Discover Performance

 

 


今すぐ登録する

「HP Software Discover Performance」日本語版

クラウド時代のセキュリティ対策-その2 第2回目は、ユーザ視点でのクラウドセキュリティ対策についてご説明します。

前回はクラウドを提供する側が配慮すべきセキュリティについて説明した。
今回はクラウドを利用する側が考慮するセキュリティについて説明しよう。

クラウドサービスと利用者が責任を持つ範囲

現在様々なクラウドサービスが利用可能となっている。Figure 1 はクラウドサービスのレイヤを簡単に説明したものだ。IaaSは仮想インフラを提供するだけのサービス、PaaSはOSとその上のミドルウェア、DBやWebサーバーを提供している。SaaSは最終的なアプリケーションを提供する、という具合に利用可能なレベルが分かれている、と考えればよい。そして、これらのサービスを利用していても、その利用者がセキュリティについて考慮しなくてもよい、などということは全くあり得ない。

Figure 1 クラウドサービスのレイヤ

Figure 1 クラウドサービスのレイヤ

Figure 2 はクラウドサービス提供者の責任範囲を図示したものだ。IaaS、PaaS、SaaSで責任範囲が異なるのが分かるだろう。これはサービス提供者のセキュリティの責任範囲でもある。

Figure 2 クラウド提供者の責任範囲

Figure 2 クラウド提供者の責任範囲

IaaS提供者は、自身の仮想インフラ自体のセキュリティ対応は責任範囲だが、利用者がインストールするOSのセキュリティ範囲までは責任を持たない。つまりIaaSを利用した場合、オンプレミスでインフラを持っているのと同様に、OSのセキュリティ管理を行わなければならない。PaaSの場合、同様にDBやWebサーバーのセキュリティはPaaS提供者が責任を持つが、その上で利用者が構築するWebアプリケーションに対するセキュリティは利用者が責任を持つ必要がある。

情報やコンテンツは誰のもの?

Figure 2 をもう一度見てみよう。もっとも上位に位置している、情報やコンテンツに対しては、サービス提供者は責任を持たない点に注意しなければならない。もう少し具体的に考えてみよう。クラウド上のサービスを利用して個人情報を扱う必要があるとしよう。この時個人情報保護法を遵守しなければならないのは誰だろうか。情報自体がクラウドに保存されているのだから、クラウド提供者だろうか。それは誤りだ。個人情報保護法を遵守しなければならないのは、個人情報を集めているサービス利用者の責任範囲となる。個人情報に限らず、各種情報が正しく管理されていることを証明しなければならないのは、その情報の所有者であるクラウド利用者なのだ。個人情報の漏えいに関わる対策など、サービス利用者が検討すべき課題なのだ。

この点を正しく理解できれば、自ずと利用者から見てどのようなセキュリティをサービス提供者に求めるべきなのか、という点が明らかになってくる。

もしサービスとして提供されるクラウド基盤を利用して、PCIDSSなどの規程に準拠したサービスを行いたい、と考えるのなら、利用者がPCIDSSの認証を取得しなければならない。仮にサービス提供者がPCIDSS準拠と主張しても、実際に認証を取得するのは利用者だ。

セキュリティの各種認証や基準に準拠するためには・・・・

PCIDSSをはじめとする各種セキュリティ認証では、セキュリティ運用や管理の規程、アクセス制御、ログの保持と確認、セキュリティ状態の確認などが求められている。クラウドサービスインフラを利用して実現しようとした場合、利用者がこれらの状況を確認できなければ認証を取得することができない。PaaSを利用している場合を考えてみよう。いくらPaaS提供者が「うちはパッチ管理と運用ルールを明文化して公開している」といっても、正しく運用されているのか、確認できなければ意味が無い。これはサービス提供者から何らかの情報を得なければならないことを意味している。これはシステム上の様々なレベルで生じる課題だ。DBへのアクセス制御設定の確認とアクセスログから不正なアクセスが生じていないことをも証明しなければならないことも、その一つだ。サービス提供者にとっては大きな負担となりことは容易に想像できる。実際このような要求に対応できるサービス提供者はほんの一握りに過ぎない。現時点では、サービス利用者側がサービス提供者に要求するだけでは問題を解決することはできない。

サービス利用者としては、最終責任は自身が持たなければならないことを前提に、各種認証取得のための条件や内部規定をクリアするために、サービス提供者からどのような情報を取得しなければならないのか、十分な検討を行う必要がある。利用者は、サービスが提供できるセキュリティ情報とサービス費用のバランスを考慮し、さらに必要な情報があれば、提供者と一緒に検討することを考慮しなければならない。




今月号の記事一覧

HPはアジャイルの夢を見るか? (2)
QTPがスマホに対応:UFT Mobile
クラウド時代のセキュリティ対策-その2
HPソフトウェア運用管理製品ラインナップ情報
データセンターのクラウド対応に必須の技術は?
HPソフトウェア教育サービスからのお知らせ
日本ヒューレット・パッカード創業50周年 IT総合イベント開催
ガートナーイベント出展のお知らせ
HPソフトウェア事例研究セミナー2013夏
HP Discover ラスベガスで開催
HP ソフトウェア+パートナーセミナー情報


◆今月号の記事の内容はいかがでしたか?ご意見、ご感想を以下のアンケートフォームからお送りください。

アンケートはこちら お送りいただいたお客様の中から抽選で1名の方にスタイリッシュでスマートデザイン  HP ENVY110 インクジェットプリンターが当たります。