クラウドセキュリティの米国事情と日本における現実解
0
会員になると、いいね!でマイページに保存できます。
今、IT業界でもっとも注目を集めているテーマが「クラウド」であることに異論はないだろう。企業内部で導入する「プライベートクラウド」、あるいは広く利用者をつのることでコストを抑える「パブリッククラウド」、さらにはこれらを組み合わせた「ハイブリッドクラウド」など、多様な形態で利用が進みつつある状況だ。クラウドへの期待は高まる一方で、セキュリティへの懸念を払拭できないために、導入を見合わせる企業も少なくない。今、クラウド導入することで、どのようなリスクやセキュリティの問題があるのだろうか?セキュリティ対策の最前線に立つJPCERTコーディネーションセンター (JPCERT/CC)で常務理事をつとめる早貸淳子氏にお話しを伺った。
本場米国でも導入ガイドラインを策定中
──実行委員長をなさっている「RSA Conference Japan 2010」では「クラウドのセキュリティ」が大きなテーマになっています。クラウドのセキュリティにはどのような問題があるのでしょうか?
クラウドについては、その定義にもよりますが、一般的に、セキュリティ向上とリスク増加の両面があることが指摘されています。サービス提供者側で一括してソフトウエアのアップデートなどの脆弱性対応を行ってくれたり、バックアップ体制の充実によって業務継続向上が図れるケースもあるでしょう。マイナス面としては、サービス提供者の保証に頼らざるを得ず、監査についても自らの設備と同様に行えるわけではないため、肝心のサービス提供者側が誤った、あるいは不十分な対応をした場合には大きなインシデントにつながる可能性もありますし、攻撃者側にとっては、攻撃対象を絞り易くなるという点もあるでしょう。
サービス自体のモデルやその提供方式にも様々なものがありますが、パブリッククラウドに比べて、プライベートクラウドが安全なのかといえば、サービス提供者の運用ポリシーに依存しているので、必ずしもプライベートクラウドだから安全というわけではないと考えています。こうした両面がある中、自治体などでも利用の推進に向けた取り組みや、利用指針が出てきている状況ですね。
一方で、米国では、GAO(U.S. Government Accountability Office:米国会計検査院)が、今年の5月に、連邦政府機関におけるクラウドの利用について、効率化が期待される一方で、ベンダへの依存度拡大やリソース共有への懸念などのリスクもあり、セキュリティ対策を含め、連邦政府全体としての方針やガイドラインを策定することを行政管理予算局(OMB)に勧告する報告書を公開しています(
INFORMATION SECURITY Governmentwide Guidance Needed to Assist Agencies in Implementing Cloud Computing(英語PDF))。このガイダンスは半年ぐらいかけて作成される予定で、それまでは既存のセキュリティ仕様に照らし合わせて、要求水準が満たされていなければ、利用を控える方向です。
──本場米国でのガイダンスでさえ整わない中、日本の企業はクラウドのセキュリティに対してどのように取り組んでいけばよいのでしょうか?
セキュリティの観点を必要以上に重視し過ぎて、有益な新しいサービスの利用を行わないという残念な事態は避けなければなりませんが、まずは、米国のこうしたクラウドのセキュリティへの取り組みにもみられるように、クラウドの利用に伴うセキュリティの問題に関し、どういうメリットとデメリットがあるのかを、正しく理解することが、政府であれ、民間企業であれ、同様に重要です。
クラウドは言葉のブームが終わり、実際の導入を検討する時期にあるといえます。そのため、導入ユーザーは、コンプライアンスやリスクについてもきちんと理解していただく必要があると思います。インシデントが発生した場合の対応スキームなど、思わぬ事態が発生した場合の対応レベルや責任の分担の問題などの確認も重要ですね。
実際にクラウドサービスを利用しはじめてみたものの、その後問題があって利用を中止する場合、きちんとインハウスに戻ってくるための方法を考えておく必要があるでしょう。ただ、データを完全に引き上げるのは、どこの国のサービスを使う場合であってもそんなに簡単なことではないでしょうから、サービスの利用を検討する段階で十分に検討しておくべきでしょう。
──日本のサービスを利用する場合と、海外のサービスを利用する場合でもそのリスクには違いがありますね。
日本と海外のサービスを比較するという視点に立てば、法令の適用の問題も検討しておく必要があると思います。それは万が一何か法的な問題が発生した際に、日本と海外、海外といってもサービス提供者の所在地なのか、サーバなどの設備の所在地なのかなど、どの国の法律に沿って紛争解決を行うのかということです。もちろん、クラウドに限らず、国境を越えて行う取引については、つきものの問題ではありますが・・・。
基本的に、クラウドのサービス提供者とクラウドの利用者(ユーザー)の間の契約に起因する問題は、ユーザーが一般消費者に該当しなければ、当事者間の契約において合意した準拠法(どの国(州)の法律を適用するか)が適用されることになるでしょう。どこの国の法律が適用されるかは、実は一意に決まるものではなく、裁判を行う国(州)における国際私法(どこの国の法律を適用するかに関するルールを定めた法律)に従って定まることになるので、裁判管轄に関する合意も重要です。
同じ契約に関する裁判でも、どこの国で裁判を行うのかによって、どこの国の法律で判断されるかが変わるということもあり得ます。とはいえ、クラウドサービス事業者が存在するような国においては、当事者間が合意した裁判管轄を認めないという国はあまりないでしょうし、準拠法に関する当事者間の合意も認められる場合がほとんどでしょうから、予見できなかった思わぬ法令によって紛争の解決が図られるというような事態はあまりないと思います。
ただし、当事者間で、裁判管轄や準拠法に関する合意をしなかった場合は、サーバなどの設備の所在地に裁判管轄が認められ、その国のルールによって思わぬ国の法令が適用されることになることも可能性としては否定できません。設備の所在地がどこか知らないまま、裁判管轄や準拠法についての合意をしないでいると、思わぬ事態を招くことになるかもしれません。
──プライベートクラウドとパブリッククラウドを比較した場合はどうでしょうか?
先の話しではプライベートクラウドのように1対1の契約を前提としましたが、パブリッククラウドのような多対1の関係の場合は、サービス提供者側が用意したパターン化された契約条項への合意が求められる場合が多いかもしれません。サービス提供者側からすれば、多数の相手ごとに個別の契約条項を定めるのは手間がかかることになるため、多くの場合、自分の国のルールを準拠法、裁判管轄に定めているはずです。そのような場合に、自分だけ他の利用者とは異なる条項での契約にしてほしいと言う交渉をすれば、その分は当然コストに跳ね返るわけで、こうした問題を理解した上で、コスト削減を優先させて利用するのか、それとも万が一事故が起きたときの円滑な紛争解決を重視して、カスタマイズコストも負担する前提で交渉するのか(これはそもそも交渉の余地があれば、ですが)、というのは経営判断の問題としてとらえるべきでしょう。
さらに、サービス提供者とユーザーの当事者間の問題ではなく、ユーザーの顧客との間の不法行為といった民事責任の問題や、各国の行政規制の適用、刑事法の適法関係などにも考えを及ぼすと、これらの問題は、サービス提供者と利用者の間の合意で解決できないので、さらに問題は複雑化します。クラウド固有の問題とは言えない部分もありますが、こうした点も視野に入れておく必要があると思います。
セキュリティの許容度はビジネスの種類や特性などに依存して変わると思いますが、クラウドのセキュリティ面についても、最低限チェックするべきポイントもあります。経営者は、セキュリティに対して、少なくとも「自分が何を決めなければならないのか、どういうリスクをとると決めるのか」は知っておく必要があるのではないでしょうか。特に日本の利用者は、契約条項の効果に関する意識が希薄な面がありますので、注意しておいてほしいですね。
【次ページ】デスクトップ仮想化は?
関連タグ
