設定ミス→漏えいの影に潜む“クラウドへの誤解” いま理解したい「責任共有モデル」(1/2 ページ)
クラウドサービスの活用が広がるのに比例して発生する、設定ミスに起因するセキュリティ事故。数々のインシデントが報じられる中、なぜこういった事故はなくならないのか。ガートナー ジャパンの亦賀忠明さんによれば、背景には日本企業特有の「クラウドへの理解不足」があるという。
クラウドサービスの活用が広がりを見せるのと比例して、設定ミスに起因するセキュリティ事故も発生している。情報漏えいのニュースが報じられるたび「クラウドで大丈夫か」という不安が広がる。結果として、手間を増やすガイドラインだけが積み重なっていく──クラウドサービスの導入が進む中では、こんな企業もあるかもしれない。
設定ミスが起きるということは、担当者がサービスを十分に理解していない証でもある。類似の事故が報じられる中、こうした理解不足はなぜなくならないのか。
ガートナー ジャパンの亦賀(またが)忠明さん(ディスティングイッシュトバイス プレジデントアナリスト)によれば、日本企業の多くがこれまでのオンプレミスを中心としたITシステムの捉え方に引きずられ、クラウド利用の基本的な前提である「責任共有モデル」を理解できていないためという。
特集:「設定ミス」でトラブル多発 SaaS利用の正しい心構え
企業向けのクラウドサービスで、ユーザー側の設定ミスなどによる情報漏えいが相次いでいます。この特集ではSaaSのメリットやリスク、正しく使いこなすための心構えをあらためて探ります。
「責任共有モデルなんてふざけるな」怒るユーザー企業の誤解
本特集の過去記事でも指摘されてきた通り、IaaSはもちろん、PaaS、SaaSなど一連のクラウドサービスでは、サービスを提供する事業者と利用企業がそれぞれ責任を分担する責任共有モデルに基づくセキュリティ対策が前提となっている。
責任を分割する基準はIaaS、PaaS、SaaSなど、サービスの提供形態ごとに異なる。クラウドセキュリティに関する情報発信を行う非営利法人・Cloud Security Allianceは、「Kubernetes」をはじめとするコンテナ技術の広がりを受け、さらに複雑な責任共有モデルも提示しており、その基準はさまざまだ。
しかしどんな形態でも、サービス利用する際に必要となるIDの管理やデータそのものの保持といった部分は、基本的にユーザー企業の責任になる。日本企業の多くは、SIerに丸投げしてきた、オンプレミスを中心としたITシステムの捉え方が抜けておらず、この理屈を理解できていないという。
「SIerに運用を『任せる』という考え方の延長で『クラウドに預けられますよね』『任せられますよね』という人がいますが、これは根本的な勘違い。クラウドというのは基本的に、個別のカスタムが当たり前のサービスではなく、事業者がどこまでを提供するかの境界がはっきり存在している」
亦賀さんがこれまで見てきた中には、責任共有モデルの考え方を聞いて怒り出すユーザー企業もいたという。亦賀さんはこういった企業について、自身が請け負うべき責任の範囲を理解しないままクラウドを運用していると指摘。あるべきクラウドの使い方について自動車に例えてこう話す。
「自動車という製品そのものにも、すぐに壊れてはいけないし、事故につながってはいけないといった責任がある。このように事業者が最低限の品質や安全性を担保するのは当たり前だが、その使い方を学び、免許を取って安全運転をするのは使う側の責任」
関連記事
- クラウドの設定ミス、気を付けても見落としがちな“あるポイント” セキュリティ診断会社に聞く
クラウドサービス、特にSaaSの設定ミスによって相次ぐ情報流出。こういった動向を受け、外部の診断サービスなどを使い、自社が利用しているクラウドサービスの設定を見直す企業が出ているかもしれない。そこで、実際に診断サービスを提供するラックに、企業の動向や見落としがちな設定を聞いた。 - Salesforce、Trello……“設定ミス”で情報漏えい、どう防ぐ? 注意点を専門家に聞く
「Salesforce」や「Trello」といったSaaSの設定ミスに起因する情報漏えいが相次いでいる。しかしDXの推進が叫ばれる今、SaaSの利用を取りやめる判断は現実的ではない。企業はどうすれば情報漏えいを防ぎつつ、SaaSを使い続けられるのか、注意点を専門家に聞いた。 - GitHubへのソースコード流出問題、防ぎようはあるのか 専門家に聞く
SMBCから業務委託を受けたSEらしき人物が、GitHubにソースコードを公開したことが話題になった。この情報漏えいはどうすれば防げたのか。専門家に話を聞いた。 - Trelloの設定ミス、「公開」の誤解が原因? 分かりやすい表現とローカライズを考える
プロジェクト管理ツール「Trello」の設定ミスで個人情報が外部から閲覧できる状態だったことについて、ネット上の意見を参考に考察してみた。 - 「kintoneの脆弱性ではない」 東京都医療者向けワクチン予約サイトの個人情報問題でサイボウズが見解
東京都が医療従事者向けに公開した新型コロナワクチンの接種予約サイトに、第三者から個人情報が閲覧できる不具合があった問題を受け、システムのベースとなるソフトウェア「kintone」(キントーン)を開発したサイボウズがkintone自体に脆弱性はないと発表。
Copyright © ITmedia, Inc. All Rights Reserved.