クラウド事業者に聞くべき15の質問――MS幹部がセキュリティ課題を指摘:利便性に潜む落とし穴(3/3 ページ)
クラウドへ導入すべきユーザー確認
キャビット氏は、クラウド利用に際して「Claim-Based Access」という認証フレームワークの導入を推奨する。
Claim-Based Accessでは、ユーザーがサービスへの接続を希望する際にサービス側がIDとは異なる接続要件を提示する。ユーザーは要件に必要な情報を第三者的な認証サービス機関に申請し、その内容が確認されれば、接続を認めるトークンを認証サービスがクラウドサービスに対して提供し、ユーザーに接続を許可するという仕組みだ。
Claim-Based Accessの仕組みユーザーは、ID以外にサービスを利用する資格を提示しなければならず、本人確認の正確性が高まるという。この際、認証サービス機関が信用できる存在であることが必須である。Microsoftでは、Claim-Based Accessを「Geneva」というコード名でWindows CardSpaceサービスに実装しており、米国では製造業界で従業員が設計データをやり取りするといったシーンで使われているという。
「すべてのデータ、行為が保証される信頼できる機関を構築する。そして構築するだけでなく、ユーザーがコンプライアンスに基づいて常に監査や評価を行わなくてはならない」(同氏)
こうしたフレームワークは、大規模であり、構築・運営するにはコストが掛かるものの、クラウドという新たなコンピューティング手段のセキュリティ対策には欠かせないものだという。
「クラウドによって、クライアントやデータはあらゆる場所に移動する。今後のセキュリティ対策では、それらを前提にホストへの対策を強化し、データそのものを保護していかなければならないだろう」と同氏は指摘している。
関連記事
不正アクセスによるサービス停止――事例から学ぶセキュリティ対策
ゴルフダイジェスト・オンラインは、2008年秋に不正アクセス攻撃を受け、8日間のサービス停止を図った。同社COOがこの事件から学んだセキュリティ対策のポイントを紹介している。
個人情報保護法が生んだ新たな問題――一橋大の堀部名誉教授
2005年の個人情報保護法の施行以後、企業や公共団体における個人情報の取り扱いは繊細な課題となった。同法の立案にも関わった一橋大学名誉教授の堀部政男氏は、日本における個人情報保護での課題を指摘した。
企業とベンダーはセキュリティ投資を再考すべし――基調講演から
RSA Conferenceの基調講演に登壇した奈良先端科学技術大学院大学の山口英教授は、企業のセキュリティ投資の縮小が経営リスクを高めるとして、投資効果を高めていくためのポイントを挙げた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。