Skip to content

セキュリティマガジン TREND PARK

クラウドで守るセキュリティと、クラウドを守るセキュリティ

データセンター内のサーバと顧客のデータの安全には異なるアプローチが必要


2010年は、クラウド元年と呼ばれ、実際に、一部の企業ではクラウドを利用し始めています。しかし、クラウドのセキュリティについて、まだ理解が浸透しているとは言えないのが現状です。そこで、「from the cloud」と「for the cloud」という2つのキーワードを通して、それを読み解いていきましょう。ビジネスにクラウドを段階的に取り入れる中で、企業で検討すべきポイントと新たなセキュリティ手法について解説します。

from the cloud とfor the cloudでセキュリティを考える

クラウドは、個人が意識せずともインターネットを利用する上で恩恵を受けるようになっただけでなく、企業のビジネスにおいても大きな期待が集まっています。コストメリットが大きく取り上げられていますが、インターネットにつながる環境であれば、だれもがすぐにサービスを受けられることなどもクラウドの大きな価値です。

トレンドマイクロ セキュリティエキスパート本部 コンサルティングSEグループ 部長 黒木 直樹は、「クラウドは、さまざまなメディアに取り上げられ、注目を集めています。しかし、情報セキュリティと関連づけたクラウドについては、あまり語られることがありません。情報セキュリティの観点からクラウドの本質を理解するためには、from the cloudと for the cloudの2つのキーワードを紐解くことが必要です。from the cloudはクラウドを利用したセキュリティを指し、for the cloudはクラウドのためのセキュリティを指します」と語ります。

では、情報セキュリティの観点から見たfrom the cloudとfor the cloudを個別に見ていきましょう。

まずは、from the cloudについて。from the cloudでは、クラウドセキュリティによって得られるメリットについて理解する必要があります。新たな脅威が次々に誕生する中、従来のウイルスのパターンファイルだけで対抗するやり方では、パターンファイルの作成からエンドポイントへの配信までを含めた処理に時間差があり、最新の脅威に対応できない空白の時間が発生します。これに対し、クラウド型のセキュリティサービスでは、ファイルだけでなくWebやメールの膨大な評価情報をインターネット上に置き、必要に応じてサービスとして利用できるモデルに変わります。

PCのローカル環境に置く最小限の対策情報で安全性を判定できなかったファイルに対しては、クラウド上のデータベースを参照して処理を行う仕組みで一刻を争う脅威にも迅速に対応でき、クラウドを使うことで不正なWebやメールもユーザに届く前に防御できるようになるのです。


>画像をクリックして拡大

for the cloudでは、クラウドにどのようなリスクがあるかを理解することが前提になります。

一般に、クラウドの利用に前向きな企業は、そのコスト効率やスピード、ITサービスの質といった点のいずれかを既存のシステムから向上させることを見込んでいることでしょう。ただし、これまで自社内で管理していたシステムをパブリッククラウドはもちろんプライベートクラウドであっても、外部に移行する上でセキュリティの不安を持つことが想定されます。

一方で、クラウドサービスを提供する事業者は、データセンター内のサーバを安全に運用することが求められますが、その中で企業ユーザがやり取りするデータそのものの検査や、不正か否かを判断することは、顧客情報の秘匿の問題とも関わる難しい課題でもあります。

このため、for the cloudはさらに2つに分類して理解することが必要になってきます。1つは、データセンター内のサーバへのセキュリティ。もう1つが、サーバ上のデータを守るセキュリティです。

黒木は、「一般的にIaaSやPaaS、SaaSでは、顧客が預けるデータは顧客の責任で管理すべき領域となっており、万が一破損や漏えいが起きても事業者側で担保されるとは限りません。特に、パブリッククラウドを利用する企業は、サーバ内のデータを守るための対策を自身で行うことが求められるのです」と話します。

データの対策には、さまざまな手法が考えられます。ひとつには、すべてのデータを暗号化して、個々のユーザが複合するための鍵をクラウド上で管理する仕組みでしょう。適切なユーザしかデータの内容に触れることができない環境であれば、万一悪意のユーザが不正にデータにアクセスできたとしても、クラウド上のデータはすべて暗号化されているため、悪用される危険性は低下します。こうした仕組みを利用することなどを含め、企業はあらゆる局面を想定してデータ保護のあり方を再定義する必要が出てくるでしょう。

記事公開日 : 2011.03.24

ページの先頭へ