オルタナティブ・ブログ > 「ベンチャースピリット」 X 「セレンディピティ」 >

シリコンバレー駐在のIT商社マン、榎本瑞樹(ENO)が綴る米国最新ICTトレンド

【RSA Conference速報】クラウド適用、最大の懸念はセキュリティ

»

3月1日から4日間、毎年恒例のセキュリティ業界最大のイベント「RSA CONFERENCE 2010」がサンフランシスコで開催された。同カンファレンスには、セキュリティに足を突っ込み始めた2004年から参加し続け、今回で7年目を迎える。

Photo3

 2004年当時の出張レポートを読み返してみると、基調講演には、マイクロソフトのビル・ゲイツ氏、シマンテックのジョン・トンプソン氏(元会長)、サンマイクロシステムズのスコット・マクリーニ氏、シスコのジョン・チェンバース氏と蒼々たるメンバーが登壇しており、今では懐かしい限り。各ベンダー・トップの世代交代の波が押し寄せているなか、RSA Conferenceの顔であるEMCのバイスプレジデント、アーサー・コビエロ氏(RSAプレジデント)だけは健在だった。

それでは、アーサー・コヴィエロ氏の初日の基調講演の模様をお伝えしよう。

 同氏は、冒頭で「我々セキュリティ業界は、クラウドへの移行という大きな変革を推進していかなければならない」と述べ、クラウド適用にあたるセキュリティの重要性、技術革新について満席の聴衆に訴えた。

仮想化したためにセキュリティの脆弱性が露呈
 アーサー氏によると企業のIT投資の3分の2が、IT資産の運用保守に費やされており、事業戦略を支える新規開発投資は、たった3分の1であることを指摘し、「この状況を打破するもっとも有効な手段が、クラウド・コンピューティングの適用である」と述べた。そして、このクラウド・コンピューティングの適用においての最大の懸念は「セキュリティ」にあると、CIO Magazin調査で51%のCIOがセキュリティの懸念を挙げていることも警告した。つまり、物理的なIT資産の保守にかかるコストを考えると、自前のインフラをクラウド・サービスに置き換えることは魅力的であるが、セキュリティ対策をよく考えずに飛びつけば、危険を呼び寄せることになるということだ。

 これは、今年1月に発表された世界最大規模のユーザー意識調査であるCIO Magazineとプライスウォーターハウス・クーパース(PwC)が共同で実施した「Global Security Survey」よりも裏付けることができる。(調査対象は世界130カ国、7,200人のCEO、CTO、CSO、CFO)

Screen_shot_20100306_at_34114_pm

 (画面クリックで拡大)

 この調査によると、回答企業の43%がSaaSやPaaS、IaaSなどのクラウド・サービスを利用し、67%がサーバーやストレージなどIT資産の仮想化に投資している。そのうち48%の企業は、仮想化によって自社の情報セキュリティが改善されたと信じており、42%はセキュリティ・レベルは以前と変わらないと考えている。しかしながら、10%の企業は、仮想化したためにセキュリティの脆弱性が露呈したと答えている。たった10%と捉えることもできるが、大きなリスクが潜在化していることも考えられる。

Screen_shot_20100306_at_35333_pm_2

(画面クリックで拡大)

 さらにクラウド適用におけるセキュリティ・リスクに対する回答では、①クラウドサービス事業者での予期しないセキュリティ・ポリシーの適用(23%)②不十分なトレーニングと監査(22%)③クラウドサービス事業者のアクセスコントロールへの疑問(14%)となっている。

 このクラウド環境におけるセキュリティ対策を人とプロセスの観点から考えると、これまでの物理環境の世界では、各々のシステムがサイロ化されていたために、ネットワーク、サーバー、ストレージ管理者は、個別システム毎にセキュリティ対策を講じれば良かった。しかしながら、クラウド化(仮想化、自動化)された瞬間に、全ての役割が統合されてくる。つまり、仮想環境における仮想マシンの管理者は、ネットワーク、サーバー、ストレージ管理者の役割を同時に果たさなければならない。そうなると、ITガバナンスに責任のあるセキュリティ担当者とサービス品質を確保する運用管理者との間で、再度、情報セキュリティポリシーとプロセスの関連性を、考え直す必要がありそうだ。つまり、仮想環境であろうが物理環境であろうが、同じセキュリティポリシーを適用し、同じセキュリティ・レベルを確保することが重要になってくるだろう。

クラウド適用におけるフェーズ毎のセキュリティ条件とは?
 基調講演の中では、VMware社のポール・マリッツ氏(CEO)がビデオ出演するなど、同じEMC傘下の両社が更なる連携を図り、仮想環境におけるセキュリティ・ソリューションを拡充してゆくことをアピールした。具体的にはRSA Securityの統合管理ツール「RSA enVision」にVMwareの仮想化技術、Intelチップが備えるTXT(Trusted Execution Technolog)技術Archer Technologiesのガバナンス技術を組み合わせ、ブートプロセス全体にわたって情報の完全性をチェックするというもの。

 講演の中でアーサー氏が触れた「エンタープライズ企業のクラウド適用ステップとセキュリティ条件」は、クラウド適用段階とそれに伴なうセキュリティ条件が、うまくマッピングされているのでここで披露したい。

Screen_shot_20100306_at_34035_pm

  • フェーズ1:ノン・クリティカルなアプリケーションをターゲットに仮想化基盤を固める。
  • フェーズ2:クリティカルなビジネス・アプリケーションを適用するフェーズ。IT基盤はよりスケーラブルで弾力性のあるものになる。ここでは、仮想環境であっても物理環境と同等のコンプライアンスの可視化が必要になり、内部リスクの増加とともに、仮想マシンのポータビリティの重要性が増してくる。
  • フェーズ3:仮想化のみならず自動化やITリソースの従量課金を備えたインターナル・クラウドを構築するフェーズ。モニタリングやアクセス権限の重要性が増す。
  • フェーズ4:ハイブリッドクラウドとして、外部の事業者にIT資産をアウトソースするフェーズ。ここでは、サービス事業者にアイデンティティとポリシーのフェデレーションを指図する能力が必要になってくる。

 最後にアーサー氏は「クラウドは、インターネットによって解き放たれた大変革。セキュリティ業界はクラウドを追いかけるのではなく、変化の先頭で導かなければならない。」と講演を締めくくった。

Comment(0)