クラウドのセキュリティをいかに担保するのか--AWSのCISOが解説

Stephen Schmidt (Amazon Web Services) 2012年02月23日 09時00分

  • このエントリーをはてなブックマークに追加

 日本企業もクラウドサービスを利用するのが珍しいことではなくなった。だが、その一方でセキュリティ面の不安からクラウドの利用を躊躇する企業が存在するのもまた事実だ。クラウドにセキュリティ上の問題はないのか――。クラウドベンダー大手であるAmazon Web Servicesで最高情報セキュリティ責任者を務めるStephen Schmidt氏がZDNet Japanに論考を寄せてくれた。(ZDNet Japan編集部)

 ITインフラの一部もしくは全部をクラウドプラットフォームに移行させる企業や組織が増えています。コスト削減、スケーラビリティ、自社にとって、より重要なサービスやアプリケーションそのものに時間を割けるという利点が得られるからです。しかし中には、セキュリティに対する疑問が壁となり、こうしたクラウドの利点を享受できないままの企業や組織もあります。

 一般的に、ある企業なり組織なりがデータセンターを所有し、その中の機器を管理して、機器を操作する従業員を雇えば、当然のように、データとデータ漏洩に対する防御手段を適切にコントロールできるものと信じられています。

 しかし、政府や大企業が直接データセンターを所有し運用する場合と比較しても、クラウドの方がより優れたセキュリティやガバナンスを確保しているケースが数多く見られます。なぜでしょうか。理由は“コントロール”です。

 クラウド環境では、何が実行されているか、いつ実行されたか、どれだけの時間をかけて実行されたか、そしてどの端末からなのかといったことを、CIO(最高情報責任者)が直接把握できるのです。例えば多くのCIOは、開発者のデスクの下にあるなどして管理が行き届かない、何か無許可のものや潜在的に破壊的なものを実行している可能性がある“野放し”の状態のサーバの存在を心配しています。

 従来のIT環境では、その企業や組織の内部に何台の“野放し”サーバが存在するかを把握することは本当に困難でした。ITインフラがクラウド化されていたなら、CIO自身もしくはCIOの代理がAPIコールひとつで、すべてのシステム、すべての仮想マシン、すべてのインスタンスの状態を一望できます。

 クラウドでは、より高いレベルでのコントロールが可能ですが、全体としてのセキュリティ確保は、顧客側とクラウド環境を提供するベンダー側の共同責任となります。クラウドベンダーが非常に堅固なセキュリティを提供しても、そのクラウド内で顧客がパッチを適用していないアプリケーションや脆弱性のあるアプリケーションが起動された場合、セキュリティが侵害されるリスクが生じます。また、仮に万全なセキュリティを備えたアプリケーションを使用するとしても、それを実行するインフラストラクチャ自体に脆弱性があれば、結果的にアプリケーションそのものが脆弱になる、ということになります。

 セキュリティは共同責任なので、どのレベルのセキュリティを誰が管理するかを理解することが重要です。各レベルをどちらが――ユーザー側が管理するのかベンダー側が管理するのか――をお互いに把握していなければなりません。

 Amazon Web Services(AWS)のようなクラウドインフラストラクチャサービスは、非常に柔軟性に富むコンピューティング環境を提供しているので、企業や組織はそれぞれセキュリティの相当部分をコントロールできます。適切なアプローチを取れば、政府機関もクラウドベンダーを活用してセキュリティ施策を改善できます。

 企業や組織は、クラウドコンピューティングであれば、サーバやデータセンターの管理という重労働から解放されるということを認識しています。これはつまり、物理的なインフラストラクチャを管理する上でのセキュリティだけでなく、複数のOS間の仮想化を実現するセキュリティや技術も含めて、クラウドベンダー側が担当するということを意味します。

 クラウドベンダーは、冗長システムを備えた大規模なデータセンターの構築に関して、極めて高い知見を持つ専門家でなければなりません。専門家として、世界中とはいわないまでも、国内のさまざまなデータセンターのセキュリティを確保する必要があります。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]