クラウド利用で特権ID管理が求められる背景
「特権ID管理のソリューションは、もともとは内部統制や監査対応の要請から導入が進んできましたが、近年では内部不正やサイバー攻撃対策へと主要なニーズが移り変わっています。またクラウド利用におけるセキュリティ対策の一環としても、特権ID管理への注目が高まっています」(岸氏)
NRIセキュアが毎年行っている情報セキュリティ実態調査によると、企業がクラウド利用に対して抱いている「漠然とした不安」は年々払拭されつつあるものの、「データ消失・漏えい」や「システム停止」など、より具体的なリスクへの懸念はまだ残っており、これらが障壁となってクラウド活用に二の足を踏む企業も少なくないという。
NRIセキュアテクノロジーズ株式会社 ソリューション事業本部 岸 謙介氏
岸氏によれば、こうした懸念を払拭するには、大きく分けて2つの課題を克服する必要があるという。1つは、いわゆる「責任分解点」の問題だ。
IaaS環境で何か問題が起きた場合、クラウド事業者は通常、ハードウェアから仮想サーバのレイヤーまでしか責任を負わない。OSから上のレイヤーは、依然としてユーザー側が責任を負う必要があるため、たとえクラウド上にシステムを移行したとしても、OSの特権IDを悪用したサイバー攻撃もしくは内部不正への対策は、オンプレミスと同様にユーザー自身が行わなくてはならないのだ。
出所:NRIセキュアテクノロジーズ株式会社 岸謙介氏
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]
もう1つの課題は、第三者や悪意あるユーザーによる不正アクセスの問題だ。クラウドサービスには不特定多数のユーザーがインターネットを介してアクセスしてくるため、オンプレミス環境と比べ、より特権ID管理に気を配る必要がある。具体的には、「クラウドはオンプレミスと比べセキュリティの境界線が不明瞭であること」と「アクセス経路やアクセス数が不特定であること」の2点に留意する必要があると岸氏は指摘する。
