企業はクラウドセキュリティの問題を弁証法的に捉える必要がある

セキュリティ問題に関する小さな提案でさえ、クラウド コンピューティング プロジェクトを台無しにし、クラウド コンピューティングの計画プロセス全体とその計画者に疑問を投げかけるのに十分です。これを回避するには、企業はセキュリティに対して批判的なアプローチを取り、新たなリスクの管理強化に重点を置き、許容できるリスクのレベルを理解する必要があります。

[[236463]]

ほとんどの問題は、組織が理想的な状況下でクラウド コンピューティングのセキュリティを評価するために発生します。まったく新しいアプリケーションをクラウドで実行することを検討する企業はほとんどありません。多くの場合、既存の成熟したアプリケーションをクラウドに移行したいと考えます。つまり、アプリケーションのセキュリティを完全に評価するのではなく、クラウド コンピューティングのセキュリティを現在のデータ センター ホスティングのセキュリティと比較することになります。

この観点から見ると、クラウド コンピューティングのデータ セキュリティ評価とは、許容可能なリスクを決定することを指します。すべてのリスク管理の類推と同様に、セキュリティ リスク管理はリスクとコストを比較検討するプロセスです。既存のデータ センターで実行されている既存のアプリケーションのリスクを評価し、クラウドでアプリケーションを実行するリスクについて考慮することが非常に重要です。クラウドでアプリケーションを実行するリスクは、多くの場合、許容できるリスクよりも高いためです。これにより、クラウド コンピューティングのセキュリティに関連するコストが原因で、クラウド コンピューティング プロジェクトが経済的な理由で失敗するという事態が起こらないようになります。これは現実には起こり得るシナリオです。

従来分類すると、アプリケーション セキュリティは、ネットワーク傍受、アプリケーション アクセス、物理データ セキュリティの 3 つのレベルに分けられます。以下では、クラウドコンピューティングと現在の手順の違いを中心に、一つずつ紹介していきます。

ネットワーク傍受

ネットワーク傍受とは、ネットワーク トラフィックを監視することで、権限のない第三者が機密データを閲覧できるリスクです。ネットワーク傍受のリスクは、Wi-Fi、3G、4G などのワイヤレスでアプリケーションにアクセスする場合に最も高くなりますが、ほとんどの場合、アプリケーションをクラウドに移行しても、ワイヤレス テクノロジを使用するユースケースは変わりません。たとえば、企業がユーザーが公共の Wi-Fi ホットスポットを通じてクラウドベースのアプリケーションに頻繁にアクセスすることを望む場合、SSL 暗号化テクノロジを使用してデータ フローを保護できます。ブラウザ経由でアクセスするアプリケーションの場合、安全な https URL を提供できますが、クライアント ソフトウェアを使用するアプリケーションの場合、SSL 暗号化テクノロジに基づくセッションが実装されるようにアプリケーションを再開発する必要がある場合があることに注意してください。

キー管理は、クラウド コンピューティングにおけるアプリケーション セキュリティを確保する上で最大の問題です。最も一般的な方法は、アプリケーションのセキュリティ キーをアプリケーション イメージに保存することです。これをクラウド コンピューティング アプリケーションで実行すると、キーはクラウド コンピューティング プロバイダーが保持するマシン イメージの一部となり、マシン イメージが保存されているデバイスにアクセスできる悪意のある人物によって盗まれる可能性があります。公開鍵ストレージ サービスまたはテクノロジを使用すると、クラウド内の鍵、アプリケーション コード、およびデータが盗まれることがなくなります。

アプリケーションアクセス

クラウド コンピューティングにおけるアクセス セキュリティも大きな懸念事項となることがよくありますが、実際にはリスクはまったく増大していません。インターネットを使用してアプリケーションにアクセスしている場合、もちろん、上記のように SSL と暗号化キーを正しく管理していれば、インターネット経由でクラウド内の同じアプリケーションにアクセスしても追加のリスクはありません。インターネット アクセスの代わりに仮想プライベート ネットワーク アクセスを使用する予定の場合、特にインターネット VPN を作成する場合は、新たな課題が生じます。

インターネット VPN では通常、IPsec 暗号化システムが使用されます。これは SSL とは異なるセキュリティ テクノロジで、ユーザー グループを作成し、そのデータ トラフィックはユーザー グループとネットワーク間のソフトウェアとハ​​ードウェアによって暗号化および復号化されます。企業が独自の内部 VPN で IPsec テクノロジーを使用する場合、クラウド コンピューティングに追加のセキュリティ リスクは発生しません。ただし、クラウド コンピューティング プロバイダーは通常、クラウド コンピューティング データ センターへのセキュリティ機能の追加をサポートしていないため[注]、各クラウド コンピューティング アプリケーションへの IPsec VPN 接続をサポートするソフトウェアが必要になる場合があります。通常、これは各アプリケーション マシン イメージの一部であり、ミドルウェアの一種です。現在の IPsec プロバイダーに問い合わせて、クラウド互換の IPsec 機能が利用可能であることを確認してください。

物理的なデータセキュリティ

データ資産の物理的なセキュリティは、ほとんどのユーザーにとって最大の懸念事項であり、プランナーにとって解決するのが最も難しい問題でもあります。機密情報がクラウドに保存されている場合は、クラウド プロバイダーのセキュリティ資格情報を確認することが非常に重要です。 Cloud Security Alliance (CSA) の Open Certification Framework (OCF) など、多数のクラウド コンピューティング セキュリティ コンプライアンス フレームワークが登場していますが、問題は、これらのフレームワークがまだ完全に開発されていないことです。機密情報をクラウドに保存する予定の場合は、クラウド コンピューティング プロバイダーが提供するフレームワークと、そのフレームワークが実際のニーズを満たすかどうかを確認する必要があります。ほとんどのクラウド コンピューティング プロジェクト プランナーが直面する最大の問題は、クラウド コンピューティング ベンダーのフレームワークがコンプライアンス要件と政府規制をサポートしているかどうかを判断することです。このレビューは、必要に応じて政府の規制当局と協力して、社内監査部門または法務部門によって完了する必要があります。

クラウド コンピューティング プロジェクトでは、機密データの保存を排除することで、データの物理的なセキュリティの問題を軽減できる可能性があります。アプリケーションがブロックレベルのアクセス読み取りおよび書き込み操作ではなく、構造化データ アクセス メソッド (DBMS/RDBMS クエリ処理) を使用する場合、アプリケーションがクラウドに移行されている間、データ ストレージ モジュールを企業内に保持できます。

クラウド セキュリティ オプションを調査するクラウド プロジェクト プランナーにとって、独立した監査も考慮すべき事項です。厳格なコンプライアンス要件を持つ企業では、クラウド コンピューティング戦略を第三者によって認定する必要がある場合もあります。社内の IT に適切な監査サービスを提供するコンプライアンス監査会社がある場合、その会社がクラウド コンピューティングのコンプライアンスとセキュリティの監査に最適な選択肢である可能性が高くなります。そうでない場合は、クラウド コンピューティング ベンダーと、ベンダーが推奨するセキュリティ コンプライアンス監査会社のリストを作成します。まず、実績に基づいて上位 3 社を選択し、その 3 社に連絡してプロジェクトの入札を依頼します。