セキュリティEXPO」の会場で見つけた製品を一挙に紹介 - 仮想化がはらむ新たなリスク (2012/5/17)
仮想化に伴って生じるセキュリティやパフォーマンスへの影響を慎重に考慮し、うまく制御していく方法を紹介します - 新入生も新入社員も勉強会に寄っといで! (2012/5/14)
週末ともなれば至るところでセキュリティ系勉強会やCTFなどのイベントがあり、ツイートも盛り上がりました
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。