クラウドセキュリティの押さえどころ――前編：漠然とした不安を解消しよう（2/2 ページ）

[内山英子, 佐藤宏昭，京セラコミュニケーションシステム]

クラウドに適しているかで考える

　前述のようにクラウドコンピューティングでは、対象とするユーザーが「不特定多数か否か」、また、提供されるサービスの内容によって、セキュリティの観点が変わることになります。基本的には、クラウドの環境に「預けやすいもの」か「預けにくいもの」かでとらえることが重要です（図4参照）。

クラウドに「預けやすいもの」と「預けにくいもの」

　上図にあるように、預けやすいものとは「後から復旧できるもの」や「公開されても問題にならないもの」と定義できます。例えば、Webサイトなどは外部からアクセスすることを目的としていますので、バックアップやバージョンアップなどを外部に委託することに適したシステムです。一方で、個人情報が格納されているシステムは外部に公開する目的で運用されることはほとんどありませんので、「預けにくいもの」となります。このように、クラウドコンピューティングの利用では全てを預けるのではなく、特性に応じたものを優先的に預けていく必要があります。

　それでは、クラウドコンピューティングを利用する上でどのようなポイントに注目すべきなのでしょうか。この点について米国のクラウドコンピューティング推進団体である「Cloud Security Alliance（CSA）」と、欧州連合の情報セキュリティ監督機関「European Network and Information Security Agency（ENISA）」、日本では経済産業省からそれぞれに提示されています。各機関のポイントをまとめると、以下のようになります（図5参照）。

図5：CSA、ENISA、経済産業省が提示するクラウドのセキュリティのポイント

　このように、クラウドコンピューティングといっても、実際には一般的なITセキュリティと大きく変わるものではないことが分かります。むしろ、クラウドコンピューティングでは全般的なポリシーから、組織的なリスク・法的なリスク・技術的なリスクの対応が必要であるとされます。これらの対応策は次回解説します。

執筆者プロフィール

内山英子……ICT事業統括本部　事業推進部、公認情報システム監査人。大学卒業後に外資系企業にシステムエンジニアとして入社。数多くのIT企業の日本におけるスタートアップに携わった後、2002年に京セラコミュニケーションシステム入社。セキュリティ関連の事業開発責任者や米SOX法対応に関する同社のシステム導入プロジェクトに携わる。現在はICT関連事業のマーケティング、プロモーションを担当。

佐藤宏昭……ICT事業統括本部 セキュリティ事業部 情報セキュリティスペシャリスト。2001年京セラコミュニケーションシステムに入社。セキュリティ関連事業に従事し、侵入検知製品の担当を経て、ネットワーク診断や変更管理ソリューション関連の業務を担当。現在は同ドメインの課責任者を務める。