リスクマネジメント リスクマネジメント記事一覧へ

[クラウドのセキュリティリスクを管理せよ]

【第10回】クラウド利用における暗号化と仮想化のセキュリティ

2014年8月26日(火)日本クラウドセキュリティアライアンス(CSA)

クラウドコンピューティングのセキュリティ課題について、「Security Guidance for Critical Areas of Focus in Cloud Computing(略称CSAガイダンス)」では体系的に解説している。本連載では、CSAガイダンスに沿って、クラウド利用者が知っておくべき知識と、押えるべきポイントを解説する。前回は、クラウド利用におけるアイデンティティ(ID)管理や権限付与、アクセス管理の要件と対策を取り上げた。今回は、クラウド利用における暗号化と鍵管理、および仮想化のセキュリティについて解説する。

 クラウドのような複数テナント環境では、データ暗号化は重要なセキュリティ施策である。だが、鍵管理の負荷も大きくなるため、適切な使い方が重要になってくる。一方、サーバーの仮想化は、柔軟なクラウド構築には不可欠なテクノロジーになっているだけに、仮想マシン(VM:Virtual Machine)導入に関わる新しいセキュリティ上の課題にも対処しなければならない。

データ移行リスクは第三者への「開示」と「悪用」の2種

 企業が「機密」に分類しているデータにおいても、クラウドへの移行が進みつつある。社外のクラウドにデータを移行し、業務を推進する場合、2つのリスクを理解しなければならない。(1)データの第三者への開示と、(2)第三者による悪用だ。

データの第三者への開示:情報を誤って第三者に開示してしまうリスクに加え、訴訟や事故調査など行政・司法による強制的な情報開示のリスクがある。特にデータが国外のクラウドで管理される場合、利用契約を参照し、どの国の法制度が適用されるのかに注意する必要がある。

第三者による悪用:例えば匿名化した個人の行動履歴から、マイニングや推論などで匿名性をなくし(再識別化)、プライバシー情報を抜き出すといったリスクに注意する必要がある。現在日本では、個人情報保護法の改訂作業が進行中で、個人情報を含むデータをより安全に利用できる法制・運用ルールが策定されようとしている。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

【次ページ】鍵管理の方式にも工夫が必要に
  • 1
  • 2
  • 3
バックナンバー
クラウドのセキュリティリスクを管理せよ一覧へ
関連記事

【第10回】クラウド利用における暗号化と仮想化のセキュリティクラウドコンピューティングのセキュリティ課題について、「Security Guidance for Critical Areas of Focus in Cloud Computing(略称CSAガイダンス)」では体系的に解説している。本連載では、CSAガイダンスに沿って、クラウド利用者が知っておくべき知識と、押えるべきポイントを解説する。前回は、クラウド利用におけるアイデンティティ(ID)管理や権限付与、アクセス管理の要件と対策を取り上げた。今回は、クラウド利用における暗号化と鍵管理、および仮想化のセキュリティについて解説する。

PAGE TOP