クラウドの弱点は使う人にあり:クラウド・ビフォーアフター
ビジネスアプリケーションをクラウド化していくと、複数のサービスを組み合わせて使うようになります。1カ所からパスワードが漏えいしてしまうと、芋づる式に被害を受ける可能性があります。
前回は、クラウドコンピューティングを3つの形態―SaaS、PaaS、IaaS―に分けて紹介しました。クラウドサービス利用者にとって、技術的に深いところまで理解する必要はないかもしれませんが、最低限の分類を知っておくことで、自分が求めるクラウドサービスは何なのかを整理できることでしょう。
→クラウド・ビフォーアフター:結局SaaS、PaaS、HaaSって何さ?
ネットが遅い、つながらないとき
今回は、クラウドコンピューティングの弱点について触れてみます。クラウドコンピューティングとは、インターネットを使って、ハードウェア、ソフトウェア、あるいはデータそのものといったITリソース(資源)を必要なときに、必要な分だけ利用するものです。
この「インターネットを使って」という部分こそが、クラウドの特徴であり、同時に弱点にもなります。つまり、ネットワークにつながっていなければ、クラウドコンピューティングは100%の力を発揮できないのです。
元々、インターネットというインフラは、ベストエフォート型※です。ビジネスユースのサービスでは、SLA(サービス品質保証契約)を結ぶものが多いのですが、サーバダウンやネットワークの遅延から完全に解放されるものではありません。
また、いつでもどこでも超高速回線を利用できるとはいいきれないことを忘れないようにしたいものです。例えば、海外出張で、現地のインターネット接続環境が貧弱だと嘆いた経験はありませんか? 国内でも携帯電話やPHS網を使ってクラウドサービスにアクセスしようとして、「アンテナが立ってない!」とか「ネットワークが重くて、Webブラウザが反応しない」とか焦った経験はありませんか?
当たり前だけど怖い、ID/パスワード管理
もう1つ、クラウドの弱点になり得るものを取り上げます。それは、ユーザーIDとパスワードの運用です。とはいっても、これはIT利用に共通する話。「同じパスワードを使い回さない」「容易に類推されるパスワードを使わない」「定期的にパスワードを変える」といった注意を、IT管理者やセキュリティ担当者から耳にたこができるほど聞かされていることでしょう。
クラウドサービスを利用する場合、Webブラウザ上でユーザーIDとパスワードを入力することから始まります。どこからでも利用できるからといって、ネットカフェ、ホテルや飛行場のラウンジで利用するPCにIDやパスワードは残さないでください。
ビジネス向けのクラウドサービスの場合、ユーザーIDとパスワードのほかに、会社や組織を識別するIDが要求されることがあります。そして、往々にしてユーザーIDは会社で使っているメールアドレスと同じであることが多いのではないでしょうか。
会社で使っているメールアドレスは、ほぼ公開情報に等しいものです※。また、所属組織を識別するIDは、類推しやすいでしょう。そして、この2つは、複数のクラウドサービスで同じものを使っている可能性があります。
また、複数のクラウドサービスで共通のパスワードを使っていませんか? セキュリティポリシーによって、一定期間ごとにパスワードを変更するように指導している企業は多いようですが、ユーザーIDごとに異なるパスワードを設定するところまで言及しているでしょうか?
すべてのクラウドサービスで同一IDとパスワードを使いまわすのは危険このような状況でパスワードが流出すると、芋づる式に複数のクラウドサービスが不正アクセスを受ける可能性が高くなります。その結果、重要データが漏えいしたり、企業内サーバがクラッキングを受けたりするかもしれません。
参考までに、セキュリティコンサルタントの上野宣氏(トライコーダ代表取締役)に聞いた話を紹介しましょう。Biz.IDの読者なら誰でも知っているであろうWebサービスのエンジニアが、Gmailのパスワードを盗まれたという話です。
Gmailには利用者がパスワードを忘れたときに、パスワードをリセットする手順をメールで通知する機能があります。それを使うと、Webブラウザには通知先のメールアドレスが本人にだけ分かるような形で表示されます。
例えば、「***@h******.comに送信された手順をご覧ください」という具合です。攻撃者は、このあて先をhotmailだろうと推測しました。そして、GmailのユーザーIDから連想できるユーザーIDをHotmailで探すと、それはすでに無効(空き)になっていたのです。攻撃者は、まんまとGmailに保存されていたメールを読み漁ったのです。
この結果、何が起こったのかというと、このITエンジニアが利用していたさまざまなサービスのパスワードが軒並み盗まれました。社内情報共有に利用しているGoogle Appsの文書も流出します。これは、2009年にTwitter社内で発生した実話です。
みなさんも、気に入っていて、使い慣れたアカウント(ハンドル)を複数のクラウドサービスで使っていませんか?
関連記事
- クラウド・ビフォーアフター
結局SaaS、PaaS、HaaSって何さ?
クラウドというキーワードが包含する技術的要素が多岐にわたっていることが「雲をつかむような話」になっている理由。まずはSaaS、PaaS、Haas/IaaSについて、解説しましょう。
クラウドコンピューティングが注目される3つの理由――「コスト」「柔軟性」「敏捷性」
「クラウドっていうのはIT業界の宣伝文句じゃないのかい?」いえいえ、注目されるにはそれなりの理由があるのです。
デメリットを逆転! Webメールならアウトソーシングがおすすめ
Webメールのメリットは、PCや携帯電話などの端末を選ばず、どこでも受信できること。特にサーバ上に蓄積したメールを閲覧するIMAP形式の場合はそのメリットを享受できる。一方、サーバの管理がデメリットになり得る。こうしたデメリットをどうしたら軽減できるだろうか。
IMAP&Webメールって何? ローカルPCで受信しないメリットとは【初心者編】
Webメールサービスの導入が進んでいる。今回の「Webメール特集」では、これらのWebメールについて、仕組みや使い勝手、どういうプランで導入したらいいのか――などに触れていきたい。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。