クラウド コンピューティング セキュリティの 3 つのレベル: 技術的リスク、管理リスク、法的リスク

クラウドコンピューティングはIT技術の分野で大きな進歩を遂げ、時代の流れをリードする新しい技術となっています。クラウド コンピューティングの急速な発展は、製品発売のスピードアップ、企業の競争優位性の向上、資本および/または運用コストの削減など、主要なビジネス目標に再び焦点を合わせようとしている企業に多くのメリットをもたらしました。クラウド コンピューティングのリスクを管理するには、まずリスクが何であるかを理解することが重要です。

いわゆるリスクとは、起こってほしくない出来事が起こる確率を指します。情報セキュリティの分野において、リスクとは、悪意の有無にかかわらず機密情報を公開し、データの一貫性を脅かし、システムや情報の可用性を妨げるような事象が発生する確率を指します。インターネットに接続している組織はすべてリスクにさらされているため、ダークウェブの回復力と、プライベートおよびパブリックのクラウド コンピューティング ネットワークを拡張する能力を考慮する必要があります。

[[242128]]

調査によると、クラウド コンピューティング テクノロジーは次のようなセキュリティ上の脅威に直面しています。

1. 技術的リスク

1. IaaS層のリスク分析

Infrastructure as a Service (IaaS) は、コンピューティング、ストレージ、ネットワーク、その他の基本的なコンピューティング リソースをユーザーに提供し、ユーザーはそのリソース上でオペレーティング システムやアプリケーションなどのあらゆるソフトウェアを展開して実行できます。ユーザーは、基盤となるインフラストラクチャを管理および制御する必要はありませんが、オペレーティング システム、ストレージを制御し、アプリケーションを展開し、ネットワーク コンポーネント (ホスト ファイアウォールなど) を限定的に制御する必要があります。最も深刻な IaaS リスクの多くは、クラウド管理者の構成ミスや、オペレーティング システム、アプリケーション、クラウド管理インターフェイスに対するセキュリティ制御の欠如に大きく起因しています。

主なリスクの 1 つは、ユーザーがサービスやサービス管理をよりシームレスに統合できるようにするためにクラウド プロバイダーが提供する安全な API が不足していることです。プロバイダーは安全な API とパッチを提供する責任がありますが、顧客はサポートされている転送方法やベンダーとのやり取り中に送受信されるデータなど、これらの API を独自に評価する必要があります。 API またはアプリケーションを更新すると、互換性の問題やデータ侵害のシナリオに簡単につながる可能性があるため、顧客は API と対話するプログラムの部分を定期的にテストする必要があります。

ヒント: クラウドのお客様は、IaaS を選択する前に、クラウド サービス プロバイダーのセキュリティ制御とサービス レベル契約を徹底的に調査することをお勧めします。顧客は、可能な限り多要素認証を活用し、内部の脅威を軽減するためにデータを暗号化し、キーの制御を維持し、クラウド環境で利用可能なログにこれまで以上に注意を払う必要があります。クラウドベースのシステムの脆弱性を定期的にスキャンすることも良い方法です。

2. PaaS層のリスク分析

PaaS プラットフォーム リソースのコンテナーは、オペレーティング システムの仮想化に基づいており、IaaS 基本環境から分離されています。プラットフォーム独自の実装のほとんどは、広く使用されている開発フレームワークと標準 API であり、リソース管理のレベルを効果的に向上させ、ベンダーの制約を効果的に回避できます。同時に、単一のオペレーティング システム上でのコンテナ密度の効果的な展開を合理的に調整することで、リソースの使用率を向上させ、ハードウェア調達コストを削減できます。

PaaS は主にコンテナベースのテクノロジーに依存するコンテナ クラウドの形式で実装されます。現在、最も一般的な 2 つのタイプは Docker と garden です。

Platform as a Service (PaaS) 上でネットワーク アプリケーションを開発する場合、特定のリスクと脆弱性が存在します。具体的な脅威リスクとしては、ハッカー、ソフトウェア設計上の欠陥、不適切なテスト方法などが挙げられます。これらのリスクは、脆弱性を悪用してアプリケーションに影響を与えたり、パフォーマンスを大幅に低下させたりする可能性があります。

3. SaaSレベルのリスク分析

SaaS (Software-as-a-Service) は、インターネットを通じてオンラインでサービスを提供します。企業はERPなどのソフトウェアのアップグレードやメンテナンスに煩わされることなく、コストを節約し、ビジネス開発の促進に集中することができ、業務効率が大幅に向上します。

しかし、多くの企業、特に大企業は、セキュリティ上の問題から SaaS の使用に消極的です。 SaaS ソリューションには標準化が欠けています。企業はコアデータを保護する必要があり、これらのコアデータに対して第三者が責任を負うことを望んでいません。かつて、SaaS 導入プロジェクトの最大 20% がデータ統合における深刻な問題により失敗したという記事を読んだことがあります。したがって、企業にとって、特定の展開モードを採用する前に、システム ライフサイクルのすべての段階でさまざまな展開モードの長所と短所を慎重に分析することが非常に重要です。

次の図に示すように、クラウド コンピューティング モデルによって責任の分担が異なります。

2. リスクを管理する

1. クラウドサービスはSLAを満たせない

企業はサービス レベル契約 (SLA) に依存して、クラウド コンピューティング プロバイダーに、提供するサービスを保証し、サービス障害が発生したときに請求を行うことを要求します。たとえば、SLA では、サプライヤーの責任、サプライヤーが問題を解決できる期間、ダウンタイムや顧客との取引損失が発生した場合のサプライヤーの責任が明確に定義されます。しかし、クラウド コンピューティングの SLA に関しては、細部にこそ問題が潜んでいます。たとえば、顧客への返金に関する内容は問題があります。

2. 持続不可能なクラウドサービスのリスク

企業ユーザーは、クラウドに保存されたデータが長期間利用可能であることを保証する必要があります。問題が発生した場合、重要なデータが返されるまでにどれくらいの時間がかかりますか?

3. アイデンティティ管理

ビジネス プロフェッショナルは、クラウド コンピューティングの顧客とクラウド コンピューティング プロバイダーの両方に関連するリスクを理解し、受け入れます。役割に関係なく、望ましくないイベントが発生する可能性を管理するには、リスク管理が不可欠です。クラウド コンピューティング関係の特定のケースでは、双方のリスク管理の取り組みが必要であり、企業ユーザーとクラウド コンピューティング プロバイダーの両方が成熟したリスク管理プログラムを備えている必要があります。成熟度は、定期的なレポートと低リスク状態を維持しているという定量的な証拠を伴う管理されたプログラムを通じて実証されます。

3. 法的および規制上のリスク

1. 国境を越えたデータ

ビッグデータ時代の到来により、従来のストレージ アーキテクチャではデータの急速な増加に対応できなくなり、ますます多くの企業がビッグデータ プラットフォームを使用してデータを保存しています。ほとんどのビッグデータ プラットフォームは、何らかのオープン ソース ソフトウェアに基づいて開発されています。複雑なアーキテクチャ、不安定なモジュール、地域をまたいだデータ転送などの特性は、ビッグデータ プラットフォームのセキュリティに大きな脅威をもたらします。クラウド コンピューティングを使用する場合、データの正確な場所や、データがどの国に保存されているかさえわかりません。

2. プライバシー保護

クラウド コンピューティングが提供するサービスを利用する場合、データは SSL によって暗号化できますが、クラウド コンピューティングは複数のユーザーに同時にサービスを提供するため、お客様のデータは他のクラウド カスタマーのデータと一緒に保存される可能性があります。

3. 犯罪証拠収集

クラウドコンピューティングは、複数の企業に同時にサービスを提供し、複数の企業によるクラウドコンピューティングの使用を記録します。ある企業を調査する必要がある場合、クラウドコンピューティングを利用している複数の企業のログが一緒に記録されているという事実は、司法調査の困難さを高めます。

これにより、クラウド コンピューティングの普及には、より高い要件とより大きな課題が生じます。ネットワークセキュリティレベル保護システムでは、クラウドサービスプロバイダーとクラウドテナントが共同でセキュリティ責任を負い、セキュリティ保護対策を確立する必要があります。既存のクラウド環境では、境界セキュリティ保護と基本的な仮想ネットワーク保護の提供に加えて、より豊富なセキュリティサービスが不足しており、テナントに直接セキュリティサービスを提供することは不可能です。クラウドテナントがネットワークセキュリティ保護を便利に実装し、セキュリティ責任を果たすことは困難であり、コンプライアンスリスクがあります。