クラウド時代のシステム監査 あなたが担当ならどうする?:“迷探偵”ハギーのテクノロジー裏話(2/2 ページ)
クラウドの長所と短所
誤解を恐れずに言えば、「なぜ企業はクラウドを真剣に検討、移行を行っているのか?」との質問の答えは簡単明瞭だ。ずばり、「コストが極めて安価」であるからに他ならない。
当然ながら、それでは反論される方が多いだろう。企業の系列や子会社、関係会社の問題とかいうケースも多少ある。だが、一般論としては差ほど間違っていないと確信している。なお自治体のクラウド利用は、コストというよりは、データの確保が優先されるので、例外である。
かつてはシステムの更改時に、ベンダーやSIerが分厚い設計書や企画書をユーザー企業に持ち込んだものだ。「わが社のシステム導入により、なんと4.7%もコストダウンが可能です」とかいう感じだ。しかし、クラウドはケタが違うのだ。
筆者もクラウドの技術サポートを行ってみて分かったのだが、多い場合にはそれこそ9割以上ものコストダウンにつながった。例えば、年間1000万円のコストがクラウドによって、たった80万円になる。そこまでは極端にしても、その多くは半減以上の成果につながっている。経営者にとって、こんなにすばらしいことはないだろう。「同じ機能が価格半分ですみまっせ!」というひと言が、どんな美辞麗句よりも経営者に刺さるのではないだろうか。
その反面、クラウドのさまざまな問題もだんだんと明るみになってきた。特に、昔から言われているのが「セキュリティ」の問題である。多くの専門家も指摘している。だが、筆者の経験では数多くのクラウドは、今まで構築されたシステムよりもセキュリティとしては「強化」されている。(ただし中小企業の場合)。
こうした中で昨年大きな話題になったものが「ファーストサーバ事件」だろう。この事件ではシステム監査における問題がクローズアップされた。事件そのものについては割愛するが、簡単にいえば、ユーザーがクラウド事業者に依存し過ぎてはいけないということになるだろうか。「ファーストサーバ固有の問題である」との指摘もあるが、やはりそこは、今まで盲点となっていたところに原因があると考えるべきかもしれない。データのバックアップは、さまざまなリスクを考慮すべきである。
「IT内部監査人―リスクに対処しマネジメントを支える役割と実務」(生産性出版、ISACA監査基準研究会著)によれば、クラウドにおけるシステム監査のポイントは、
- クラウド選択の適切性
- クラウド管理の整合性
の2つの視点で考えることとされている。この事件では(1)も(2)も不十分だったということになるだろう。
筆者が思うに、クラウドを組み込んだシステムにおける監査での一番の問題点は、「自社システムの独立性が担保できない」ことである(もちろん他にも問題点はあるが)。
例えば、当該システムのデータを個別に認識できない。米国のサーバの中にあるのか、それとも、イタリアのサーバか? 中国のサーバか? ブラジルのサーバか? これを一意に決められない。それは、クラウド事業者でも簡単には物理的な位置を見出せない場合があるということだ。
クラウドとは、所詮はバーチャルな世界の自社システムである。物理的な存在としては、さまざまな企業や団体のシステムを包含している。この(物理)サーバが自社のものと明確に証明することが極めて難しい。そのバーチャルな世界にあるシステムの監査は、今までのような方法とは異なる手法や考え方が必要となってくる。
情報処理推進機構(IPA)は、中小企業向けに「クラウドサービス安全利用のすすめ」を公開している。経済産業省では「クラウドサービス利用のための情報セキュリティマネジメントガイドラインについて」を公開している。
今後これらの監査は、恐らく急激に変化していくだろう。なぜなら、どの指針も、どのガイドラインも一般的な考えとしてはすばらしいが、個別具体的に「企業側からみてどうなのか?」と思うに点には触れられていない。技術者や監査人には参考レベルだが、現場にとってはこれだけでは物足りないと感じられるはずだ。
これからの監査は、例えば、「非破壊検査」のような具合にできないだろうか。システムに影響を与えず、あるエージェントデータをそのシステム内に流し込み、そのデータがどうシステム内部をめぐっていくのか――これを「見える化」する。バリウムを飲んで胃を検査するようなものである。
システム監査や情報セキュリティ監査とは、究極的には、そのシステムが概念設計書やプログラム仕様書通りに動いていることを調査するのが目的である(もちろんそれらの設計書自体が適切である前提なのだが)。サンプリングチェックはしたほうが望ましいが、単に文書やソースリストを眺めてチェックするというは、過去のものだ。そうしなければ、クラウドを透過的に検査することなど、相当に難しいだろう。
もちろん、システム管理基準からのアプローチやJIS Q27002への適用といった学術的な対応は清々と作業を行うべきだが、その反面、企業における具体的な対応策については、もっときめ細やかな対応が望まれるのである。
萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。