「クラウドサービスを利用しているから、セキュリティはもう安心」 は大きな間違い―クラウド時代に「特権ID管理」が重要になる理由 (1/3):EnterpriseZine(エンタープライズジン)
Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

「クラウドサービスを利用しているから、セキュリティはもう安心」 は大きな間違い―クラウド時代に「特権ID管理」が重要になる理由

2017/11/13 06:00

 企業システムでのサイバー攻撃や内部不正対策において「特権ID管理」の重要性は広く知られてきたが、クラウド利用においても特権ID管理が今求められている。その理由とは何か。「Security Online Day 2017」(主催:翔泳社)に登壇したNRIセキュアテクノロジーズの岸謙介氏は、クラウド時代における特権ID管理の重要性について解説を行った。また、一口に「特権ID管理」といっても、クラウドとの相性に優れたやり方と、そうでないやり方とがあると同氏は指摘する。

クラウド利用で特権ID管理が求められる背景

 「特権ID管理のソリューションは、もともとは内部統制や監査対応の要請から導入が進んできましたが、近年では内部不正やサイバー攻撃対策へと主要なニーズが移り変わっています。またクラウド利用におけるセキュリティ対策の一環としても、特権ID管理への注目が高まっています」(岸氏)

 NRIセキュアが毎年行っている情報セキュリティ実態調査によると、企業がクラウド利用に対して抱いている「漠然とした不安」は年々払拭されつつあるものの、「データ消失・漏えい」や「システム停止」など、より具体的なリスクへの懸念はまだ残っており、これらが障壁となってクラウド活用に二の足を踏む企業も少なくないという。  

NRIセキュアテクノロジーズ株式会社 ソリューション事業本部 岸 謙介氏

 岸氏によれば、こうした懸念を払拭するには、大きく分けて2つの課題を克服する必要があるという。1つは、いわゆる「責任分解点」の問題だ。

 IaaS環境で何か問題が起きた場合、クラウド事業者は通常、ハードウェアから仮想サーバのレイヤーまでしか責任を負わない。OSから上のレイヤーは、依然としてユーザー側が責任を負う必要があるため、たとえクラウド上にシステムを移行したとしても、OSの特権IDを悪用したサイバー攻撃もしくは内部不正への対策は、オンプレミスと同様にユーザー自身が行わなくてはならないのだ。  

出所:NRIセキュアテクノロジーズ株式会社 岸謙介氏
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]

 もう1つの課題は、第三者や悪意あるユーザーによる不正アクセスの問題だ。クラウドサービスには不特定多数のユーザーがインターネットを介してアクセスしてくるため、オンプレミス環境と比べ、より特権ID管理に気を配る必要がある。具体的には、「クラウドはオンプレミスと比べセキュリティの境界線が不明瞭であること」と「アクセス経路やアクセス数が不特定であること」の2点に留意する必要があると岸氏は指摘する。


著者プロフィール

  • 吉村 哲樹(ヨシムラ テツキ)

    早稲田大学政治経済学部卒業後、メーカー系システムインテグレーターにてソフトウェア開発に従事。その後、外資系ソフトウェアベンダーでコンサルタント、IT系Webメディアで編集者を務めた後、現在はフリーライターとして活動中。

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

バックナンバー

連載:Security Online Day 2017 イベントレポート

もっと読む

All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5