納得できる仮想プライベートサーバ探し、その後：セキュリティ、そろそろ本音で語らないか（15）（2/3 ページ）

決してムダではない「ISMS」の効能

　このような1U単位の専用サーバは、ラックが共有であることと、借り主以外の社員が操作にあたることから、セキュリティ上は好ましくないと一般的には思われています。しかし、その運用業者がISMSを取得していたらどうでしょうか。

　自社で専用ラックを借り、自前のサーバで運用する方がセキュリティが高そうに思われがちですが、専用ラックの場合にはそのほかのラックを借りている関係者が出入りしていますし、多くの場合、監視カメラは付けられていません。監視カメラは手元が映し出されることから、その会社の重要なサーバのメンテナンスのときに打ち込まれる管理者パスワードが意図せず漏えいしてしまう懸念があるからです。

　物理セキュリティのためとはいえ、rootのパスワードを打ち込む手元や姿を撮られることは、セキュリティ上は容認することは難しいものです。つまり、自社のラックの近辺が撮影されていないデータセンターも多いので、誰かがラックの鍵を開けて何かをするかもしれません。これはほとんど考えられないことではありますが、リスクとしては挙げられます。

　私の使っているデータセンターでも、ご近所に極めて有名な組織のサーバがあり、透明アクリル板を通して丸見えの状態です。丁寧にタグがネットワークケーブルやサーバに張られており、一目でどれだけ重要なサーバやネットワークか分かります。透明なアクリル板であれば、鍵を開けるよりも容易に破ることが可能でしょう。もちろん、頑丈なラックで外見からはどこのサーバか分からないようになっているものも多いのですが、現に丸見え、かつ脆弱なラックは存在します（ちなみにその丸見えのサーバには、有名なIT系神社のお守りが取り付けられていました）。

　一方で、専用サーバを運用する業者が、ISMSなどの運用が厳格に適用されているのであれば、監視カメラが付けられていても管理者権限のパスワードを打ち込むことはない（自社の専用サーバは遠隔でしかログインしない）ので、自社のパスワードが撮影されることもなく、監視カメラの運用が可能です。

　専用サーバがセキュリティ的に厳格に運用されている、という前提に立てば、メリットとしては以下のようなことが挙げられます。（これらは業者やサービスによって異なります）

• 大容量メモリを搭載可能
• 大容量ハードディスクを搭載可能
• 電源のオンオフ、リセットは業者に依頼できる
• サーバそのものが盗まれる危険性は極めて低い
• サーバが壊れたら業者の費用で入れ替えてもらえる

　一方でデメリットとしては、以下が考えられます。

• メモリ容量やハードディスクの容量を柔軟に変更できない
• 最初からある程度のレンタル料金が発生する
• 冗長構成が安価で柔軟に提供されることが少ない
• 共有ファイアウォールが安価に提供されることは少ない
• セキュリティ監視サービスなどが安価に提供されることは少ない

ラックを借りる理由、それはセキュリティの確保

　最近はクラウドによる仮想サーバホスティングサービスが競争激化した影響で、専用サーバも安価なものが出てきました。専用サーバも価格競争がクローズアップされがちですが、重要なことは、そのセキュリティです。ラックを借りる従来の形態を選択する理由の1つはセキュリティの確保なのです。

　単純に、「ラックを借りるより安い」「専用サーバより安い」だけでは“安かろう悪かろう”です。データセンター事業者には、運用コストの低減や、投資コストの柔軟性を全面に押し出すばかりではなく、セキュリティ的にも十分であることをアピールしてもらいたいと思います。

　セキュリティが確保されていると利用者に判断させるためには、以下のようなことが必要になるでしょう。

• ISMSなどの運用面でのセキュリティ認証を取得していること
• 共有ファイアウォールが柔軟な設定で借りられること
• 冗長構成が柔軟に構築できること
• データセンターの回線や電源が冗長構成が取られており、その構成が必要に応じて提示されること

　これらはクラウド事業者にも同じようにいえることですが、残念ながら、現時点では上記のような条件がそろった業者はあまりありません。

「セキュリティ、そろそろ本音で語らないか」連載目次