マカフィー、クラウド環境のセキュリティ対策を八つの視点から解説

ニュース

2011/02/15 13:41

 マカフィーは、クラウドでの問題点とその対策について、個人情報保護法に関する対策を含めた八つのキーワードで解説。自社ブログで、諸角昌宏コーポレートサポート本部本部長がコメントしている。

 クラウド環境のセキュリティ問題を、「インフラ」「運用」「データ保護」「信頼性・堅牢性」「コンプライアンス・監査」「クラウド展開モデル」「アプリケーション」に加え、日本の事例として「個人情報保護法」の対策について解説している。

 「インフラ」では、既存のセキュリティ対策として、パッチ適用やウイルスソフト、IPS/IDS、WAFの導入を企業のセキュリティポリシーに従って実行することが不可欠。さらに、物理的な対策として、クラウドの設備であるデータセンターでは、停電などのときにバックアップできる発電機や侵入者の制限などの対策が挙げられる。

 「運用」では、提供しているサービスに対するセキュリティパッチの適用、セキュリティ製品の定義ファイルやソフトウェアを最新に保つなどの対策を取る必要がある。

 「データ保護」では、利用者はクラウド事業者がデータをどこに保存したか分からないということと、データがほかのユーザーと物理的に分かれていないという二つの問題点がある。

 前者については、ユーザー情報や機密データをクラウド上に保存するときは、データを保存する場所について契約の段階で取り決めを行い、保存場所とコピーの保存場所について制限を設けておく。後者については、クラウド上に保存するデータを暗号化することが重要。

 一方、データ管理の問題として、クラウド上のデータに関する責任はクラウド事業者と利用者双方にある点と、データがクラウド事業者によって二次利用される可能性があるという点がある。前者については、利用者はクラウド事業者がどのようにデータを管理するかを事前に把握しておく必要がある。後者については、第三者の存在とその場合のデータの扱いについて、クラウド事業者と取り決めをしておくとよい。

 「信頼性・堅牢性」に関しては、クラウド事業者の取り組みを契約に盛り込んでおく必要がある。また、クラウドごとのデータの移植性についても考えておくといい。例えばクラウド事業者が倒産したとき、すぐにほかのクラウド事業者や社内システムにデータを移行し、業務を継続できるようにしておく。

 「コンプライアンス・監査」では、クラウドサービスに対するログ情報の取得と監査の問題が挙げられる。ログ情報については、社内のセキュリティポリシーで必要となるログ情報をベースに、クラウドのログ情報を整理し、クラウド事業者に対してその提供を求める。また、監査では、監査時の情報提供、監査人によるクラウド環境の調査などに事業者が対応できるよう、取り決めをしておく。

 「クラウド展開モデル」では、IaaS、PaaS、SaaSというモデルごとに対策は異なってくる。IaaSは、利用者が技術的に対策を取らなければならない部分が大きいが、SaaSでは、契約などで事業者側の対策を明確にすることが必要。PaaSの対策は、その中間に位置づけられる。

 「アプリケーション」の問題として、脆弱性と自社製品の囲い込み(ベンダー・ロックイン)の2つがある。脆弱性は、クラウド事業者が提供するサービスと利用者が作成するアプリケーションの双方に脆弱性が存在する可能性があり、それぞれ対策を取る必要がある。一方、ベンダー・ロックインは、長期的に特定の事業者に依存しても大丈夫かどうか、検討する必要がある。

 「個人情報保護法」に関する対策では、クラウド事業者に対して、個人情報を扱っている利用者と同等の安全管理対策が求められる。また、利用者も、データ管理の委託先であるクラウド事業者の監督が求められ、双方で対策を取るといい。