クラウド事業者に聞くべき15の質問――MS幹部がセキュリティ課題を指摘：利便性に潜む落とし穴（1/3 ページ）

Microsoftの主席セキュリティ戦略担当者のダグラス・キャビット氏は、クラウドサービス提供者と利用者の双方に、基本的なセキュリティへの取り組みが十分であるかを確認すべきだと指摘する。

[國谷武史，ITmedia]

キャビット氏

　このほど開催されたRSA Conference 2009 JAPANでは、米Microsoftでセキュリティ戦略主席担当を務めるダグラス・キャビット氏が講演を行った。同氏は、クラウドサービスにおける基本的なセキュリティ課題が山積みであるとして、サービス提供者および利用者が確認すべき事柄を説明した。

　同氏はまず、現在の主流となっているセキュリティ問題について、「ID・パスワード管理」「マルウェアの脅威化」「サイバー犯罪の高度化」「攻撃対象の拡大」を挙げた。「例えばID・パスワードは使い分けることが望ましく、わたしは80の組み合わせを利用している。しかし、一般ユーザーには大きな負担であり、攻撃者はソーシャルエンジニアリングなどの巧妙な手口で盗み出す」（同氏）

　また、最近ではテレビやゲーム機器などに加えて、エアコンや冷蔵庫、洗濯機といった生活家電製品もインターネットに対応するようになった。「こうした製品の脆弱性が悪用されてハッキング攻撃の踏み台になれば、セキュリティが大きな問題になるだろう」（同氏）。利便性を追求する新しい技術やサービスについて、同氏は基本的なセキュリティ対策が十分に考慮されているかどうかが不明瞭なままに提供され、普及してしまう危険性を指摘する。

基本的な対策をしないことの危険

　情報システムのユーザーやベンダーは、基本的なセキュリティ要件を意識しつつも、それが十分ではない場合に深刻な被害をもたらすことがあると同氏。

　最近では2008年末から2009年春にかけて猛威を振るった「Conficker」ワームが代表的な例となった。「われわれは流行する6週間前にパッチをリリースしたが、特に企業では適用が進まず被害が広がった。脆弱性管理は昔から重要な取り組みであり、Windows Updateを自動化している多くの個人ユーザーは保護された」（同氏）

　企業で被害が広がった背景には、パッチ適用問題以外にもユーザーIDやパスワードが脆弱な場合や、USBメモリといった新たなデバイスに対するセキュリティ対策が十分に考慮されていなかったことも問題になったという。

　一方、ベンダー側では脆弱性をなくすためのセキュリティを考慮した開発が十分に普及していないと同氏は指摘する。「米国で起きた情報漏えい事件では、ネットワークプリンタがハッキングされ、ユーザーがコピーした重要な文書が流出した。ベンダーがこうした脆弱性を発生させないことが重要であり、万が一見つかってもユーザーに被害が出ない構造や、迅速な対応が不可欠だ」（同氏）

　同氏は、Microsoftにおけるセキュリティを考慮した開発指針「Security Development Lifecycle（SDL）」を例に、脆弱性を最小化するための手法を紹介する。「脆弱性はゼロにはできないが、SDLでは限界まで減らすことを狙っている。脆弱性が見つかってもユーザーの利用環境に影響しないアーキテクチャにすることで、被害を最小化できる」（同氏）

SDLにおける開発フレームワーク

　例えば、OSにおける脆弱性件数はWindows VistaやWindows Server 2008が最も少ないという。「Hyper-Vはゲストマシンに与える影響が少なくなるよう設計しており、ハイパーバイザーが攻撃されても、ゲストマシンに与える被害はほかのハイパーバイザーに比べて小さい」（同氏）