求む、新時代のセキュリティアーキテクチャ:セキュリティ、そろそろ本音で語らないか(9)(3/3 ページ)
きっちり取ったログが身を滅ぼす?
クラウド業者は、基本的には「ちゃんと運用しています」というスタンスでサービスを提供しますから、「あなたの無実を証明します」というサービスは個々の企業が自前で調達しなければいけません。
例えば、2つの企業間で機密とされていた情報が漏えいし、どちらの企業から漏えいしたかで訴訟が起きた場合、それぞれの企業がそのアクセス記録を適切にとっていないと自社の無実を証明することは困難になるのではないでしょうか。私は法律の専門家ではないのですが、クラウド環境においてある情報が漏えいした場合に、責任問題が複雑になることは容易に想像ができます。
また、アクセス記録の複雑化に伴った「無実の証明が困難」とは正反対の問題が起きることを懸念しています。それは、「漏えいの事実は認められないので、漏えいしておりません」という言い訳がまかり通ってしまうことです。
これはつまり、「ログがあるから漏えいがばれる」。別の言い方をすれば、「漏えいしたということが分かるログがなければ漏えいそのものを認めることもない」ということです。
私が過去にかかわってきた事案でも「ちゃんとログをとっていたことで、漏えい件数が明確になり謝罪した会社」と、「漏えいしたことが分かるログがなかったから、漏えいを認めず謝罪しなかった会社」があるのです。
極論をいうと、現在は「ログがない方が得」かもしれないのです。これは「何のログをとっておかなければいけないか明確に決まっていない」ということに起因する問題です。会計や売上処理の記録などは厳しく監査対象となっていますが、機密情報や顧客情報に関しては「ログは良心に任せられている」といっても過言ではありません。クラウド時代に突入すれば、情報漏えいの被害者にとっては不利な状況になっていくと思われます。
望まれる「新時代のセキュリティアーキテクチャ」
少々極端な表現をしているかもしれませんが、クラウドにおけるアクセスログの収集と活用についてはまだまだ議論が必要です。現在は社内にある自社のサーバのログでさえ、収集と活用を十分に行えている企業は少ないでしょう。それでも社内のログであれば、統合ソリューションが登場していますので、それらを使って相関分析まで行うことができるようになってきました。ところが、クラウドでサービスを受けるようになった場合には、これまでの統合ログ管理ソリューションでは適応できないのです。
グリーンITやエコなどの流行に押されて、クラウドや仮想化がもてはやされています。インターネットがセキュリティを置き去りにして普及し、その後問題が大きくなっていったように、クラウドや仮想化でも、今後セキュリティ問題が表面化してくることが、いまから十分に予想されます。
これまでのセキュリティ基盤を生かしつつも、新しいセキュリティアーキテクチャへの変革も行っていかなければならないと強く感じています。
三輪 信雄(みわ のぶお)
S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント
1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。
そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。
また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。
上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。