「クラウド」と「モバイル」時代に備えたセキュリティの取り組み方（1/2 ページ）

ITの注目キーワードとなっている「クラウド」や「モバイル」。これらに関連する製品やサービスを導入する際に、企業のセキュリティ管理者が講じるべき留意点はどのようなものか。ガートナーのアナリストが講演で語った。

[國谷武史，ITmedia]

　企業ITの分野でここ数年の注目キーワードとなっているのが「クラウド」や「モバイル」だ。こうしたキーワードに関連する製品やサービスを企業が本格導入する際に、セキュリティ管理者はどのような対策を講じるべきだろうか。Gartnerが国内で初めて開催したカンファレンス「セキュリティ＆リスク・マネジメント サミット」では、ガートナージャパン リサーチ ディレクターの石橋正彦氏がポイントを紹介した。

セキュリティインシデントが複雑化

石橋正彦氏

　最近のセキュリティインシデントの特徴について、石橋氏はインターネットサービスやモバイルの普及がリスクを複雑化させ、その影響範囲も当事者が事態を収束できない規模に広がるようになったと警鐘を鳴らす。

　例えば2010年には、世界各国の外交機密文書がWikileaksに流出したり、尖閣諸島沖で中国漁船と海上保安庁の巡視船が衝突した映像がYouTubeに流出したりする事件が注目を集めた。いずれも情報を保有する側が非公開とした内容がインターネット上に公開され、誰でも閲覧できる状態になった。企業でこうした事態が起きれば、重要なデータがあらゆる端末を通じて拡散するため、流出経路や影響範囲を特定して収束させることが事実上不可能になる。

　石橋氏によると、企業向けに提供されるセキュリティ技術は「ID・アクセス管理」「データ・アプリケーション保護」「インフラ保護」の3つに分類される。これまでは、PCやサーバに重要なデータが格納されるケースが多いことから、「インフラ保護」に当たるエンドポイントの対策に重点が置かれてきたという。

　だが、ITリソースやデータをネットワーク越しで利用するクラウドでは、ユーザーが正規の権限を持つ人物であるか、また、データとそのデータを処理するアプリケーションが安全な環境にあるかも重要であり、従来以上に「ID・アクセス管理」や「データ・アプリケーション保護」を強化しなければならない。

クラウドのセキュリティ技術に注目を

　クラウドの普及に伴って、「クラウドのセキュリティ」も本格的に議論されるようになった。しかし石橋氏は、議論の焦点がガイドラインや制度など「管理」の視点に寄り、実際にセキュリティを確保するための技術の議論が進んでいないと指摘する。

　前述した「ID・アクセス管理」や「データ・アプリケーション保護」を実現するクラウドでのセキュリティ技術として、石橋氏が取り上げるのが「デジタル著作権管理（DRM）」「Webベースのシングルサインオン（SSO）」「仮想化環境のセキュリティ」「特権IDの操作ログ管理」である。

　DRMは、データの利用権限をファイル単位で付与することにより、権限の無い人間による悪用を防ぐ。例えば、尖閣諸島問題の映像流出でも映像ファイルに適切なDRMを付与していれば、誰もが閲覧できる状況にはならなかったという。

　WebベースのSSOは、ユーザー権限の安全性を確保しつつ、フェデレーションと呼ばれるID連携の仕組みを利用して、クラウドサービスの利便性を高める。ユーザー情報の本体はユーザー側で保有し、外部のサービスを利用する際に、ユーザー情報を別の形に置き換えて認証を行うことで、外部サービス側にユーザー情報の本体を提供するリスクを軽減する。

　「仮想化環境のセキュリティ」や「特権IDの操作ログ管理」は、国内ではあまり普及していないという。仮想化環境におけるセキュリティリスクは、さまざまなものが専門家やベンダーの間で想定されているが、石橋氏は特に特権IDの運用に注目している。

　例えばクラウド事業者がシステムをメンテナンスする際に、ユーザーの仮想マシン環境に特権IDでアクセスする場合が想定され、作業が適切に行われているかを第三者視点が管理できる仕組みが重要になる。製品の中には、コンピュータ画面を録画して特権IDで行われた操作をチェックできるものもあり、こうした製品の活用が期待されるという。

　石橋氏が紹介した技術や製品の中には、既に市場で広く利用されているものも多い。実績のある技術や製品から導入して、クラウドに対応したセキュリティを実現していくアプローチが現実的なようだ。

　また、クラウド利用が広がればインターネットに接続する機会も必然的に増えることになり、悪質なWebサイトに接触してしまうリスクが高まる。現状の対策技術は、特定された悪質サイトへの接続を遮断するURLフィルタリングが中心だ。石橋氏は、今後URLフィルタリングがさらに進化し、より多くの視点で危険性を自動的に解析してリスクを軽減する「セキュアWebゲートウェイ」という技術が注目されるという。