クラウドサービスのセキュリティ、本格利用する前の注意点とは

パブリッククラウドのような外部サービスを企業が利用する際に、どのようなセキュリティ対策を検討すべきか。ガートナーが推奨する施策を紹介しよう。

» 2010年11月02日 08時00分 公開
[國谷武史,ITmedia]

 企業がクラウド型サービスを利用する上で、最も懸念するのがセキュリティだと言われる。特にパブリッククラウドのような外部サービスは、ユーザーによる情報管理が難しく、セキュリティリスクが高まると心配する声が根強い。ガートナー ジャパン主催のカンファレンス「Gartner Symposium ITxpo 2010」では、セキュリティおよびリスク分野を担当するリサーチディレクターの石橋正彦氏が、外部サービスを利用する上でのセキュリティ対策を解説した。


ガートナー ジャパン リサーチディレクター 石橋正彦氏

 石橋氏によれば、外部サービスのセキュリティリスクが顕在化した出来事の1つが「Gumblar攻撃」である。Gumblar攻撃は、正規のWebサイトを改ざんして閲覧者を不正サイトに誘導し、マルウェアに感染させたり、情報を盗み出したりする攻撃だ。国内では2009年から今年初めにかけて多発した。

 ガートナーが今年5月に実施した調査では、760社の企業のうち2.6%がGumblar攻撃に遭遇したと答えた。また、Gumblar攻撃の標的となるWebサーバの運用管理を外部サービスに委託している企業は45.6%に上った。こうした企業では、Webサーバを管轄しているのが広報やマーケティング部門であり、情報システム部門がほとんど関与していない実態がうかがえるという。

 Gumblar攻撃では、複数の企業からWebサーバの運用を受託しているサービスプロバイダーから管理用のログイン情報が流出したケースも報告されている。攻撃者は不正に入手したログイン情報を使って、幾つものWebサイトを改ざんした可能性が高い。このように外部サービスの提供元で何らかのセキュリティ問題が発生すると、ユーザーへの被害が連鎖的に広がる恐れがある。

 そこで石橋氏は、アプリケーションやデータそのものに悪用を防ぐ対策を適用することが重要だとアドバイスしている。同氏が推奨するのが、デジタル著作権管理技術(DRM)や「セキュリティインフォメーションイベントマネジメント」(SIEM)の利用である。

 DRMはマルチメディアコンテンツの保護などに広く利用されているが、これを外部サービスで利用するドキュメントデータにも適用する。「例えばクラウドで共有する図面データにDRMを付与する。データを利用する際に必ずユーザー企業のサーバで認証する仕組みにすれば、第三者がデータを入手しても利用できない」(石橋氏)

 SIEMは、さまざまなログ情報の中からセキュリティ問題につながる情報を発見することで、問題を回避する手法となる。外部サービスでの対策としては、特にコンピュータで操作された内容を画面データとして録画・保存することで、アプリケーションのセキュリティレベルを高められるという。

 例えば業務担当者のミスや不正行為によって情報漏えいが発生すれば、録画内容からその行為を明らかにすることができる。また、監視によって不正行為への抑止効果も期待される。業務を外部に委託している場合、委託先の作業内容を委託元が直接管理することは難しいが、こうした手段の導入を取引条件とすることで、業務委託でのセキュリティリスクを軽減させるという具合だ。


 石橋氏は、クラウドにおけるセキュリティ動向として、「マネージドセキュリティサービスプロバイダー」(MSSP)と呼ばれるセキュリティサービス事業者の役割も注目されると指摘する。具体的には、インターネットサービス事業者やセキュリティベンダーが、迷惑メール対策やウイルス対策などをサービスとして提供するものだ。

 MSSPを利用する最大のメリットは、セキュリティに関する専門的なアドバイスや高度なサポートを受けられる点だという。例えば自社で迷惑メール対策を講じていれば、迷惑メールを検知する仕組みを独力で更新し続けていく手間がある。誤検知によって正規のメールが行方不明になれば、担当者が捜索しなくてはならない。専門の外部サービスを利用すればこうした負担が解消され、IT部門が本来の業務に専念できるようにもなる。

 上記に挙げた対策を導入していくには、まず現状を正しく把握する必要がある。石橋氏は、そのステップとして、自社のシステムにどれだけ外部委託先が関与しているかをすぐに調べ、全面的に委託しているシステムではそのサービスのセキュリティレベルを再評価することを推奨している。そして、サービス提供者のセキュリティ対策に不備があれば、システムを自社運用に戻すか、別のサービスを切り替えるかという検討を中期的に実行すべきだと述べている。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.