ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2017/08/01 掲載

クラウド・セキュリティにまつわる3つのリスク、どう克服すればよいのか?

ガートナー イアン・マクシェーン氏が解説

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
会員になると、いいね!でマイページに保存できます。
クラウドコンピューティングが爆発的に拡がる現在、安全かつ迅速なクラウド導入は、企業にとって喫緊の課題だ。だが、いまだにセキュリティへの懸念を払拭できないまま、導入はおろか具体的な検討にも踏み切れないケースは少なくない。こうした状況下で、企業はどう「クラウド・セキュリティ」を考え、自社の業務システムへの導入を進めていくべきなのか。ガートナー リサーチ部門 リサーチ ディレクター イアン・マクシェーン氏が解説する。
photo
クラウドのセキュリティはどう考えればよいのか
(© bluebay2014 – Fotolia)
※本記事は「ガートナー セキュリティリスク・マネジメント サミット 2017」の講演内容をもとに再構成したものです。

クラウドのセキュリティ対策を考える上での3つのリスクとは?

関連記事

▲ 閉じる ▼ すべて表示

 クラウドコンピューティングは、現在もっとも大きな盛り上がりを見せている。だが、注目度の高まりにもかかわらず、多くの企業はいまだ基幹的なワークロードやデータのクラウド移行に、強い懸念を持っている。

 クラウドコンピューティングは今なお進化中の技術だけに、クラウド・セキュリティにおけるベストプラクティスもいまだ定まっていないからだ。安全を最優先とするエンタープライズのユーザーにしてみれば、こうした危惧はむしろ自然な反応といえる。

 マクシェーン氏は、クラウド・セキュリティとは「クラウドベースのシステムへのアクセスおよび利用方法をセキュアにコントロールすることであり、そのために必要なプロセスとメカニズムを構築する取り組み」だと定義する。そして、取り組みにあたっては、以下の3つのリスクが存在すると指摘する。

1.マルチテナントのリスク

 クラウドサービスプロバイダの提供する環境や仕様、サービスを、ユーザー側がいかにコントロールするかというリスク。

2.仮想化のセキュリティ

 仮想環境下におけるワークロードのセキュリティを、どのようにデザインするかというリスク。

3.SaaSコントロール

 SaaSのアプリケーションに使用するデータを、どのように保護するかというリスクである。

「とりわけSaaSコントロールは、近い将来クラウドファーストモデルが広く普及すれば、非常に重要になる。というのも、クラウドファーストの時代では、顧客が所有するものデータだけになるだろう。そうなった時に、データ保護は最も重要なポイントだ」

画像
クラウド・セキュリティの定義
(出典:ガートナー)

マルチテナントのリスクはティア1~3に分類すべし

 上記3つのリスクとその対応について、それぞれ詳しく見ていこう。

1.マルチテナントのリスク

 クラウドにおけるマルチテナント方式に対しては、さまざまな懸念が持たれている。他の企業や組織とシステムを共有せざるを得ないため、本当にセキュアな状態が保たれているのかどうかがわからない。

 そもそもインフラもネットワークも自分たちで所有しないため、データを物理的に制御できない。カスタマイズが難しく、与えられた契約条件の中でしか使えない、といったことが主な課題だ。

 それでも、クラウド化が拡がる中で、いつまでも頑なに導入しないでいるわけにはいかない。そこで、いよいよ導入に取り組もうと考えた場合、もっとも重要なポイントは、そのクラウドのセキュリティが本当に担保されているのかを、どう評価し判断すればよいかという問題だ。

 実際のところ、マルチテナント型とプライベートクラウドとのセキュリティの違いは客観的に証明されていない。にもかかわらず、一般的にマルチテナント型はプライベートクラウドよりもセキュリティが低いと思われがちだ。

「しかしガートナーの調査によれば、そのことを裏付ける具体的な事実は今のところ存在しない。むしろ現在のパブリッククラウドやSaaSアプリケーションは、ユーザーが独自で構築するデータセンターやアプリケーションのレベルをはるかに超えてセキュアだということができる」

 つまり重要なのは、『マルチテナント型はセキュリティが低い』という世間一般の思い込みに惑わされることなく、自分たちが利用しようとするマルチテナント型クラウドのリスクを正確に評価することなのだ。

 その具体的な手法として、マクシェーン氏は「クラウド サービス プロバイダーのロングテールを理解する」というヒントを掲げる。ここではまず、クラウド サービス プロバイダーを、各々の特性ごとに下の3つの領域に分類する。

1.ティア1

 AWSやGoogle、Microsoftなど、大手のブランドの「クラウドファースト」の組織。世界で100社以下の選ばれた存在で、クラウド技術を始めて5年以上の実績を持っている。またマーケットに対するコミットメントも明示されている。

1.ティア2

 信頼できる企業で規模も相当のものがあるが、ビジネスモデルがクラウドファーストではない組織。実績もティア1に比べると少なく、セキュリティの第三者評価がない場合もある。

3.ティア3

 ティア1、2以外の小さな組織で、セキュリティについても未知数。ティア1、2の提供するプラットフォームに付随するアプリケーションなどを提供することが多い。このセキュリティは確保されていないと考える。

 マクシェーン氏は、この分類をもとに、「クラウドサービスを利用する企業は、この3つのうち、ティア2に対するリスク管理を集中するべきだ」と主張する。

 ティア1は、実績や技術力、資金面で安定しており、セキュリティへの評価はほぼ確立されている。このため、さほど大きな労力をさかずに導入することが可能だ。反対にティア3は最初からリスクの存在が予想されており、それをあえて許容するという判断がなければ使わない。

 その中間であるティア2は、もっとも大きなボリュームゾーンであり、リスクの検証・評価さえ的確に行うことができれば、利用できるリソースは非常に大きい。ユーザー企業はこのティア2にリスク管理のエネルギーを集中することが、選択肢も多くかつセキュアなクラウドサービスの導入・活用につながるとマクシェーン氏は説明する。

画像
クラウド・セキュリティのリソースはティア2に注力すべきという
(出典:ガートナー)

【次ページ】ビジネス部門に一体化していくメリットとデメリット

関連コンテンツ

レッドチームとは何か? セキュリティ対策の「真の実力」を測定する方法

IoTのセキュリティ対策をガートナーが解説、「困難だが不可能ではない」

CSIRTとは何か?5分でわかる日本シーサート協議会に聞いた体制構築のポイント
関連タグ タグをフォローすると最新情報が表示されます

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample