クラウドじゃないなんて大丈夫 !? クラウドのセキュリティ考察

一般に、クラウドで提供されるサービスに対する不安や疑問は、システムセキュリティに関するものが大半を占める。システムを知る者からすると杞憂なのだが、システムを知らない人からすると「大事な会社の情報資産を他社に預けて大丈夫なのか」という理由を挙げるケースが少なくない。最近は、クラウドの浸透と共にシステムを理解する人も増えてはいるが。

ネットワーク上のセキュリティがそもそもどういうものかを考えてみて欲しい。サーバーがクラウドにあっても、オンプレミス（社内）にあっても、ネットワークから侵入する場合は物理的な場所はあまり関係ない。しかし、クラウドとオンプレミスの最大の違いは、安全性を担保するためのスケールメリットがクラウドにはあるということだ。

オンプレミスではハードウェアの違い、ネットワーク構成の違い、バージョンの違いなど、アカウント毎に構成が異なるため、その構成に特化したメンテナンスと対策が必要だ。また、まったく同じ構成が他にないため、これら全ての構成に関して最新のセキュリティ対策を常に把握しなければならないが、現実的には常時このようなレベルの対応をすることはほとんど不可能だ。

しかし、クラウドにあるサービスではハードウェア、OS、ミドルウェアなどを徹底管理しており、同じ構成のシステムを大量保持するため、セキュリティについても常時対応できる。

つまり、セキュリティ投資にも規模の経済が成り立つのがクラウドの利点である。複数の利用者が同一のシステムを利用する事で、最新かつ高度なセキュリティレベルを享受することができる。実はオンプレミスシステムだけでなく、クラウド風ASPにも落とし穴が潜んでいるので、注意が必要である。

乱暴な言い方になるかもしれないが、クラウド事業者の最新かつ高度なセキィリティレベルと同等以上のセキュリティを自社の所有するアプリケーションで提供している企業があれば、紹介してもらいたい。すみやかに大規模なシステム費用削減の提案を実施させて頂くことが可能なほど、膨大な労力と費用がかかっているはずだ。

以下、特に留意すべきセキュリティに関するポイントを挙げる。

• セキュアで災害に強い複数のデータセンター

  SSAE16（前SAS70）に準拠しているかどうか。ISO 9001 と ISO/CEI 27001 の認定を受けているかどうか。

• サービスレベルと冗長性

  SLA（サービスレベルに関する合意）にて稼働率に対する保証があるかどうか。クラウド環境が複数拠点で冗長化、バックアップされているかどうか。稼働率を契約上保証しないサービスも多い。

• レプリケーションとバックアップ

  障害や災害が発生した際のデータの安全性確保に向けて確立された運用体制が敷かれているか。

• 災害復旧と業務の継続

  障害回復の指標として、RTO（目標復旧時間）、RPO（目標復旧時点）が高いレベルで設定されているかどうか。RTO、RPOが設定されていないにもかかわらずクラウドを名乗るサービスも多い。

• 拡張性が高く柔軟なアーキテクチャー

  お客様の利用状況にあわせた大規模ユーザー増加やシステム負荷分散といった拡張が柔軟に行えるかどうか

他にも、ウィルス対策や侵入監査、データベースの暗号化、認証といった様々な領域で最新で高度なテクノロジーが目白押しである。

いかがだろうか？ 自社のアプリケーションのセキュリティレベルの高度化に金を遣うのであれば、その同等の金額を何か別のものに振り替えることを強くお勧めする。なんとなく不安だからと言って、多額の金を競争力のない自社アプリケーションのセキュリティに投資し続けることこそが問題であると強く訴えたい。

(作成) 2015/8/18