クラウドのリスクを適正評価ベンダーと共同でセキュリティの強化を（第5回）

クラウドの技術や機能はブラックボックス化しやすいが、セキュリティ対策に関してはその限りではない。ベンダーはいかに安全にデータを管理しているかをユーザー企業にアピールすることが大切だ。一方のユーザー企業も自らクラウドを評価し、適切なサービスを選べる目を養わなければならない。

“雲の向こう側”にデータを預けるクラウド・コンピューティングは、とかくセキュリティは大丈夫なのか、という議論に陥りやすい。売り上げ情報や新商品の開発データなどの機密情報は、適切なセキュリティ要件を満たす場所で管理しなければならない。だがクラウドの場合、サーバーがどこにあるのか分からない、どのようにデータを安全に管理しているのか分からないなどの“目に見えないリスク”が存在する。ベンダーは、クラウドで用いるアーキテクチャや機能などの情報を開示したがらないこともあり、ユーザー企業のクラウドへの懐疑的な見方を払拭できずにいる。

その一方で、昨今の経済不況によりシステムをアウトソースする機運が高まっている。情報システム部門の人員削減などが進んだことで、クラウドのリスクよりも自社運用によるリスクの方が高いと判断する企業が存在するためである。しかし、クラウドが抱えるセキュリティ問題が曖昧なまま運用に踏み切っているのが現状で、非常に危険な状態が続いているといえる。

では、ユーザー企業は安全なシステム運用を担保するクラウドをどのように選べばよいのだろう。

情報収集と査定によりクラウドを評価

いかにクラウドといえども、ベンダーは具体的にどのようなセキュリティ対策をしているのか、データをどのように安全に保管しているのかなどの透明性を打ち出さなければならない。ユーザー企業はこれらの情報収集に努めることが大切だが、ベンダーからの情報を聞くだけでは公正にクラウドを評価できない。ユーザー企業はクラウドのリスクを自ら評価することを怠ってはならないのだ。万が一クラウド上に預けた情報が漏洩した場合、社外に対して責任を負うのは他の誰でもないユーザー企業自身となるからである。自社のセキュリティ要件と照らし、機密性やプライバシーの保護、有効性などの観点から適切にクラウドを見極めることが求められる。自社で十分な査定ができない場合、第三者機関を利用してもよい。コストはかかるが、専門的な査定による公平な評価を参考にできる点が強みだ。なお、米ガートナーが359の企業に確認したところ、86%の企業がセキュリティに関する何らかの調査を行っているという。

具体的にどんな点がポイントとなるのか。ガートナーでは主に次の項目を重視する。

• アプリケーションの脆弱性診断

  自社のアプリケーションをクラウド上で稼働させる場合、コードをテストして脆弱性を検証したという診断結果の提出を促すとよい。SQLインジェクションによる攻撃のリスクを軽減できるのはもちろん、ベンダーのセキュリティに対する取り組み状況を把握する上でも有効である。

• 法規制への対応状況

  自社のセキュリティ要件と照らし合わせ、必要ならば「PCI DSS」（国際的なクレジット業界向けのデータセキュリティ基準）や「HIPPA」（医療・保険業界のプライバシー保護に関する法律）、「EU Data Protection Directive」（EU地域におけるプライバシー保護に関する条例）などの規定を満たすようベンダーに改善要求する。

• 特権IDの管理や二要素認証の採用

  クラウドを監視するベンダーの人員は、ユーザー企業が預けた機密性の高いデータへアクセスすることが可能となる。そこで、特権IDを持つ管理者のシステム利用状況を監視したり、無意味なアクセスを制御したりする、特権IDの権利をはく奪する仕組み作りを提案すべきである。また、多くの利用者が真にそのIDの所有者か特定するため、二要素認証（ワンタイムパスワードなど）を採用するよう求めることも必要である。

• データの保管場所

  データをどこに保管しているのかが分からない点がクラウドの特徴だが、大事なデータを国外に預けたくないと考えるユーザー企業は多い。データセンターがある国ごとにデータ保護に関する法規制は異なり、有事の際にデータの持ち出しを規制するなどの弊害も起こりえる。自社のポリシーと合致したデータ保管が可能であるかどうかを確認する必要がある。

ユーザー企業とベンダーの協力体制が大事

ユーザー企業はベンダーに対して積極的に質問や提案、改善依頼などを行うべきである。クラウドに対して無知で、ベンダーにセキュリティ対策を任せきりではセキュリティは改善せずに、システムの業務効率性や生産性は低いままとなってしまう。ベンダーと協力体制を築き、セキュリティ機能を改良していくことで、より多くのメリットを享受できるようになるのだ。

図　今日のクラウドコンピューティング時代までのセキュリティテクノロジとインシデントの変遷 出典：ガートナー（図をクリックで拡大）

クレジットカード情報を蓄積するWebシステムの脆弱性を事前に診断すべき

石橋 正彦
ガートナージャパン
リサーチ部門 セキュリティ担当
リサーチ ディレクター

2009年は、クレジットカード情報が盗み出されるといった被害が日本でも顕著に見られた年だった。カードブランド会社やカード発行会社（ガソリンスタンドや鉄道など）ではなく、カード決済機能を備えたWebサイトを運営する小売業者（ネット通販など）がターゲットにされるケースが特に多かった。これは、商品購入時にカード番号やカード有効期限を一時的に扱うWebシステムがセキュリティ対策を十分施していないことを意味する。カードの発行会社などは「PCI DSS」に基づき一定水準のセキュリティ基準を満たしているが、小売業者にはこうした規定が十分普及していなかった。2010年は発行会社同様、小売業者などもPCI DSSを利用したセキュリティ対策を導入することが必要だ。

SQLインジェクションに代表されるWebアプリケーションの脆弱性を十分にテストしていない点も問題である。海外では専用ツールを利用し、本番環境へ移行する前に第三者からの攻撃による脆弱性の発見に努めるが、日本はこうした習慣があまりない。今のところ年に1回程度、脆弱性を診断するサービスを利用するぐらいだ。クラウドを利用してWebシステムを構築するケースは今後、ますます増えてくると思われる。脆弱性診断プログラムの利用、定着が日本でも望まれる。

システムを利用する人を認証する仕組みについても改善すべきである。クラウドへアクセスする人が本当にその人なのかどうか疑わしいというケースがあるからだ。日本では、認証にユーザーIDとパスワードしか用いないシステムが少なくない。これに対し海外は「Fraud（フラウド）」という認証を率先して取り入れている。これは、いつもと違うPCからのアクセスなど、通常と異なる振る舞いがあった場合は認証を強固にする仕組み（リスクベース認証とも呼ぶ）。日本でも一部の金融機関がフラウドを取り入れているが、クラウドを利用するシステムに対し、業種を問わず導入する必要がある。