日本企業もクラウドサービスを利用するのが珍しいことではなくなった。だが、その一方でセキュリティ面の不安からクラウドの利用を躊躇する企業が存在するのもまた事実だ。クラウドにセキュリティ上の問題はないのか――。クラウドベンダー大手であるAmazon Web Servicesで最高情報セキュリティ責任者を務めるStephen Schmidt氏がZDNet Japanに論考を寄せてくれた。(ZDNet Japan編集部)
ITインフラの一部もしくは全部をクラウドプラットフォームに移行させる企業や組織が増えています。コスト削減、スケーラビリティ、自社にとって、より重要なサービスやアプリケーションそのものに時間を割けるという利点が得られるからです。しかし中には、セキュリティに対する疑問が壁となり、こうしたクラウドの利点を享受できないままの企業や組織もあります。
一般的に、ある企業なり組織なりがデータセンターを所有し、その中の機器を管理して、機器を操作する従業員を雇えば、当然のように、データとデータ漏洩に対する防御手段を適切にコントロールできるものと信じられています。
しかし、政府や大企業が直接データセンターを所有し運用する場合と比較しても、クラウドの方がより優れたセキュリティやガバナンスを確保しているケースが数多く見られます。なぜでしょうか。理由は“コントロール”です。
クラウド環境では、何が実行されているか、いつ実行されたか、どれだけの時間をかけて実行されたか、そしてどの端末からなのかといったことを、CIO(最高情報責任者)が直接把握できるのです。例えば多くのCIOは、開発者のデスクの下にあるなどして管理が行き届かない、何か無許可のものや潜在的に破壊的なものを実行している可能性がある“野放し”の状態のサーバの存在を心配しています。
従来のIT環境では、その企業や組織の内部に何台の“野放し”サーバが存在するかを把握することは本当に困難でした。ITインフラがクラウド化されていたなら、CIO自身もしくはCIOの代理がAPIコールひとつで、すべてのシステム、すべての仮想マシン、すべてのインスタンスの状態を一望できます。
クラウドでは、より高いレベルでのコントロールが可能ですが、全体としてのセキュリティ確保は、顧客側とクラウド環境を提供するベンダー側の共同責任となります。クラウドベンダーが非常に堅固なセキュリティを提供しても、そのクラウド内で顧客がパッチを適用していないアプリケーションや脆弱性のあるアプリケーションが起動された場合、セキュリティが侵害されるリスクが生じます。また、仮に万全なセキュリティを備えたアプリケーションを使用するとしても、それを実行するインフラストラクチャ自体に脆弱性があれば、結果的にアプリケーションそのものが脆弱になる、ということになります。
セキュリティは共同責任なので、どのレベルのセキュリティを誰が管理するかを理解することが重要です。各レベルをどちらが――ユーザー側が管理するのかベンダー側が管理するのか――をお互いに把握していなければなりません。
Amazon Web Services(AWS)のようなクラウドインフラストラクチャサービスは、非常に柔軟性に富むコンピューティング環境を提供しているので、企業や組織はそれぞれセキュリティの相当部分をコントロールできます。適切なアプローチを取れば、政府機関もクラウドベンダーを活用してセキュリティ施策を改善できます。
企業や組織は、クラウドコンピューティングであれば、サーバやデータセンターの管理という重労働から解放されるということを認識しています。これはつまり、物理的なインフラストラクチャを管理する上でのセキュリティだけでなく、複数のOS間の仮想化を実現するセキュリティや技術も含めて、クラウドベンダー側が担当するということを意味します。
クラウドベンダーは、冗長システムを備えた大規模なデータセンターの構築に関して、極めて高い知見を持つ専門家でなければなりません。専門家として、世界中とはいわないまでも、国内のさまざまなデータセンターのセキュリティを確保する必要があります。