情報拡散スピードの飛躍的な向上がもたらした負の側面
ソーシャル・メディアの発達によってセキュリティ・インシデントのリスクが増大している。例えば、WikiLeaksでの機密文書の流出や、Youtubeでの中国漁船衝突事件のビデオ映像公開の例を見ても分かるように、一旦、情報が外部に流出すると、恐るべきスピードで世界中に拡散してしまう。
これまで、情報漏洩によって発生した被害の規模を「おわびのしるし」などの補償費用の総額として見積もることができたのは、情報の拡散範囲がある程度限定されているという前提があったからだ。しかし、インターネットなどのインフラが高度に発展した現在では、被害を金額換算できないような事態に発展する可能性も考慮しなければならない。結果として、セキュリティ対策の重要性が増していると石橋氏は言う。
今後は、セキュリティ対策の的確さにも注目していく必要がありそうだ。例えば、尖閣諸島問題ではUSB経由で情報が外部に持ち出された事実に注目が集まった。しかし、セキュリティの担当者が注目するべき事件の発端は、ファイルを共有サーバーに置いてしまった時点にある。「どのような文書をどこに保存するか。ポリシーが徹底されていないと、今後も同様の問題が発生する可能性がある」(石橋氏)。
誰もが閲覧可能なフォルダに機密ファイルを置いてはならないのは大前提。専用の非公開のフォルダに保存した上で、幹部以外は閲覧できないよう、DRM技術などを使ってデータを暗号化する。その上で、USBへの持ち出しを防止するためにData Loss Prevention(DLP)などの対策をとることは考え得る。また、従来はエンドポイント・セキュリティやネットワーク・セキュリティなどインフラ部分での対策が重視される傾向があったが、今後はデータそのもののセキュリティやID管理にも目を向ける必要があると石橋氏は言う。
現時点でクラウドに適用可能な4つのセキュリティ・テクノロジー
重要性を増すセキュリティ対策。昨今はどのようなセキュリティ・テクノロジーが注目を浴びているのだろうか。一口にセキュリティと言っても、そこに関わるテクノロジーは数多い。アンチウィルスに始まり、特権ID管理、ディレクトリ管理、ネットワーク・ファイアウォールなど、いわゆるセキュリティにおける「九九」に当たるものから、バイオメトリクス、エンドポイント・プロテクション、DRM(デジタル著作権管理)といった応用技術まで、過去15年間でさまざまなテクノロジーが登場した。
また、2005年の個人情報保護法の施行前後から、ISMSに代表されるマネジメントからのアプローチにも注目が集まった。Gartnerの調査によれば、日本でセキュリティ監査を継続的に実践している企業は15%にとどまっており、「根付きそうで、なかなか根付かないのがマネジメント」(石橋氏)ではあるものの、対策の重要な一角を占めていることは間違いない。
さて、現在に目を移すと、やはりクラウドは外せない話題だろう。ただし、クラウドのメリット・デメリットといった情報と比べて、実際にセキュリティ対策を検討する上で必要な情報はまだまだ数が少ない。理念をまとめたガイドライン、もしくは個別の製品情報のどちらかに偏りがちな現状への警鐘を鳴らした上で、現時点でクラウドに有効なセキュリティ・テクノロジーとして石橋氏が挙げるのは次の4つだ。
DRM(Digital Rights Mamagement)
DRM技術自体は、クラウドの登場以前から存在していたものだ。デジタルコンテンツの著作権保護を目的とした利用・複製制限に関わる技術の総称で、MicrosoftやAdobeを始めとして各社からソフトウェアが提供されている。2010年はDRMの中でも「印刷制御」に注目が集まった。特に、Rights Management Services(RMS)、Microsoft Office Security Server(MOSS)を前提とした、富士通エフサス「Rightspia for Secure Documents」、NEC「InfoCage FileShell」などが利用者数を伸ばしているという。
WAMとSAM
石橋氏がクラウドを利用する上で重要な技術と見ているのがWeb Access Management (WAM)とSecurity Assertion Markup Language (SAML)と呼ばれる技術だ。それぞれ、Single Sign On(SSO)、フェデレーションと呼ばれることもある。いずれも複数のシステム間での認証連携を実現するもので、例えば、立教大学ではSAMLを使ってGoogleのサービスと学内システムとの連携を図っている。学生がGmailにアクセスすると、一旦、Googleから学内システムに向けて学生情報の問い合わせが行われる。パスワード認証をクリアした上で、学内のデータベースに存在する人間だけがサービスを利用できる仕組みになっている。
仮想化セキュリティ
ここ2~3年で企業システムに浸透した仮想化技術だが、そのセキュリティとなると国内ではあまり普及していない。「特に、ハイパーバイザーとゲストOSの特権ID管理が不十分」(石橋氏)。例えば、仮想マシンのユーザーがメンテナンスなどを目的に管理者権限の利用を希望した場合に、ハイパーバイザーのルート権限を丸ごと渡してしまうと、他の仮想マシンの設定まで変更されてしまう危険性がある。そこで、利用期限が過ぎたら自動的に消滅するような期間限定的な権限を付与するような仕組みが必要になる。
クラウドに関するセキュリティ
セキュリティ対策として日本人に好まれるという操作ログ。最近では、従来のようなテキスト形式ではなく、オペレーションの一部始終を動画、もしくはコマ送りの静止画像で記録するタイプが注目を集めている。「容量について心配される声も聞かれるが、ログイン時に開始、ログアウト時に終了するようになっているので、実際のファイルサイズは非常に小さい」(石橋氏)。富士通SSL「SHieldWARE NE」、エンカレッジ・テクノロジーズ「ESS REC」、NRIセキュアテクノロジーズ「SecureCube / Access Check」など各種製品が提供されている。
