クラウドの中の方がデータは安全か
ミッケ
2016年10月13日
読了時間 – 4分
数週間前、ここヘルシンキで開催されたNordic Digital Business Summit 2016に出席した。「クラウドの中のほうがデータは安全か」というテーマでパネルディスカッションが行われた。興味深いテーマであることは間違いないため、重要な論点のいくつかについて、以下で概説しようと思う。
他の質問でも同じだが、一言で答えるとすれば、場合による、ということになる。しかし、もう少し詳しく、得るところの多い回答とするべく、最も重要なポイントを10項目にまとめてみた。
- 私も含めて我々の多くは、クラウドのセキュリティについては非常に疑わしく思われていた時代を覚えている世代である。インターネットは安全ではないから、データをネット上に置くことは安全でないに違いない。けれども、幸い、そのような段階は通り過ぎ、セキュリティ意識が高い人にとっても、クラウドサービスは有効な選択肢となっている
- 率直に言おう。ほとんどの場合、クラウドプロバイダには、あなたの会社よりも、セキュアな環境を運用するための高いスキルと多くのリソースがある。クラウドサービスを利用することは、能力のあるパートナーにセキュリティを外部委託できる非常によい機会になる。
- 敵を知る。どのようなセキュリティ関連の業務でも同じだが、脅威を分析し、何から守る必要があるのか定めることは最も重要なことである。一番心配なのは、サイバー犯罪なのか、情報機関なのか、データ損失なのか。情報の流出やデータ破壊が発生したり、一時的にシステムが動作不能状態に陥ったりした場合、どの程度の重大性を持つだろうか。
- クラウドプロバイダがどの国を拠点としているのか、そしてデータがどこに置かれるのかについては留意が必要だ。法律によって、データを保管できる場所が制限されることがある。そして、言うまでもないことだが、情報機関が懸念事項であるならば、この点はさらに重要になる。
- クラウドプロバイダへの外部委託は、セキュリティのことを忘れてリラックスできるようになることを意味するのではない。サービスプロバイダのマーケティング担当者はそう言うかもしれない。セキュリティがあなたの責任であることに変わりはないが、必要とされるスキルはこれまでと異なったものになる。どうやったらセキュアなシステムを構築し、運用できるかではなく、どうやってプロバイダのセキュリティレベルを評価し、監視したらよいかを知ることが必要になる。
- ベンダーを評価して契約書に署名する際、最も重要な事項はセキュリティであるはずだ。セキュリティを求めることなく、契約においてそれを要求しなかったとしたら、結果としてセキュアなシステムができたとしても、それは運が良かったに過ぎない。
- セキュリティを外部委託する際の最も大きなデメリットは、自分で制御できなくなり、可視性が失われるという点である。つまり、クラウドサービスプロバイダを信頼しなければならないということだ。だからと言って、無条件に任せてしまうべきではない。そのため、真の課題は、信頼できるのは誰なのかが、どうしたら分かるのかということになる。
- ベンダーが自社のセキュリティ対策およびプロセスをどのように文書化しているか、評価を行ってみるべきである。また、これまでの実績がどうなのかについても同様だ。特に確認しておくべきことは、うまく処理されたセキュリティインシデントである。どのようなシステムにも脆弱性はある。脆弱性に対する、迅速かつオープンな、プロフェッショナルな対応は、そのベンダーのシステムを安全に保つことができる能力を示す一番の証しである。インシデントがまったくない「完璧な実績」を謳っているベンダーもいるかもしれない。けれども、それが意味するのは、そのベンダーが、セキュリティの侵害に気が付くことさえできないか、何かをすっかり隠蔽しているということである。誰かがデータを盗もうとしている場合には、隠蔽は最もあってはらなないことである。
- ユーザが一番の弱点になる場合が多いことに留意する必要がある。クラウドがどれほどセキュアなものであっても、敵が正規ユーザの認証情報でログインできたらゲームオーバーである。私のスマートフォンで、アイコンをタップするだけでアクセスできるようにオープンになっているクラウドサービスがいくつあるかを数えてみた。ショックを受けるが、63もあった(2要素認証のサービスや毎回パスワードを必要とする他のサービスは除く)。したがって、これらすべてのサービスのセキュリティは、実際のところ、私が自分のスマートフォンをどれくらいセキュアに使用しているかにかかっているのだ。
- 確かに、ほとんどのシステムにおいてログインと認証が弱点になることは間違いない。十分簡単に機能し、すべてのユーザに対して強制できる2要素認証システムを求めるべきである。
プロバイダに求めるべき技術的なセキュリティ機能には、この他にもいくつかあるのではないかとお考えの方もいるかもしれない。けれども、それについては今後の投稿にとっておこうと思う。クラウドへ移行すること、一般的に言えば外部委託することは、詳細な技術内容については以前より関わらなくて済むようになるものの、より高いレベルでのベンダーの選択や監視に取り組むことを意味する。そして、このことこそが、私がここで一番言いたかったことである。
要約するとこうだ。クラウドを恐れることはない。そのメリットはきわめて明白であり、それが将来の姿であることに疑いはない。さらに、クラウドは、あなたの会社のシステムよりも、よりセキュアであるかもしれない。ただし、外部委託したのだからセキュリティについては忘れてよい、などと思い込んではいけない。
ミッケ
セキュリティスペシャリスト
エフセキュアセキュリティ研究所
カテゴリ