マルチクラウド時代のセキュリティ第一歩「責任共有モデル、線引きはどこ?」進むIaaS活用 強いセキュリティの実現術(1/2 ページ)

IaaSを使うときの「責任を共有するモデル」に関しては分かったものの、クラウドベンダーはどうやってセキュリティ対策をしているのだろうか。

» 2020年03月18日 07時00分 公開
[宮田健ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Microsoftは、世界で「Microsoft Azure」(以下、Azure)を展開している。大企業、中小企業、業種、業態を問わず多くの企業で「Windows 10」や「Windows Server」などが利用される。もはや当たり前のように業務でMicrosoftのプロダクトが存在する昨今、クラウドにおいてMicrosoftはセキュリティをどのように担保しているのだろうか。

 今回はクラウドビジネスに携わる、日本マイクロソフトの佐藤壮一氏(マーケティング&オペレーション部門 Azureビジネス本部 製品マーケティング&テクノロジ部 プロダクトマネージャー)に、Microsoftが考えるIaaS(Infrastructure as a Service)のセキュリティの起点と現状、そして私たちが何をすべきかを聞いた。

オンプレミス、IaaS、PaaS、SaaSはつながっている

日本マイクロソフトの佐藤壮一氏

 IaaSは、ベンダーと利用者が管理すべきエリアが明確に分かれている。これまでのオンプレミスの仕組みであれば、利用者がリソースを調達して、システムを構築し、利用者に全ての責任があった。

 AzureやAmazon Web Servicesなどクラウドサービスは、ベンダーがサーバやストレージ、ネットワークに対してセキュリティの責任を持ち、利用者がその上で動くホストOSや開発環境、アプリケーション、データの管理に対して責任を持つ「責任を共有するモデル」(責任共有モデル)を採用している。

 とはいえ、MicrosoftはIaaSだけを販売するベンダーではない。これまでのようにオンプレミスシステムもあれば、「Office 365」のようにSaaS(Software as a Service)も提供している。

 Microsoftは、提案の中で責任共有モデルをガイドしつつ、もし利用者が「それでは難しい」と言う判断になれば、よりニーズに近いPaaS(Platform as a Service)やSaaSを提案することになる。しかし、企業の全てのシステムをIaaSだけ、PaaSだけ、SaaSだけで組むことは難しい。

 「SaaSだけで全てを解決できる世界が理想だが、それは難しい。それぞれの技術担当がその責任共有モデルを説明する。それこそが私たちの責任だ」(佐藤氏)

オンプレミス、IaaS、PaaS、SaaSの共同責任のエリア分担。理想はSaaSで全てが解決することであるが……(出典:日本マイクロソフト)

 責任共有モデルに関して佐藤氏は「認識は二極化しているのが現状」と述べる。クラウドサービスが登場してからかなりの時間がたっていることもあり、クラウドに慣れている人、正しく使えている人たちがいる。一方で「クラウドは信用できない」と怖がっている人たちもいる。企業によっては、SaaSの感覚でIaaSを使うといった責任の分担が理解されていない例もある。これこそが、クラウドセキュリティの落とし穴になりえる。

 「二極化の傾向として、やはり大企業はスキルを持った人員が多く、しっかり理解しようとしているという印象だ。他方、中小規模の企業であってもベンチャー系、スタートアップ系のようなスピード感を必要とし、クラウドをビジネスの鍵としてドライブするような企業はうまく扱っていることが多い」(佐藤氏)

 とはいえ「そうではない」企業においてもSaaSを活用したり、フルマネージドのホスティングサービスといったものを活用したりするだろう。その点では利用シーンをしっかり把握しており、SLA(Service Level Agreement)を自覚しつつ活用している場合も多いという。

米国で2番目に狙われる企業のセキュリティ対策

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ