クラウド事業者に聞くべき15の質問――MS幹部がセキュリティ課題を指摘:利便性に潜む落とし穴(3/3 ページ)
Microsoftの主席セキュリティ戦略担当者のダグラス・キャビット氏は、クラウドサービス提供者と利用者の双方に、基本的なセキュリティへの取り組みが十分であるかを確認すべきだと指摘する。
クラウドへ導入すべきユーザー確認
キャビット氏は、クラウド利用に際して「Claim-Based Access」という認証フレームワークの導入を推奨する。
Claim-Based Accessでは、ユーザーがサービスへの接続を希望する際にサービス側がIDとは異なる接続要件を提示する。ユーザーは要件に必要な情報を第三者的な認証サービス機関に申請し、その内容が確認されれば、接続を認めるトークンを認証サービスがクラウドサービスに対して提供し、ユーザーに接続を許可するという仕組みだ。
ユーザーは、ID以外にサービスを利用する資格を提示しなければならず、本人確認の正確性が高まるという。この際、認証サービス機関が信用できる存在であることが必須である。Microsoftでは、Claim-Based Accessを「Geneva」というコード名でWindows CardSpaceサービスに実装しており、米国では製造業界で従業員が設計データをやり取りするといったシーンで使われているという。
「すべてのデータ、行為が保証される信頼できる機関を構築する。そして構築するだけでなく、ユーザーがコンプライアンスに基づいて常に監査や評価を行わなくてはならない」(同氏)
こうしたフレームワークは、大規模であり、構築・運営するにはコストが掛かるものの、クラウドという新たなコンピューティング手段のセキュリティ対策には欠かせないものだという。
「クラウドによって、クライアントやデータはあらゆる場所に移動する。今後のセキュリティ対策では、それらを前提にホストへの対策を強化し、データそのものを保護していかなければならないだろう」と同氏は指摘している。
関連記事
- 不正アクセスによるサービス停止――事例から学ぶセキュリティ対策
ゴルフダイジェスト・オンラインは、2008年秋に不正アクセス攻撃を受け、8日間のサービス停止を図った。同社COOがこの事件から学んだセキュリティ対策のポイントを紹介している。 - 個人情報保護法が生んだ新たな問題――一橋大の堀部名誉教授
2005年の個人情報保護法の施行以後、企業や公共団体における個人情報の取り扱いは繊細な課題となった。同法の立案にも関わった一橋大学名誉教授の堀部政男氏は、日本における個人情報保護での課題を指摘した。 - 企業とベンダーはセキュリティ投資を再考すべし――基調講演から
RSA Conferenceの基調講演に登壇した奈良先端科学技術大学院大学の山口英教授は、企業のセキュリティ投資の縮小が経営リスクを高めるとして、投資効果を高めていくためのポイントを挙げた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.