パブリッククラウド導入大作戦！ 第２回「セキュリティリスクとクラウド環境」前編

こんにちは、ちなつです。

さて今回は、取締役＆External- facing Technologistと自ら名乗り、新しいIT技術を広く伝える活動とWebアプリケーション開発を行っているライター・吉田雄哉氏の記事をご紹介します。
（＊本記事の最後に吉田氏のプロフィールを掲載しています）

*********************************************************************

※この記事は2012年3月15日に執筆された記事になります。

こんにちは。co-meetingの吉田です。

パブリッククラウド導入大作戦第２回目のテーマは「セキュリティ」です。
この「セキュリティ」という言葉が、クラウド導入時には何度も何度も出てくることになります。今回はクラウド利用におけるセキュリティについて、考えてみたいと思います。

さて第２回は２部構成となります。前編では「セキュリティとは何であるか」「セキュリティ対策へ取り組む方針」について考えます。後編では「守るべきポイントと対応策」「セキュリティ担保への５つの方針」をお届けします。

前書き

インターネットが会社で使われるようになった時期にも、現在と同じようなことがあったように思います。「インターネットにわが社の顧客リストが曝されてしまったらどうするんだっ！」というようなのが代表的な台詞だった気がします。

流行しはじめた技術はとても残念なことに、誤解を招き兼ねない宣伝文句や各種装飾により彩られる流行言葉を身にまとわされ、全然違う姿に見えることすらあります。まさにインターネットの企業利用の初期時代と現在のクラウド盛況時代は酷似しているように感じます。「クラウドにわが社の顧客リストが曝されてしまったらどうするんだっ！」というところでしょうか。賢いユーザであるためには、本質的な要点を注意深く捉える必要があります。

この状況において、もっとも使われる言葉に「セキュリティ」という言葉があります。「セキュリティはどうするの？」「セキュアな運用を心がけよう」「セキュリティ対策を講じなければ」等々。そろそろ、腰を据えて疑問と向き合う時期ではないでしょうか？

そもそも「セキュリティ」とは？

そんな複雑であり、あっという間に新しい技術が出てくる状況において「セキュリティ」を説明せよ！と言われて、的確な答えが言える人は世の中にどれほどいるのでしょうか。正しい解釈については、別途ご紹介するサイトなどを見て理論武装をして頂く事にします。ここでは、まずイメージを変えることに専念します。

現在のクラウドな状況において多くの方がいう「セキュリティ」という言葉は、なかなか理解が難しい状況に対する漠然とした不安を表現する言葉・・・として使われているように思います。クラウドコンピューティングを理解しているものの、まだイマイチ腑に落ちず、感じる不安を表現するときに「クラウドはセキュリティに不安があるよね～」などと言っていませんか？この不安と向き合う方法は実に簡単で、以下の２つしかありません。

1. 誰かに不安を拭ってもらう
2. 徹底的に不安と戦う

１の場合は、クラウド導入のコンサルテーション/監査系の専門家/セキュリティ関連企業などにお願いする事になるかと思います。報酬を支払う事でプロが安心を提供してくれるのがこの選択肢の利点と言えます。ちゃんとしたプロを選び、適正な報酬を払うことで苦手な部分を補強できることから、もっともビジネスライクな解決策だと思います。ただし、「ちゃんとしたプロ」であるかをどう見分けるかは非常に難しいです。実際、色々な場所で講演などをされている方の話を聞きますが、本当にプロか？と耳を疑うような事をお話されているケースもあります。学識的なレベルでの知見・実戦経験。この二つを高度に持ち合わせているかが指標と成り得るポイントだと思います。

　一方、２はイバラの道です。時間が掛かります。しかし、この過程でクラウドとは何かと本質的な部分を見直す機会にもなります。苦労した価値は十分得られると思います。以下、２を選択した場合として話を進めます。

「不安」と戦う作戦

そもそも「企業秘密」なんてものや「顧客リスト」や「価格表」などの「機密情報」なものをデジタル化すること自体が、他人に漏れる状況を作り出していると言えます。しかし、それが漏れないために各種対策をすることで、ある程度安心できる状況ができていると思います。
以下の４つのステップが不安と対峙する方法です。

1. どんな状況になるかを知ること
2. 何が起こると本当に困った事になるか把握すること
3. そして、そうならないようにするためにの方法を考えること
4. 最後に、もしそうなってしまった時にはどうすれば良いかを考えること

どんな状況になるかを知る

まず１の状況把握。パブリッククラウドは概ね仮想化されたハードウェアの上に用意されるものを”サービス”とみなし、所有するのではなく利用するモデルです。したがって物理的な制約から解放されることこそが、クラウドを利用する事の最大のメリットと言えます。しかし、言い方を変えると「物理的なサーバを守る事は業者に委託する事になる」という状況でもあります。従来のホスティング等を利用した場合であれば、物理的なサーバの管理レベルを目視で確認することを実施しているケースがあるかもしれません。クラウドの場合は多くのケースで、契約時の結ぶ使用許諾 / SLAにより決まる事になります。

もし納得が出来ない場合はそもそもクラウドを使わないというのが最も手堅い選択肢でしょう。しかし、これで本末転倒なので、管理レベルが第三者機関により一定水準以上であると評価を受けているところや、取組みに関して情報開示されているなどの透明性が高いサービスを利用するようにするのが良いかと思います。

何が起こると本当に困った事になるか把握する

次に２です。起きると困る事を知る方法ですが、何をクラウドに預けるかを決める事で見えてきます。例えば、顧客データを預けようとした場合の最悪のケースは、顧客データがライバル企業へ漏れることや個人情報が第三者の手に渡る事になる・・・という自体が「困る事」と言えます。このように、何を預けるかを決める事で、おのずと見えてくる「困った状況」を洗い出しましょう。

そうならないようにするための方法を考える

そして３。予防する方法を考えます。例えば、アクセス管理などがその方法となるでしょう。クラウドでは、サーバリソースをサービスとして利用することから、サーバリソースを管理する機能が提供されます。このリソース管理機能こそが最も強い力であると言えます。したがって、サービス管理を行える画面（ダッシュボード）にアクセスするためのIDとパスワードを他人に漏れないようにする施策、パスワードを定期的に変えるなどの極めて基本的な手法こそが安全性を高める方法である事に気が付く事になると思います。

ニフティクラウドでは、この部分を強化する機能も提供されています。

もしそうなってしまった時にはどうすれば良いかを考える

最後に４つ目。許せる範囲を決める事です。これはピンと来ないかもしれません。言い方を変えると「起きてしまった事態を迅速に収集するための施策」となります。どんなことでも絶対は有り得ません。なので「もし仮に」と考えます

仮に顧客情報をクラウド上に載せたとします。ここで許せる範囲として、誰がいつどのように情報へアクセスしたのかが強制的に記録されるようにすることを前提とし、万が一不正なことが行われた場合はその実績が残るようにして、あとから確認をとれるようにする・・・というような妥協点を見出すことがポイントとなります。これにより、自分たちが使う上で、どのような機能が提供されているとより安心して使えるかなどを判断することができるようになります。

以上、不安と戦うための４つのステップをご紹介しました。

続きは後編で！

前編はここまでです。いかがですか？
漠然と考えていると、つかみ所が無く不安感が強かったと思いますが、順を追って考えると意外と当たり前の施策が効果的であることを認識できたかと思います。

後編では、具体的な話へと進めて行きます。

------------------------------------
プロフィール

  ライターネーム：吉田　雄哉
・Twitter
・co-meeting Inc.

株式会社co-meetingの創業メンバー。
「取締役＆External- facing Technologist」と名乗り
新しいIT技術を広く伝える活動とWebアプリケーション
開発を行う毎日。
パッケージベンダーでのSaaS立上げ・製造業の
情報システム部門で企画やPM・受託開発と従事して
きたため、ベンダーサイドとユーザサイド の両方の
視点を持ち合わせる。
------------------------------------