コラム
» 2009年07月21日 16時04分 UPDATE

クラウドはセキュアではない:Twitterのデータ漏えい騒動からIT幹部が学ぶべき10の教訓

Google Appsを利用しているTwitterの社内情報が流出した事件は、決して人ごとではない。クラウドサービスを安全に使うための10カ条を紹介する。

[Eric Lundquist,eWEEK]
eWEEK

 最近、あるハッカーがTwitterの従業員のGoogleアカウントにアクセスするという事件があった。Twitterでは、文書作成と情報共有の手段としてGoogle Docsを利用している。ハッカーはこれらの文書を入手し、それをTechCrunchに送りつけたらしい。TechCrunchはこの情報の大部分を公開することを決めた。この一連の出来事は、Webの世界に大論争を巻き起こした――TwitterがGoogleのアプリケーションを利用したのは、賢明なことであったのだろうか? 1件のハッキングで企業秘密が暴かれるというような状況の中で、Googleは企業ユーザーの間で信頼を構築できるのだろうか? TechCrunchが盗まれた文書を公開したのはジャーナリズムの精神に反するのではないだろうか?――などさまざまな疑問が飛び交った。

 Twitter・TechCrunch騒動から企業幹部とITプロフェッショナルが学ぶべき教訓はたくさんある。

1. クラウドはセキュアな環境だと思ってはならない

 クラウドコンピューティングが大流行だ。アプリケーションを拡張する、ニーズの変化に柔軟に対応する、情報を広範に共有するといったことが簡単に行えるからだ。しかし誰でも容易にクラウドにアクセスできるということは、クラウドがセキュアな環境ではないということでもある。

2. クラウドは社内ネットワークよりも厳格なセキュリティ手続きを必要とする

 あなたは社内のネットワークで最も重要な企業情報を防護するのに、ユーザー名とユーザーが作成したパスワードしか使っていないのだろうか。そんなことはないはずだ。

3. ハッキングされた後でセキュリティ手続きを導入しても意味はない

 セキュリティは多層的なアプローチでなければならない。例えば、自社の5カ年計画、財務情報、給与データなどと比べて、それほど厳しいセキュリティを必要としないような情報もある。こういったことを事前に考慮しておかなければ、後で代償を払わされることになる。夜のニュースで会社の名前が出てからでは遅いのだ。

4. セキュリティの構築では他人の善意を当てにしてはならない

 自らイニシアチブを取ること。わたしはGoogleアプリケーションの使い勝手とアクセスの容易さを気に入っているが、アクセス権限、セキュリティ手法、責任の所在などに関して十分な議論を尽くさない限り、これらの機能を自社のセキュリティフレームワークに含めたりはしない。また、ホワイトハットハッカー(善良なハッカー)にわたしの計画をチェックしてもらうことを検討するかもしれない。

5. 旧世代のITスタッフが若年スタッフに教えることもある

 「ビジネス2.0」の世界はクールでエキサイティングだが、セキュリティホールもたくさんある。サーバルームで働くシルバー世代が学んできたセキュリティ手続きは時代遅れに思えるかもしれないが、これらの手続きは社内で最も重要な資産を保護するために策定されたものだ。

6. コンプライアンスを考慮する

 社内の情報を金庫内のローカルサーバに保存していようが、クラウドコンピューティングプラットフォーム上に置いていようが、コンプライアンス問題に考慮を払う必要がある。責任を追及するだけでは、株主も司法当局も納得させることはできない。

7. 誰を信用するのか

 プライベートクラウドとパブリッククラウドを融合した新しいコンピューティングモデルは非常に合理的な方式だ。しかしその場合でも、重要な情報については厳しくコントロールする必要がある。クラウドベンダーを利用するのであれば、そのベンダーのITインフラに対してどの程度のコントロールを行使できるのか? 自社の基準に合わせてベンダークラウド環境を修正できるのか、それとも与えられたものを受け入れるしかないのか?――こういったポイントを検討すべきだ。

8. コンシューマーのニーズと企業のニーズを混同しない

 Googleのアプリケーションはリトルリーグの選手名簿や日程表、お気に入りのバーベキューレストランのリストといった情報を共有するのに適している。しかし会社の財務予測のような情報を共有するのには適していない。業務には適切なツールを使用すること。

9. 他人の失敗から学ぶ

 あなたの会社はTwitterではないが、ハッキングコミュニティーのターゲットにならないという保証はない。あなたの会社で最も重要な社内情報が現在、Webベースのサービスを通じて共有されているかもしれない。会社の重役がGoogle Appsなどの共有型クラウドアプリケーションを利用しているか確認してみるといい。きっと、大量の情報がクラウド内でやりとりされているのを知って驚くことだろう。

10. 強力なパスワードを使用し、定期的に変更する

 社内情報がクラウドに流出するのを防ぐことはできないかもしれないが、少なくとも、割り出すのが難しい強力なパスワードを使うよう従業員にアドバイスする必要がある。Googleはそれに役立つツールを提供しており、ログインに何度か失敗すると、それ以降はログインできなくなる回数制限機能も用意している。たとえ社内基準を満たさないとしても、クラウド内で提供されているこういった機能を利用すべきだ。

原文へのリンク

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -