クラウドセキュリティ 7つの懸念とその対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

クラウドセキュリティ 7つの懸念とその対策

2012/07/17


 今年6月、国内クラウドサービスベンダで、サービス停止、預けたデータの消失、復元した情報の漏洩が連続する大規模障害が起きた。昨年からクラウドサービスの大規模な障害事例がいくつか報道されており、導入・利用に不安をかき立てられた企業も多いだろう。しかし、クラウドサービスは既に多くの企業で実用フェーズを邁進中だ。クラウドを利用するか否かが競争力に直結しかねない今日、クラウドを最初から選択肢に入れないシステム企画はありえないだろう。クラウドの特徴をよく知り、安全に導入・利用を図ることが重要だ。今回は、クラウドを安全に利用するためのセキュリティ面からのポイントを考えてみる。また、中小企業のためのクラウドの安全利用のためのチェックシートも掲載したので是非ご覧いただきたい。

クラウドセキュリティ

意外に障害事例が多いクラウドサービス

 今年6月20日17時頃に発生した「ファーストサーバ事件」では、同社の5つのサービスメニューの利用者が障害の影響を受けた。当初、障害によってユーザのデータが消失したとの発表があり、その翌日、復元できたとして提供されたサービスにおいて本来はアクセス権限がないデータにアクセスできる事実が確認された。調査すると最大2308者分の復元データの一部が別の顧客のデータ領域に混在している可能性(1者あたりの混在先は最大で6者)があることもわかった。最終的には共有サーバも専用サーバもデータを完全に復元できないことがわかり、ユーザ側に残るバックアップデータを利用して復元するよりほかに手がなくなってしまった(「社」でなく「者」なのは利用者が企業とは限らないため)。
 この事件をはじめ、昨年の米アマゾンの大規模障害による約4日間のサービス停止や、国内クラウドサービスが復旧しないままサービス自体をとり止めたケースなど、深刻な影響が出た場合には大きく報道もされるが、実際には短時間の障害発生頻度は少なくないと言われている。メディアで伝えられることが少ないだけで、実際には氷山の一角を見ているに過ぎないようだ。
 もちろんクラウドサービスでは可用性99.6%というような数字を出して顧客とSLAを締結している。一見すれば安心の約束とも見えるが、逆に見れば、年間十数時間程度までの停止なら許容すべしという意味でもある。また、SLAの多くはサービスレベルが実現できなかったときの料金割引を約束するものであって、障害発生を防ぐことを宣言しているわけではない。
 クラウドを利用する場合のリスクについては、昨年4月に経産省がまとめた「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」や、IPAによる「クラウドコンピューティングのセキュリティその意味と社会的重要性の考察」(今年4月)などに詳しくまとめられている(図1)。

図1 クラウドコンピューティングのリスクファクター
図1 クラウドコンピューティングのリスクファクター
IPA「クラウドコンピューティングのセキュリティその意味と社会的重要性の考察」2012年4月より
資料提供:IPA

 前者では合計133項目の管理項目について、「管理策」、「クラウド利用者のための実施の手引き」、「クラウド事業者の実施が望まれる事項」などがそれぞれ記述されている。また後者では、図に見るようなリスク要因を前提に対策が必要なセキュリティ要素として次の7つの項目を挙げて考察している。

(1) データセンタ施設の信頼性・耐障害性
(2) クラウドを形成する技術要素における脆弱性の排除と安定性の確保
(3) クラウド上のデータのセキュリティとプライバシー
(4) クラウドサービスプロバイダのセキュリティ管理能力
(5) クラウド利用ユーザの利用能力とセキュリティ管理の及ぶ範囲
(6) 国境を越えるデータに対する法的利害衝突
(7) 外部からの攻撃に対する耐性と対応能力

 今回は特にこの7項目について、問題点と対策を考えていく。


1

クラウドコンピューティングのリスクを克服する方法とは

1-1

データセンタ施設の信頼性・耐障害性のリスクと対策

 クラウドを利用する場合には、提供業者の施設や設備が物理的に堅牢であり、災害などに際してシステムやデータが守れるかどうかが問題だ。次のような観点がある。

立地自体が自然災害や社会災害(爆発、有毒ガス、交通事故等)の被害を受けるリスクが低いこと。

外来の災害に耐える構造の建屋であること。

電力その他のユーティリティ及び通信が安定的に確保できること(停電等に備えた二重化等)。

運転要員の通勤が可能であり、緊急時にも交通手段が確保しやすいこと。

 これらはサービスベンダに情報開示を求め、納得できるかどうか、自社のシステムの重要性に照らして十分かどうかを、コストを勘案しながら検討する必要がある。
 ベンダを選ぶ際には、データセンタの立地条件で2つの考え方がある。1つは、BCPを考えて災害時の停電リスクなどに対応できるよう、管轄する電力会社が異なる遠方のデータセンタを選ぶのがよいとする考え方。もう1つは日常的な運用管理の都合に応じて必要なときにはすぐに自社技術者が駆けつけられるよう、交通に便利なデータセンタがよいという考え方だ。データセンタに行って保守作業ができる技術者が確保できている場合には、後者が好まれることも多い。ベンダの保有するデータセンタのうち、どこがサービスを提供し、どこがバックアップを行うのかを把握することが重要だ。
 大規模にサービスを展開しているベンダでは各地に設置した複数のデータセンタにシステムやデータをレプリケーションして非常時には切り替えられる対策をパックしたサービスを提供している一方で、都市や地方のデータセンタを単独で用いた低コスト性を売り物にするベンダもある。システムの重要性とコストをよく考え合わせてサービスを選びたい。
 なお、昨年の大震災のときには、データセンタで重大な損壊が起きた事例は報告されていない。それよりも、オペレーション要員が現地にたどり着けないことのほうが問題になった。リモートオペレーションの仕組みが周到に用意されているかどうかは、これからの検討材料として重要だ。
 データセンタの選択については、日本データセンタ協会が「データセンタファシリティスタンダード」として基準のガイドラインを示しているので、参考にするとよい。

コラム:パブリッククラウドの冗長性にも限界が…影響が連鎖した大規模障害

 この6月、米アマゾンのAmazon Web Servicesが米国で大きなシステム障害を引き起こした。その原因は電源ケーブル障害という一見ささいなもの。電源の多重防護策をとる同社なら本来は問題にならない障害だったが、多重防護の各段階での小さな問題が連鎖した結果、システム障害につながった。ほかでは真似できないような周到な冗長化対策をとっていてもリスクがゼロにならない例は、 昨年の同サービスの大規模障害事例でも見てとれる。同社では複数のデータセンタを「アベイラビリティゾーン(ゾーン)」 に区分けし、さらにゾーンを複数の地域に設置することにより、1箇所のデータセンタの障害が広範囲に波及しないようにしている。しかし一部のネットワーク設定の変更がストレージ間で障害を引き起こし、その影響が1つのゾーンにとどまらず、米国東地域全体に広がってしまった。多重化対策はもちろん信頼性を高める何よりの方法ではあるが、現状で最も大規模に分散したサー ビスであっても限界があることが明らかになった。


セキュリティ情報局にご登録頂いた方限定で「クラウドセキュリティ 7つの懸念とその対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


◆関連記事を探す

クラウドセキュリティ/クラウドセキュリティ 7つの懸念とその対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「クラウドセキュリティ」関連情報をランダムに表示しています。

クラウドセキュリティ」関連の製品

Office 365とモバイルで働き方改革 Skype for Business 【日本マイクロソフト】 安心・安全・快適認証ソリューション「YubiOn」 【ソフト技研】 Akamai Intelligent Platform 【アカマイ・テクノロジーズ】
IP-PBX ワンタイムパスワード CDN
働き方改革を実現する上で、多様化するデバイスやコミュニケーションツールをどう生かすべきなのか。事例を基に、その課題に対処するための具体策を探る。 Windowsのログオンや、WEBサービスの認証にYubiKeyによるワンタイムパスワードを導入して、よりセキュアな環境を実現。 ウェブコンテンツ、エンタープライズアプリケーション、動画の配信を高速かつ安全に行えるようにするクラウドベースプラットフォーム。

クラウドセキュリティ」関連の特集


空前の情報漏洩事件に学ぶ!内部不正を防ぐ“委託先管理”と物理セキュリティを解説!状況的犯罪予防の5カ…



 IT関連人材を専門に、各業務に関する実務能力基準の認定や教育コンテンツの提供を行う業界団体Comp…



周辺システムをIaaSへ移行する企業は増えたが、企業の多くは基幹システムをクラウド化できずにいる。そ…


クラウドセキュリティ」関連のセミナー

医療ICT カンファレンス 2016 【ナノオプト・メディア】 締切間近 

開催日 12月9日(金)   開催地 東京都   参加費 無料

より高品質な医療サービス実現のためのシステムとは?クラウド、セキュリティ、AI活用、ID管理などの課題解決方法を最新事例で解説!■キーノート■      ※敬称…

JRCA登録CPD ISO 27017に基づくクラウドセキュリティ解説コース 【BSIグループジャパン】  

開催日 12月13日(火),2月13日(月),4月19日(水)   開催地 東京都   参加費 有料 4万932円(税込)

ISOより2015年新たにクラウドサービス利用のための情報セキュリティマネジメントガイドラインISO/IEC 27017が発行されました。ISO/IEC 270…

JRCA承認 ISO/IEC 27017審査員コース 【BSI グループジャパン】  

開催日 12月6日(火)〜12月7日(水),2月15日(水)〜2月16日(木),4月20日(木)〜4月21日(金)   開催地 東京都   参加費 有料 12万9600円(税込)

2015年 ISOよりクラウドサービス利用のための情報セキュリティマネジメントガイドラインISO/IEC 27017が発行されました。これにより、ISO/IEC…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004937


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ