ニュース
クラウド事業者に聞くべき15の質問――MS幹部がセキュリティ課題を指摘:利便性に潜む落とし穴(2/3 ページ)
Microsoftの主席セキュリティ戦略担当者のダグラス・キャビット氏は、クラウドサービス提供者と利用者の双方に、基本的なセキュリティへの取り組みが十分であるかを確認すべきだと指摘する。
ユーザーがクラウド事業者に聞くべき質問
情報システムの利用シーンにおいて、勢いがある分野の一つがクラウドコンピューティングである。コンピューティングリソースをユーザーが共有するクラウドは、コスト削減や利便性などの点で、急速にユーザーを獲得しつつある。
キャビット氏は、クラウド利用に際してユーザーはよりセキュリティに対する理解を深める必要があると指摘する。「クラウドの提供形態には、主に“インフラ”“プラットフォーム”“アプリケーション”“プロセス”の4つのスタックがある。クラウドはすべてのスタックがないと機能せず、セキュリティもすべてのスタックで配慮されていなければならない」(同氏)
同氏はユーザーがクラウドサービスを利用するにあたって、以下のような15の質問をサービス提供者に必ず尋ねるべきだとアドバイスする。
必須項目
- だれがIDを管理するのか
- 目的に沿ったほかのサービスとの連係をどのように実現しているのか
- データをどのように利用し、どのように守るのか
- ユーザーが利用するすべてのインフラをどのように知ることができるか
- 利用者やデータ、アプリケーションが信頼できるということをどうやって確認するのか
- クラウド型アプリケーションを、法規制などに適切に従って利用するにはどうすべきか
- クラウドと従来の情報システムをどのように相互利用すればいいか
- 問題があった場合、だれに連絡をすればいいのか
特に懸念すべきセキュリティ上の課題
- サービス提供者のリスク管理手腕がどのようなものか
- アプリケーションをクラウド化する際のセキュリティへの影響
- 信頼できるクラウドスタックが構築されているか
- セキュリティ要件と法規制などに準拠しているか
- 実データはどこに存在しているのか
- 重要データと実施可能なセキュリティ対策の影響度
- サービス事業者の障害対策に柔軟性があるか
「“わたしのID情報はだれが持っていますか”という具合に、ユーザーは利用目的に応じてこれらの質問を必ず事業者に問いかけていただきたい」と同氏。
クラウドサービス事業者が適切なセキュリティ対策を講じている場合、以下のようなメリットをユーザーは享受できるという。
- セキュリティとデータ管理がサービスの基本に位置付けられている
- セキュリティが考慮された拡張性のある共有サービスを利用できる
- コンプライアンスがサービスに組み込まれている
- クロスドメイン環境である
- IDとアクセス権が統合されている
- 構成や変更の管理、アップデート管理が適切に行われる
- 個人情報の保護プロセスが透明である
- 事業継続性が提供される
「例えば、個人情報の保護対策で透明性が確保されていれば、個人情報をだれがどのように扱っているかが分かる。行動ターゲティングのような新しいマーケティング手法では不可欠だ」(同氏)
Copyright © ITmedia, Inc. All Rights Reserved.