クラウドのセキュリティ問題にどう立ち向かうか:情報マネージャとSEのための「今週の1冊」(7)
情報システムの構築や運用の面でさまざまな効率化が期待されるクラウドサービスだが、情報セキュリティに関する課題も多い。ユーザー企業はどう対処していくべきだろうか。
クラウド時代の情報セキュリティ
概念や言葉の登場とともに、IT業界のみならず、またたく間に世の中に広まった「クラウドコンピューティング」。情報システムを「所有」から「利用」へと、形態が変わることによって、情報システムに対する初期投資の軽減、運用費用の抑制、社内ITリソースの最適化など、クラウドサービスには、従来のシステム構築や運用と比較して大幅な改善が期待されている。
一方で、情報資産の格納場所がアウトソーシング先、しかもインターネット上に置かれ、ほかのユーザーとリソースを共有する場合もあることから、情報セキュリティに対する懸念点も多い。
例えば、ネットワークに関するセキュリティである。クラウドを利用する際、ユーザーは通常、インターネット経由でクラウドサービスへアクセスする。自社のデータセンター内に構築、利用していたシステムをクラウドに移すと、クライアントとクラウド間でやり取りするデータがインターネット上を流れることになり、盗聴や中間者攻撃など、第3者によってデータの機密性や完全性が侵害されるリスクが高くなる。
あるいは、クラウド事業者のシステム障害などによるサービス停止も脅威だ。数分程度の停止であっても、組織の生産性、企業が抱える顧客の満足度、サービスレベルの順守などに大きな影響を与えてしまうにもかかわらず、ユーザー側ではまったく制御できないのが問題視されている。NRIセキュアテクノロジーズが実施した調査においても、クラウド利用に関して不安に感じることの上位に「問題発生時に事業者がどこまで対応するかが分からない」「事業者の倒産や撤退によってサービスが停止する恐れがある」が挙がっている。
このほか、クラウドサービスの利用にあたり、情報セキュリティ上のさまざまな課題を抱えている企業は多いのが現状である。本書ではユーザー側のリスクとして、大きく「マルウェアといった悪意あるプログラムを社内に持ち込んでしまうこと」「予期せずに情報を外部に流出してしまうこと」の2つを指摘している。特に後者については、社外PCから容易にクラウドサービスを利用できることで、従来ならばイントラネットの中でしか取り扱えなかった重要情報を社外に持ち出せるため、誤って情報が流出してしまうリスクが高まるのである。
データを「非重要化」する
こうしたリスクに対し、本書が提案する手法が重要データの「非重要化」である。セキュリティ対策の考え方の前提は、情報が重要であり機密である点にあるので、それらデータを非重要なものにすればネットワークでやり取りしたり、外部に保管することに何ら問題ないのではないかということだ。
具体的には「秘密分散」という技術を用いて、元の情報をいくつかのデータの分割片に分け、その1つだけでは元の情報が判別できないように加工する。1つの分割片には情報の一部が含まれているのだが、分割片からは元の情報が類推できないほか、1つの分割片から完全なデータの復元は不可能である。
この秘密分散はクラウド環境によって最大の効果を発揮するという。複数のクラウド事業者の、複数のデータセンターにある複数サーバに、分散した割片を預けることは、単に複数の保管場所を確保しやすいということや、スケーラビリティ、コストにとどまらず、BCP(事業継続計画)上のメリットもある。秘密分散で複数のデータセンターに情報データを分割保管すれば、仮に1つのデータセンターが稼動停止したとしても、特にバックアップサイトがなくても業務継続が可能になるのである。
今後クラウドサービスが発展していくとともに、新たな情報セキュリティ上の問題も顕在化してくるはずだ。ユーザー、クラウド事業者のどちらかがということではなく、双方がさまざまなリスクに対して真摯に取り組む姿勢が求められるのである。
- 人はなぜ不正を働くのか?
- なぜIKEAは世界中で支持されるのか
- 今こそ「メディア」を考える
- 部下を信じ、尊敬する
- ご機嫌取りになれ
- “暗い未来”に漫然と向かわないために
- 1つの行動が社会を変革する
- あなたには確固たる「ミッション」があるか?
- 「会社に行きたくない」人ほど会社に依存している
- 失敗の2大パターンは“精神論とお役所仕事”
- コミュニケーションは、ツールではなく人が行うもの
- 社員が疲弊している会社は、経営層とITに問題あり
- ロジカルシンキングで成果が出ない訳
- 手段ばかりを求めていると、結果は出せない
- 「技術へのこだわり」という日本企業の根深い病
- 日本軍とまったく同じ、日本企業の“敗戦理由”
- “技術だけ”では、開発プロジェクトは失敗する
- 断捨離で、業務とシステムはもっと快適になる
- 仕事でモメたくない人のための教科書
- その油断と慢心が“炎上”を招く
- 本当は怖いフェイスブック
- 組織も自分もダメにする「自分大好き」という病
- 災害対策、コスト削減、システム改善は全て同じ問題
- あなたなら、自社システムをどう攻撃する?
- “想定外”から1年、見て見ぬふりはしていませんか?
- ナイトライダーも示唆する人とシステムのあるべき関係
- アップルが成功し、ソニーが失敗した理由
- 貴社のビジネス、ITシステムに“マインド”はあるか?
- 何のために働くのか? その回答はシンプルそのものだ
- 事故を起こす企業の特徴は、「責任者が不明」
- スマホ導入は、セキュリティポリシー設定がキモ
- 失敗は、「簡単なこと」「当たり前のこと」で起こる
- ITがどれほど進展しても、経営の基本は変わらない
- コピペやお絵かきが得意な人は“中毒”の疑いあり
- 情報は、人間関係があって初めて有効に活用できる
- “顧客”や“ユーザー”との関係作りを見直そう
- システム導入・浸透のポイントは“楽しさ”にあり
- “当たり前”を覆すチャンスはまだまだ埋まっている
- ソーシャルメディア・リテラシが収益を左右する
- 技術者はアーティストであり、製造業者ではない
- 分析するのは「ツール」ではなく「人」である
- ブランドは、消耗品である
- 当然のことを当然にこなすための指南書
- リスクを知っていてこそ、スマホは使いこなせる
- 個人でも企業でも、“ナンパ野郎”はウザいだけ
- 「見える化」だけでは、ビジネスは進まない
- 2ちゃん、ニコ動、外務省。次の標的は貴社のサイト!?
- あなたの会社は「突然死」の危機にさらされている
- BCPは、業務部門と情シスが連携して初めて成功する
- 仕事や人生、そして復興にも、秘策はない
Copyright © ITmedia, Inc. All Rights Reserved.