仮想化という技術に不安はないか
情報セキュリティの観点では、クラウドサービスの基盤を構成する仮想サーバは信頼してもいいのだろうか。
前出の佐藤氏は「例えば、ホストOSの上にゲストOSが乗った仮想環境では、仮想ソフトの脆弱性を突いて、ゲスト側からホスト側を攻撃するといったことが考えられる。ホスト側で侵入を検知する仕組みを作るなど、仮想化技術に基づく対策は必要となる。ただ、この対策はクラウド事業者が確保すべきことで、そこにユーザー側が明示的に関与することは難しいだろう。従って、どこまでがクラウド事業者の役割なのかを、きちんと分けることが重要になる」と話す。
クラウドの基盤となる仮想環境におけるリスクのイメージ
複数のゲスト(VM)が同居する環境で機密情報を扱う場合、暗号化は必須だ。他社と同居する環境では、データの暗号化と通信トラフィックの暗号化も必要となる。
また、クラウドはクレジットカード決済で自由にサービスを使用することができるため、他人のクレジットを悪用して、勝手に数多くのリソースを使用したり、大量に攻撃ツールを配布したり、稼働しているサーバに何らかの脆弱性を仕込んでマルウェアを蔓延させたりするなど、クラウドを悪用することも考えられるという。
「EDoS(Economic Denial of Sustainability)」と呼ばれる攻撃も懸念される。トラフィック課金のサービスに対してDoS攻撃を行うもので、大量に行われた攻撃トラフィックが正規のユーザーに課金されてしまう。経済的なインパクトはかなり大きくなりそうだ。
佐藤氏は「システムの可用性は問題ないかもしれないが、ユーザーが致命的な財務的インパクトを受けてしまう恐れがある」と話す。
篠崎氏も「こうした点をクラウド事業者側が保証したり、ユーザーが求めるレベルを担保したりする仕掛けが足りないのではないか。不安は拭いきれてない」と指摘する。「ただ、クラウドはコスト面や、見通しをつけにくい事業にチャレンジしていく面などで大きな価値があると思う。必要以上に恐れず、使える範囲を見極めて、納得して使えるところから少しずつ使ってみることをお勧めしたい」と話す。
