- TOP
- レポート・ライブラリ
- クラウドセキュリティの課題と対策 - 説明責任としての第三者認証の活用 -
ITR Review
- コンテンツ番号:
- R-216041
- 発刊日:
- 2016年4月1日
クラウドセキュリティの課題と対策
説明責任としての第三者認証の活用
- 著者名:
-
大杉 豊
昨今、クラウドサービスを活用している企業は多いが、クラウドサービスのセキュリティ対策について、利用者に十分な説明責任を果たしているクラウドサービス事業者は多くない。本稿ではクラウドサービスのセキュリティについて、現状の課題とIT部門が取るべき対策について述べる。
クラウドサービスのセキュリティ課題
クラウドサービスを利用するうえでの大きな懸念事項として、情報漏洩のリスクがあげられる。特にクラウドサービス事業者との契約では、クラウド上に保存したデータの機密性、完全性、可用性についてのリスクは図1にあげるように多数存在し、これらは保証されないケースがほとんどである。
クラウドサービスの多くは仮想化技術を活用してリソースの共有化を行い、コスト削減を実現している。またクラウドサービスは、オンプレミスで開発されたシステムに比べ、初期投資を低く抑えて短期間で導入できるメリットがある。一方でオンプレミスによるシステムの場合、導入時にセキュリティリスクを業務レベルで検討、把握することが可能であるのに対し、クラウドサービスでは利用者側から見るとブラックボックスとなっている領域が多く、セキュリティリスクの分析を行うことは難しい。
現状のクラウドサービスが抱えるセキュリティ課題には、クラウドの利点であるマルチテナントに起因するものもあげられる。また、比較的低価格の海外クラウドサービスでは、国際的なハッカー集団による攻撃のインフラや踏み台とされているケースがある。さらに、海外にあるデータセンターを利用した攻撃や犯罪については、現状ではこれを取り締まる国際的な法令がない。事実、米国内にあるデータセンター事業者に対し、他国からの攻撃者により犯罪がおこなわれてもインターポールなどの国際組織が犯罪者を検挙することは難しい。例えば、Google社やFacebook社などの情報が国際犯罪に利用されても、国を跨ぐ犯罪者を取り締まることが難しいといった国際的な課題が実際に存在するのである。
図1.クラウドサービスでの基本的なリスク
ITR 著作物の引用について
ITRでは著作物の利用に関してガイドラインを設けています。 ITRの著作物を「社外利用」される場合は、一部のコンテンツを除き、事前にITRの利用許諾が必要となります。 コンテンツごとに利用条件や出典の記載方法が異なりますので、詳細および申請については『ITR著作物の引用ポリシー』をご確認ください。