クラウド利用で注意すべきセキュリティ対策

この記事をtweetする このエントリーをはてなブックマークに追加

掲載日 2011/09/27

ザ・キーマンインタビュー IaaS、PaaS、SaaSでのポイントとは? クラウド利用で注意すべきセキュリティ対策

クラウドサービスの利用にあたって、セキュリティの確保は最も重要な課題の1つ。IaaS、PaaS、SaaSそれぞれの利用にあたって、セキュリティ対策の視点からサービス業者を選ぶポイントは何なのか。またユーザ企業としてクラウドサービスを利用する上でのセキュリティ対策はどうあるべきなのか。今回は、クラウドサービスの利用検討段階、運用段階、そして契約終了やほかサービスへの移行段階のそれぞれについて、どのような部分に気をつけるべきかを、調査会社のアナリストに聞いた。

株式会社ノークリサーチ 企業サイトへ

岩上 由高氏


株式会社ノークリサーチ
シニアアナリスト 岩上 由高氏

クラウドサービスのセキュリティで気をつけるべきポイントは?

Question

クラウドサービスの活用にあたって、ユーザ企業の側からセキュリティへの不安を耳にします。具体的な懸念ポイントはどこでしょうか?

Answer

株式会社ノークリサーチ:岩上 由高氏

 当社の2010年調査(年商500億円未満の中堅・中小企業1000社に対して実施)では、40.2%のユーザ企業が社外の第三者からの不正アクセスについて不安を感じているという結果が出ています。その次にはサービス業者そのものから情報が流出するリスクに対する懸念(34.0%)、更にインターネットを介するため通信経路上での傍受について(30.9%)、同じサービスを利用するほかの会社のデータと自社のデータが安全に隔離されているかどうかに関する不安(26%)。これらがトップ4です。
 不安は多岐にわたりますが、サービス業者が信頼できるかどうかと、自社がどのようにセキュリティ対策を実施できるかというポイントに大きく分けられます。サービス業者に関する懸念については、総務省やASP・SaaS普及促進協議会などのガイドラインや情報開示認定制度などの基準がありますから、事前にある程度判断がつけられる部分かと思います。
 問題は、ユーザ企業自身で何ができるかです。その主要なポイントは、調査結果からも分かるように、不正アクセス対策と情報漏洩対策ということになります。具体的には、「認証」と「データ保護」です。これら に関する仕組みを点検し、必要なら強化していくことが大事です。


このページの先頭へ

クラウドサービスの利用開始時の注意ポイント

Question

IaaS、PaaS、SaaSそれぞれの利用検討の際に、セキュリティについてどのようなポイントに注意すればよいでしょうか?

Answer

株式会社ノークリサーチ:岩上 由高氏

IaaSは、社内システムが外部のデータセンタにまで延長されたものというイメージでとらえられます。VPNなどを活用して各種のIT資産をローカルIPアドレスで管理できる状態にすれば、セキュリティも含めて、社内システムとほぼ同じ運用管理の方法を踏襲することが可能です。(ただし、システムが外部からアクセス可能である場合には相応のセキュリティ対策が必要となります。)
 PaaSの場合、どこまでを管理してくれるかは、業者によってかなり違いがあります。例えばOSをデプロイするところまでは業者の責任、その後のパッチの適用などの運用管理はユーザ企業の責任といった具合です。パッチ適用などの面倒も見てくれる「マネージドサービス」を提供しているケースもあります。その場合、ユーザ企業とサービス業者の責任分界点が不明確になりがちです。マネージドサービスを利用する場合でも、本来自社で行うべき運用管理業務の一部を委託しているのだという認識を持つことが大切です。どの部分を業者に任せているのかを明確に把握しておかなければなりません。
 一方、SaaSの場合はこれらと一線を画します。通常は、ユーザ企業はベンダから与えられたアプリケーションを使うだけで、ユーザ企業が認証やデータ保護の仕組みについて指定することはほとんどできません。したがって、必要な事柄については利用開始前に詳しく質問して、仕組みを確認しておくことが大事です。特に注意したいポイントは次のとおりです。

1)バックアップの仕組み:複数拠点に分散してデータをバックアップできるかどうか

2)通信経路の暗号化:SSLなどによる通信の暗号化に問題がないかどうか

3)パスワード管理などのアクセス管理:パスワードによるアクセス管理の仕組みと、それ以上に安全な方法が利用できるかどうか

中でもパスワードの使用期限や長さ(桁数)の社内ポリシーをクラウドサービスでも実現できるかどうか、強制力を持ってポリシー違反を許さない運用ができるかどうかに注意しましょう。例えばパスワードを一定期間で変更していても、実は2つのパスワードを交互に使っているだけ、という場合があります。そのような危険な運用は最初からさせないような仕組みが必要です。その上で、パスワード以外の認証手段が使えるかどうかといった点を確認するとよいでしょう。
 クラウドサービス導入の検討は機能面からとりかかることが多いので、認証部分の検討は1番最後になってしまいがちです。そこであわてないように、重要な検討事項として最初から考えておきましょう。

Question

認証については、既存の認証システムの仕組みをクラウドサービスでも利用したい場合が多いと思います。シングルサインオン(SSO) やフェデレーションがその答えになりそうですが、これらについてはどう考えたらよいでしょうか?

Answer

大企業におけるSSOの活用は大量のアカウントを管理する際の運用管理負荷軽減が主な目的です。一方、中堅・中小企業ではセキュリティ面での脅威を防ぐために、社員が複数のアカウントを持っている状態をきちんと管理したいという動機が多いようです。
 SSOは主に社内の複数システムへの簡単なログインのために導入されてきました。しかしこれからは、社内システムに加えて複数のクラウドサービスへのアクセスについても安全かつ利便性の高い認証の仕組みが必要です。そこでフェデレーションが注目されます。
 SSOとフェデレーションの違いは、サービス側でID/パスワードの情報を保持しているかどうかです。SSOはエージェント型であれプロキシ型であれ、SSOシステムがサービス共通のID/パスワードを各サービスのID/パスワードに置き換えて、それぞれのサービスに送る仕組みです。
 フェデレーションの場合は、ユーザとサービスとの間にIdentity Providerと呼ばれる第三者が立ちます。ユーザのID/パスワードはIdentity Providerのサーバに保持されています。ユーザは各サービスの利用時に認証を要求されると、Identity Providerのサーバにアクセスします。ユーザがそこで入力したID/パスワードが正しいと認証されたら、認証済みであることを証明するトークンがユーザ側にわたります。そのトークン使って、ユーザは目的のサービスに再度アクセスします。サービス側では正当なトークンかどうかを判定し、合格したらアクセスを許可するという仕組みになっています。

図1 シングルサインオンとフェデレーション
図1 シングルサインオンとフェデレーション 資料提供:ノークリサーチ
資料提供:ノークリサーチ

そこではサービス側とIdentity Provider側との会話は一切ありません。そのため、「サービス」に相当するものが自社内運用やクラウドなど多様であっても対処がしやすくなります。ユーザはたくさんのサービスごとにID/パスワードを登録・保持しておくという状態を避けることができ、それだけ認証情報が漏洩するリスクが下がります。特にWindowsサーバを利用している場合は「Active Directoryフェデレーションサービス」が標準で利用できます。自社のActive Directoryでの認証だけで、対応するクラウドサービスにアクセスできるので、クラウドサービスの本格導入前に、試行してみるとよいでしょう。
 なお、クラウドサービスでフェデレーションによる認証が可能かどうかを判断するのに、例えばSAML(Security Assertion Markup Language)やOpenIDなど、認証のための標準仕様にクラウドサービス側が対応しているかどうかは1つの目安になります。しかし単に対応する機能を用意しているだけでは、実際に利用した時に思わぬ問題が生じることがあります。自社で想定しているのと同じケースでの十分な実績があるかどうかを事前に確かめておきましょう。


このページの先頭へ

クラウドサービスの利用開始後に出てくる問題点

Question

クラウドサービスの利用開始後に出てくる問題点にはどのようなことがあるでしょうか?またその解決策はありますか?

Answer

株式会社ノークリサーチ:岩上 由高氏

問題点というより、使い慣れるにしたがって出てくる要望ということになりますが、システム間の連携のニーズがあります。例えばメールのデータをSFAのシステムでも使いたいというケースがありますね。このような時、メールシステムから情報をコピーしてSFAのシステムにペーストするという操作を人間がやっているケースもあります。しかし、手作業にはミスがつきものですから、そこは自動連携したいという要望が出てくるわけです。もともとSaaSには連携のためのAPIが用意されていることが多いので、連携の仕組みを作り込むことはできるのですが、そのコストや開発スキルが問題になりがちです。
 そこでWebサービスなどに関する技術スキルがなくともGUIでシステム間の連携の仕組みが作れるサービスが登場してきています。SaaS同士を簡単に連携できるように作られているサービスで、自前で連携の仕組みを作るより低コストで、柔軟な連携ができるようになります。

Question

今後は認証用のSaaSや連携用のSaaSを含め、様々なSaaSを利用することになりそうですが、その中で障害発生時の原因究明などが難しくなるかもしれません。何かよい対応方法はあるでしょうか?

Answer

クラウドでは各サービスがいわばブラックボックスの状態です。サービス間でデータ連携がうまくいかない、文字化けした、などの事象が生じた場合にその原因がどこにあるか突き止められない事態も起こりかねません。
 この問題に対してユーザ企業としては、サービス側からログを受け取り、それを分析して原因究明や解決を図ることもできます。使いやすい形で保存されたログを、必要に応じて参照できるようなサービスであれば、運用管理に有効に使えるでしょう。
 ただし、オンプレミス環境の場合なら、統合運用管理ツールを利用して複数のシステムのログを時系列で整理できるのですが、複数のクラウドサービスで同等のことが実現できるツールやサービスはまだないようです。ログの標準化も進んでいません。
 なおログ参照の必要があるからといって管理用の特権アカウントをサービス業者側に用意してもらうのは、慎重に考えたほうがよいでしょう。特権アカウントを運用すること自体が不正アクセスなどの危険を呼ぶからです。


このページの先頭へ

クラウドサービスの利用を停止する時やほかサービスに移行する時の問題点

Question

クラウドサービスは、必要がなくなれば止められるという点もメリットの1つです。またあるサービスから別のサービスに乗り換えるケースも出てきます。そうした場合に注意すべき点はどこですか?

Answer

サービスの利用は止めても業務自体は続く場合がほとんどなので、預けたデータを自社で使える形で引き取れるかどうかがポイントです。サービス終了後は業者側でデータを残さず完全に削除するのが当然の前提ですから、その前に必要なデータをもらわなければなりません。
 事前の取り決めがないと、いざ止めた時に、引き取ったデータがそのサービス専用のバイナリデータであったということも起こり得ます。また標準形式のデータに変換して戻してもらった場合に、100万円単位で新たにコストがかかることもあります。利用開始前に利用停止後の対応もよく確認しておかなくてはなりません。
 1番よいのは、自社のローカルシステムにデータを定期的にアーカイブすることを、標準機能の1つとして提供しているサービスを選ぶことです。移行の際にも定期的なローカルアーカイブがあれば、それを基に移行先のサービスでの受け入れ準備を進められるので、移行に要する作業量の軽減や時間の短縮に役立ちます。また、クラウドのプラットフォーム上でQ&Aサイトを営んでいた場合などのCGM (Consumer Generated Media)コンテンツについては取扱いに注意が必要です。CGMコンテンツの二次利用に関する権限をサービス業者側が保持しているケースも考えられます。サービス業者との契約内容をよく理解しておくことが大事です。


このページの先頭へ

クラウド利用に関するユーザ教育など

Question

最後に、クラウドサービスのエンドユーザである従業員の教育や指導について注意すべきポイントを教えて下さい。

Answer

株式会社ノークリサーチ:岩上 由高氏

無償のコンシューマ向けSaaSなどを会社内でも個人的に利用するエンドユーザは少なくありません。特にメールへのファイル添付が禁止・制限されているポリシーの会社では、ファイル共有サービスやWebメールサービスなどが抜け道として使われることがあります。時には情報システム管理者も一時的なプロジェクト等で業務上の必要に迫られ、本来は作るべきでないFTPの抜け道を作ってしまうことがあります。こうしたいわばゲリラ的なシステムの使い方を放置してしまうと、システム全体のリスクを高めてしまいます。
 クラウドサービスの利用状況を正しく把握し、場合によっては利用を禁止するなどの対処が必要です。しかし、業務効率を考えると利用禁止までは求められない場合もあるはずです。その際には、できるだけ安全に運用するために守るべきルールを明確にし、そのルールに従って利用させるようにします。
 利用状況を把握する手段としてはエンドユーザからの申告のほか、通信トラフィックからアプリケーションの使われ方を分析するという方法があります。今後は社内の資産管理ツールのような役割を果たすクラウドサービス向け管理サービスも登場するかもしれません。そうしたツールやサービスを利用して利用状況を把握した上で、より安全な使い方を工夫していくことが大切です。


●ありがとうございました。

取材協力

株式会社ノークリサーチ 企業サイトへ


このページの先頭へ



◆関連記事を探す

セキュリティ対策/クラウド利用で注意すべきセキュリティ対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「セキュリティ対策」関連情報をランダムに表示しています。

セキュリティ対策」関連の製品

内部ネットワーク監視ソリューション「VISUACT」 【ギガ+他】 手間やコストを極力かけず、企業ITの認証環境を強化する 【エントラストジャパン】 SSL特化で暗号処理も安全性も向上 SSL Visibility Appliance 【マクニカネットワークス株式会社】
統合ログ管理 認証 その他ネットワークセキュリティ関連
・ファイルサーバのアクセスログを生成する
・内部ネットワークに侵入したマルウェアの拡散活動を記録する
サイバー攻撃の巧妙化、クラウド利用の拡大などによって、今まで以上に認証の重要度は増している。手間やコストを極力かけず、企業ITの認証環境を強化するための勘所とは? 安心と思ったSSL暗号化は攻撃者も使ってくる、既に悪用は過半数

セキュリティ対策」関連の特集


情報システム部門にとって、もはやOS Xを搭載したMacintoshやiOS搭載のiPhone、iP…



メルマガはユーザサポートとして役立つだけでなく、新規顧客の獲得や新製品・新サービスの宣伝・告知手段と…



緊急の課題となっているスマートフォンの管理。そんな場面で威力を発揮する「スマートフォン管理ツール」の…


セキュリティ対策」関連のセミナー

FinTech時代に求められるDB開発とセキュリティセミナー 【Delphix Software/インサイトテクノロジー】 締切間近 

開催日 12月13日(火)   開催地 東京都   参加費 無料

FinTechサービスを展開するためには、高度なセキュリティを保ちながら、開発速度・生産性を高めることが必須になります。また、サービス提供者にとっては、「差別化…

【3社合同(Cylance/IBM/MOTEX)】最新セキュリティ対策セミナー 【エムオーテックス/日本アイ・ビー・エム/Cylance Japan】 締切間近 

開催日 12月8日(木)   開催地 東京都   参加費 無料

今年9月に米国大手インターネット検索会社が、不正アクセスにより約5億件のユーザー情報が流出したことを発表しました。また、今年3月からシステムへのアクセスを制限し…

IT資産管理ツール比較セミナー 【ソフトクリエイト】  

開催日 12月15日(木)   開催地 東京都   参加費 無料

情報セキュリティ対策をIT資産の管理からはじめる企業が増えています。しかし、導入する上でメーカーや製品の選択で悩まれている企業のご担当者様が多くいらっしゃいます…

「データセンター」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30004339


IT・IT製品TOP > ズームアップIT クラウド > データセンター > IaaS/PaaS > IaaS/PaaSのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ