クラウドの普及で浮上するセキュリティ課題
昨年の2010年は、クラウドが確実に浸透し始めた1年であった。Google AppsやSalesforce.comといったクラウドの概念をつくりあげてきたサービスは日本国内でも順調に顧客を増やし、Microsoftも1月に独自のクラウド基盤であるWindows Azureを開始させた。
著者が所属する伊藤忠テクノソリューションズ(CTC)でも「cloudage」という統一されたブランド名を発表し、そのサービス数を増やそうとしている。日々の案件でもこれまでのように社内にシステムを置くオンプレミス形式での提案だけではなく、クラウドサービスでの利用提案、もしくはサービス形態での提供提案の両方を求められることが当たり前のようになっている状況である。
2011年も引き続きこのような傾向が続くと考えられるが、クラウド導入にあたり最も気にされている部分はセキュリティではないだろうか。データの暗号化や漏洩防止、DoS/DDoS攻撃への対策など、クラウド事業者が対策を提示・実行し、利用者がSLAでその事業者の取り組みを確認すべきものは様々あるが、利用者として対策を打たなくてはならない部分、そして、世界的に見てもクラウドのセキュリティ対策として最初に考える部分としてあげられているのが、ユーザ認証と認可、アカウントの管理である。
そもそも、クラウドサービスの最大の利点であり、逆に課題の原因にもなっているのは、インターネット上に設置されており、どこからでも誰でも利用できてしまうところである。また、サービスにもよるが誰が利用したかというログが残らないサービスもまだまだ多いのが現状である。最近では、企業内システムに対してはパスワードを数ヶ月に1度変更し、その際に利用できるパスワードは数回前とは異なっていなければならないといったパスワード強度の設定をしている企業も多いだろう。こういった認証強度を高める部分については、ほとんどのクラウドサービス事業者が提供していないのが現状である。
運用面で考えても基本的にクラウドではユーザー数による課金が一般的であり、特に退職時や異動時などにきちんとユーザー管理を実施しないと、そのまま利用料金に跳ね返ってくる。また退職者のシステムアクセス停止はJ-SOXなどでも求められており、企業システムにおいては必ず行わなければならない措置のひとつになっている。
利用者から見ても、社内システムはシングルサインオン(SSO)が導入され、一度のID・パスワード入力ですべてのシステムが利用できる状況になっていても、クラウドサービスでの認証は、またそれぞれ別途に求められることになり、利便性の低下という部分でも大きく後退することになってしまうのだ。これを図でまとめると図1のようになる。
(次ページへ続く)
