クラウドセキュリティの押さえどころ――後編漠然とした不安を解消しよう(1/2 ページ)

クラウドは、コスト削減や変化する環境に対応する手段として注目される一方で、その新しい仕組みを利用することに不安を感じる企業が少なくありません。後編では、クラウド特有のセキュリティリスクとその対応策について解説します。

» 2011年03月17日 08時00分 公開
[内山英子, 佐藤宏昭,京セラコミュニケーションシステム]

 前編で取り上げたように、クラウドコンピューティングには幾つかの種類や特徴があります。クラウドを利用する際には、その種類や特性に応じてクラウドに「預けやすいもの」と「預けにくいもの」に分ける必要があります。クラウドコンピューティングのセキュリティは、実際には一般的なITセキュリティと大きく変わるものではありませんが、組織的・法的・技術的なリスクからクラウド特有の対策を検討することが求められます。後編では、クラウドコンピューティングにかかわるセキュリティのリスクとその対応策について解説します。

クラウドにかかわるリスク

 クラウドコンピューティングは、主にインターネットを経由し、外部にあるリソースを利用します。特にパブリッククラウドでは、外部の事業者(クラウド事業者)に預ける形態となるため、クラウドコンピューティング特有のリスクを考慮しなければなりません。クラウド特有のリスクには、大きく「仮想化技術のセキュリティ」と「外部に預けるリスク」があります。

仮想化技術のセキュリティ

 仮想化技術におけるセキュリティの懸念事項には、「仮想環境内」と「仮想環境間」の2つの種類があります。

 仮想環境内のセキュリティのリスク対策では、仮想マシン上のOSやミドルウェアの脆弱性管理が重要です。仮想マシンのデバイスを攻撃することで、管理OSの乗っ取りや悪意のあるコードを挿入する「I/O Fuzzing攻撃」や、悪意のあるコードにジャンプする仕組みをメモリ内に敷き詰め、メモリーエラーを引き起こす脆弱性などが明らかになっています。

 仮想環境間のセキュリティでも脆弱性によるリスクが明らかになっています。管理OSが乗っ取られた場合、仮想化技術の標準機能(例えばVMwareではIntrospection機能)を用いることで、仮想マシンのメモリを参照される可能性があります。

 この他に、仮想環境における仮想ネットワーク上のアクセス制御などの対策も必要です。仮想マシンの環境を復旧する際に、「RootKit」(コンピュータシステムへのアクセスを確保した上で、侵入者などの第三者によって使用されるソフトウェアツールのセットであり、ユーザーに察知させることなく侵入者がシステムへアクセスできることを目的としたもの)を仕込まれてしまうリスクも明らかになっています。

 仮想化技術に対するセキュリティ懸念はまだ研究途上であり、今後より具体的に明らかになるでしょう。このような状況の中では、仮想化製品や技術の脆弱性、もしくはそれに付随する脆弱性の診断を定期的に行い、対策をとることが今日の現実解と言えます。

外部に預けるリスク

 これはクラウドコンピューティングの根本的な問題です。パブリッククラウドでは、クラウド事業者に企業のデータを預けた場合、クラウド事業者が特権ユーザーの権限を利用して、全ての作業を行えてしまうリスクが存在します。つまり、クラウド事業者の運用者や管理者であれば、自由自在に企業が預けたデータを利用できるということです。

 クラウド事業者を選定する際には、責任範囲やセキュリティ要件を明確にした上で、検討する必要があります。過去の信頼関係やサービス料金といった基準だけではなく、運用方法や情報資産の内容に応じたチェックリストを作成して、事業者に確認すべきでしょう。例えば、クラウド事業者におけるID管理については、一般ユーザーや特権ユーザー、その他のクラウドに預けたデータにアクセスすることができるIDの管理を検証し、正しい運用がされているかを確認する必要があります。この他にも、確認すべきチェックポイントが幾つかあります(図1参照)。

図1:クラウドコンピューティング 情報セキュリティ確保のためのフレームワーク(出典:ENISA、翻訳:情報処理推進機構)
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ