• スペシャル
  • 2016/07/26 掲載

クラウド時代、AWSやAzureのセキュリティだけでは不十分なワケ

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
会員になると、いいね!でマイページに保存できます。
今や多くの企業がAmazon Web Services(AWS)やMicrosoft Azure、Google Cloud Platformなどのクラウドサービス(IaaS/PaaS)を利用していたり、移行を検討していることだろう。ただし、それによって「セキュリティの負担も軽減された」と信じているなら、今一度、利用しているクラウドサービスのSLAを確認することをお薦めする。クラウドの利用が進めば進むほど、実はセキュリティの問題が複雑化している可能性が高いからだ。
photo
WinMagic
VP of Business Development
ジェームス・ラパーム(James LaPalme)氏

クラウド時代に求められる新たなセキュリティの課題

 企業におけるクラウド活用は、すでに止められない流れだろう。従来、オンプレミスが当然だった基幹系やミッションクリティカルなシステムも例外ではない。

 しかし、クラウド化の流れは、企業のITに新たな課題も突きつけている。その代表がセキュリティだ。オンプレミスとクラウドでは、セキュリティの考え方も必要とされる対策も異なる。ユニークな暗号化技術で知られる加セキュリティ企業 WinMagicのジェームス・ラパーム氏は、1つの例として、AWSをあげる。

「AWSは、自らのクラウドそのもののセキュリティには責任を持ち、高いセキュリティ対策を実施していますが、クラウドの中、つまりデータやアプリケーション、OS、仮想マシン、ネットワーク等については、顧客自身が責任を持たなければならないとSLAで明記しています。クラウドを利用すると、セキュリティの責任もクラウド事業者に移行すると考えがちですが、決してそうではないのです」(ラパーム氏)

 AWSは、自社がIaaSとして提供するCPUやメモリ、ストレージ、データベース、ネットワークなどのセキュリティには責任を持つ。しかし、顧客がその上で動かしている仮想マシン、データベース、アプリケーションなどのセキュリティには責任を持たない(持てない)。したがって、仮想マシン上で動いているデータベースの脆弱性を攻撃され、個人情報や機密情報が漏えいしても、それは顧客の責任なのである。もちろん、他のクラウドサービスでも事情は同じだ。

画像
クラウド事業者が負うべき責任と利用企業が負うべき責任は異なる

 しかも、今後は、オンプレミス、プライベートクラウド、パブリッククラウドの混在環境が当たり前になる。そこで高いセキュリティを担保することがいかに困難かは、セキュリティの専門家でなくても、容易に想像できるだろう。

クラウドのセキュリティ課題を解決する

 こうした問題に取り組んでいるのが、1997年に設立されたディスク暗号化ソフトウェアの専門企業「WinMagic」だ。

 同社はPCがブートする前に無線や有線ネットワークを介してユーザー認証を行う「プリブートネットワーク認証」と独自の暗号化技術を特徴とする企業で、もともとはエンドポイントのセキュリティを得意としている。国内では政府関係機関に、米国では国防総省や国家安全保障局にそれぞれ大規模導入され、全世界では約900万のエンドポイントへの導入実績を誇る。

 そのWinMagicが、前述のクラウドのセキュリティ課題を解決するために開発・提供しているのが、「SecureDoc CloudSync」と「SecureDoc CloudVM」の2つのソリューションである。

画像
クラウドのセキュリティ課題を解決するサービス

 2015年11月にリリースされた「SecureDoc CloudSync」は、DropboxやOneDrive、Google Driveなどの企業レベルのファイル同期/共有サービス(EFSS:Enterprise File Sync and Share)に対応した暗号化サービスだ。クラウドに保存される前にデータを暗号化するので、クラウド上で情報が漏えいするリスクを低減できる。

 もう1つが、2016年5月にリリースされた「SecureDoc CloudVM」だ。これは、IaaSに特化した暗号化サービスで、具体的には、VMware、Microsoft Azure、Amazon AWS、Microsoft Private Cloud、Citrixのプライベート/パブリッククラウド上の仮想マシン、仮想ストレージ/サーバの暗号化を実現する。IaaSの網羅率はすでに9割を超えるという。ラパーム氏は、同社の戦略を次のように説明する。

「我々は、暗号化が必要なデータには、その場所を問わずすべてに暗号化機能を提供します。すでに900万を超えるエンドポイントに暗号化機能を提供しましたが、今後はクラウド、サーバ、IoTにも提供していきます。SecureDoc CloudSyncは企業向けのファイル同期/共有サービス、SecureDoc CloudVMはIaaSのクラウドサービスに対して暗号化機能を提供するソリューションとなります」(ラパーム氏)

暗号化に必要な鍵の一元管理と高速なパフォーマンスを実現

 「SecureDoc CloudSync」と「SecureDoc CloudVM」の両方に共通しているのが、暗号化に利用する鍵の管理だ。

画像
SecureDocによる鍵管理のイメージ

「SecureDoc CloudSyncとSecureDoc CloudVMでは、クラウドの暗号化で使用する鍵を企業側で一元的に管理できます。クラウド側に、暗号化の機能が無くとも、複数のクラウドに対して、一貫した暗号化機能を提供できます。また、企業側が鍵を管理しているため、万が一、利用しているクラウドサービスがハッキング等の被害にあっても、データを保護することができます」(ラパーム氏)

 なお、すでにIaaSを利用している企業にとっては、SecureDoc CloudVMが気になるだろう。これは、IaaSに特化したIaaS上で稼働する仮想マシンの暗号化を支援するソリューションで、鍵管理機能により、どの部分がどのような形で暗号化されているのかを把握できる機能を持つ。

 前述のように鍵を企業側で一元管理できるのはもちろん、自動スケールやクローン、マイグレーション、バックアップ、ディザスタリカバリなどのシナリオを前提とした仮想マシンの暗号化に対応している。また、個々の仮想マシンの暗号化状態を把握し、ビジュアルなレポートを作成する機能も用意されている。

 さらに、必要なくなった仮想マシンを削除する際、鍵を除去することで、データの安全性を確保する安全削除機能も搭載している。気になるパフォーマンスだか、ラパーム氏はまったく問題ないと、次のように説明する。

「仮想マシンの暗号化にはリソースが必要ですが、弊社がAWSでテストした結果、暗号化に必要なリソースは、タスク全体に必要なリソースの約1%であることが確認できました。これは、他社と比較しても非常に優れた数値だと思います。また、他社の場合、仮想マシンがクローン化、移動、複製された場合、復号と再暗号化が必要になりますが、SecureDoc CloudVMではその必要がありません。そのため、高いパフォーマンスを発揮できるのです。さらに、領域全体を暗号化する方法(デフォルト)以外に、実際に使用されている領域のみを暗号化するオプションも提供しています(ただし、暗号化後に保存したファイルも自動で暗号化される)。暗号化導入のスピードを速めることによって、より多くのユーザーがこの機能を使い、機密データが守られることを私たちは望んでいます」(ラパーム氏)

 なお、対応しているクラウドとしては、前述の5つに加えて、「IBM Softlayer/Bluemix」「OpenStack」「Google Cloud」の3つも対応が予定されている。これらに対応すれば、クラウド市場のほぼ98%をカバーすることになるという。

画像
SecureDoc CloudVMの特長

クラウド時代のセキュリティは「シンプルさ」がもっとも重要になる

 日本ではこれからだが、米国では、すでにSecureDoc CloudVMを導入し、成果を挙げている企業も多い。

「たくさんのサーバ、プライベート/パブリックのクラウドを組み合わせて利用されているヘルスケア分野のお客さまがいます。弊社のソリューションを導入されて、暗号化の鍵を自社で一元管理できるようになりました。また、使わなくなったインスタンスを削除し、データを確実に使用不可にできるようになったことも大きい成果です」(ラパーム氏)

 確かに、仮想マシンが不要になったら、仮想マシンを削除し、さらに鍵を削除してデータを安全に保護できるのも、SecureDoc CloudVMの大きいメリットだろう。データライフサイクルマネジメントという観点でも、メリットは大きいといえそうだ。

 今後、国内でも同様の暗号化ソリューションが登場するとことが予想されるが、ラパーム氏は、同社の強みを次のように説明する。

「弊社の強みは3つあります。1つはエンドポイントとクラウドの両方に暗号化を提供できることです。特に、AWSやAzureなど、複数のクラウドに一元的に対応できて、クラウド市場の90%以上をカバーしているのは弊社だけです。2つめはパフォーマンスです。独自の技術で、暗号化を意識することなく利用できる高いパフォーマンスを実現しています。3つ目がインテリジェントな処理が可能であることです。他社が暗号化のオン/オフを制御できるレベルなのに対し、当社の場合は、地域によって暗号化のレベルを変えたり、ポリシーに従って暗号化を制御したりできます」(LaPalme氏)

 複数のクラウドにまたがって暗号化の鍵を一元管理できるSecureDoc CloudVM。そのシンプルなコンセプトは、一般企業はもちろん、政府系機関や医療、金融、大学などにとってメリットが大きい。統一された暗号化の仕組みがなかったために、クラウドの活用に踏み切れなかった企業・組織にとっても、クラウドにシフトするきっかけになるだろう。現在、クラウドの活用において、少しでも暗号化が課題となっているなら、ぜひ検討していただきたい。

評価する

いいね!でぜひ著者を応援してください

  • 0

会員になると、いいね!でマイページに保存できます。

共有する

  • 0

  • 0

  • 0

  • 0

  • 1

  • 0

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
関連タグ タグをフォローすると最新情報が表示されます

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます