プライベートクラウド構築で考えるべきセキュリティ対策：システム構築の新標準（2/2 ページ）

[國谷武史，ITmedia]

メリットを引き出すためのポイント

　プライベートクラウドを導入することで得られるセキュリティ対策上のメリットはいくつもあるが、実際にこれらのメリットを実現するには、設計や構築の段階で考えなければならないポイントが幾つか存在する。石橋氏は特に、セキュリティ対策をグループで共通化していくためのプロセスと、ユーザー権限や認証における管理体制を指摘する。

　まずセキュリティ対策の共通化では、従業員1人当たりに掛かるコストを安価にすることが重要だという。セキュリティポリシーをグループ全体である程度共通化していても、個々のセキュリティ対策が親会社と子会社で異なる場合も多い。

　「例えば、予算が潤沢な親会社が入退室管理に非接触ICカードを導入していても、予算の少ない子会社は磁気カードのままというケースがある。クラウドユーザーの数が増えた段階でボリュームメリットを生かし、非接触ICカードを安価に一斉導入する方法もある」（同氏）

　ウイルス対策やスパム対策、フィルタリングといったセキュリティ対策も同様であり、石橋氏はこうしたサービスを揃えた場合でも、従業員1人当たり月額数百円程度になるのが理想的だという。

　プライベートクラウドでは、こうした機能を提供するUTM（統合脅威管理）アプライアンスなどを導入してコストをユーザー企業同士で分担する、もしくは外部のクラウド向けセキュリティ対策サービスをグループのシステムリソースへ組み込むことで、ユーザー数が拡大するのに合わせてコストメリットを高めていけるとしている。

プライベートクラウドでのセキュリティ対策（出展：ガートナー ジャパン）

　ユーザー権限や認証における管理体制では、管理の容易性を確保しつつも、堅牢な方法を準備する必要がある。プライベートクラウドの構築では、最初に分散していたシステムリソースを統合しても、業務アプリケーションなどは企業が個々に使用しているものが引き継がれるケースもあるという。

　「プライベートクラウドになると、システム管理者が把握しなければならないユーザー権限が一気に増えてしまう恐れがある。管理者の負担が大きくなれば管理体制が脆弱になり、特権ユーザーの権限などが悪用される危険性が高まるだろう」（同氏）

　プライベートクラウドの利用が進むことで、ユーザー権限の管理を簡素化するためにIDやパスワードを統合するなどの取り組みが想定される。しかし、IDやパスワードが第三者に漏れた場合に、なりすましによって不正アクセスされるシステムが広範になる恐れがある。

　石橋氏によれば、プライベートクラウドで先行する海外企業では、二要素認証を導入して、認証レベルを高めている。ワンタイムパスワードや、ユーザーが日常的に利用する環境の情報（IPアドレスやMacアドレス、時間帯など）を基にするリスクベース認証などを活用しているが、こうした対策でもコストと効果を考慮する必要がある。

　「ユーザーがIDやパスワードを忘れた場合に、ヘルプデスク対応をなるべくシステム化してコストを下げることが重要になる」（同氏）

　このほか、プライベートクラウドへの移行に伴ってデータセンターで運用するシステム規模も拡大する場合が多い。サービス障害などにつながる脆弱性が増加すると予想され、脆弱性対策も考慮すべきポイントになる。

　石橋氏はシステムに対する脆弱性診断の実施も勧めており、コストが発生するものの、サービス障害などのリスクを回避する有効な手段だという。脆弱性診断は、米国などでは一般的な取り組みだが、国内企業では定期的に実施しているケースが少ないといい、プライベートクラウドの導入で注目すべきセキュリティ対策となりそうだ。

　「プライベートクラウドはメインフレーム時代に戻るようなイメージだが、オープンシステムをユーザー自身で管理するという点で、ベンダー任せにしていたメインフレームとは異なる。安定運用に自信が持てるノウハウをユーザーがいち早く蓄積することが大切だ」（同氏）

過去のセキュリティニュース一覧はこちら