はてなブックマーク
livedoorクリップ
newsing
Buzzurl(バザール)
FC2ブックマーク
ニフティクリップ
Yahoo!ブックマーク
ユーザー主導で待ち望まれる「クラウド時代」のセキュリティシステム
現在のクラウドシステムのセキュリティには多々問題があるが、J-SOXなどの法規制によってログをとることは必須となり、対応が迫られるのは確実だ。かつてのように、「ログをとっていないことで」証拠なしと見なされ無罪放免、という時代ではなくなった。何らかの形でログ解析が求められてなければ、トラブル時に相手を訴えることすらできない。
それではと、クラウドのセキュリティシステムを構築するとなると、これまでのセキュリティ構成は使えなくなる。一方、新しいセキュリティシステムは構成上の課題があり、実用化までには時間がかかる。たとえば、ベースOSへのアクセスコントロールやの問題、データやサーバ、データセンター等が次々に仮想化していることなど、クリアすべき課題は山積みだ。
さらに、代替手段が確立していないこと、仮想コンピュータ間の通信、そして些細なことのように見えるが、共有タイプのサービスになるとすれば、サーバーの「同居人」も気になるところだろう。誰でも攻撃対象になりやすい人やウイルス汚染された人の隣にはなりたくないものだ。また、情報漏洩の疑いがあるときに依頼するための窓口が必要になる。「ログが欲しい」というときに、「本国に問い合わせますので、1カ月かかります」などといわれていては話にならない。
三輪氏は「クラウドシステムは、まだまだ現在はベンダー側先導のため、サービスとしてのクオリティが低い。ユーザー側が何が必要か、何が不必要かなどを伝えて、サービスを改革していく必要がある」と指摘した。そして、クラウド時代のセキュリティシステムの構成例を示し、その長短について解説しながら、日本の個人情報保護法や商習慣に合わせたシステムが必要と強調した。
三輪氏は、現在の「クラウド」の扱いをインターネットが普及しだした時期のデジャヴだと語り、安易な導入に警鐘を鳴らした。クラウドのメリットばかりが一人歩きするなかで、真のセキュリティについての精査を行わず、他社に横並びする感覚で導入してしまう。結果、情報漏洩事件が起こり、何が起きたのか突き止められないという事態に陥ってはじめて、あわてることになるというのだ。
三輪氏によれば、はじめから「漏洩しないセキュアなシステム」をつくろうとすると、これまで以上に高コストになることが目に見えているという。たとえば、情報システムにセキュリティ機能を正しく組み込むルールとして期待されるSBD(Security by design)も基本的には正しい考え方ではあるが、実際となると設計書が正確であり、技術者の正確さも求められる。これを低価格で海外でつくろうとしても無理だろう。
また外側からではなく、内部の管理者側からボットウイルスに侵される可能性もある。しかし、そのリスクを知る術はユーザー側にない。あくまで性善説に基づいており、ユーザーはこうした管理者側のリスクレベルすら「雲の中」というわけである。
最後に三輪氏は「クラウド時代に突入することはもはや止められない。しかし、利用するとしてもプライベート・クラウドのような限定されたクラウドで、グループ内での業務統合などのメリットを享受しながら、見える範囲でセキュリティを保つのが現実的ではないか。享受すべきところは享受し、セキュリティにおいては説明責任を果たせる範囲内でクラウド化が定着するのがいいだろう」と語り、講演をまとめた。
