連載
» 2010年05月24日 10時00分 公開

求む、納得できる仮想プライベートサーバセキュリティ、そろそろ本音で語らないか(14)(2/2 ページ)

[三輪信雄(S&Jコンサルティング株式会社),@IT]
前のページへ 1|2       

無視できない「物理セキュリティ問題」

 クラウド業者によっては、稼働率100%保証をうたっているサービスもあります。これまでの常識では、回線やネットワーク機器、記憶装置、電源などあらゆるものを自前で冗長構成を運用することが求められてきましたが、これはいわば「昔のホストコンピュータの考え」でもあります。

 いまではデータセンター自体のバックアップやディザスタリカバリ対応が進んでいますから、それらのインフラをうまく活用して、それ以外のアプリケーション障害やデータバックアップなどに注力すれば、安価で信頼性の高いシステムが構成できると思います。

 よくクラウドのセキュリティというと、「仮想コンピュータ」のセキュリティ問題が指摘されていますし、私自身講演でもよく話してきました。しかしながら、ラックを借りて自前で運用する場合の可用性の確保と運用コスト、そしてラックを借りていることによるセキュリティの確保、という観点で見ると、以下の問題がすでにあります。

  • 冗長構成を十分に確保した場合の構築コストと運用コスト
  • 入館ばかりが厳しいが、入館してしまえばそれほど行動は監視されていない
  • ラックの鍵管理がそれほど厳重とは思えないケースがある
  • 作業中はラックの扉を開けており、付けられているタグなどから、近接したサーバの所属情報が知られてしまう

 つまりラックに閉じ込めたからといって、完全なる安全は確保できません。むしろ不特定多数が出入りする環境は、物理セキュリティから見れば優れた環境とはいえないでしょう。例えば、ラックの扉にセキュリティシステムが取り付けられていることはめったになく、入館チェックの厳しいデータセンターだから安心だ、と思い込んでいるのです。

 さまざまな可能性を考えると、物理マシンを用意し、ラックを借りて設置するという「ホスティング」よりも、仮想サーバの所有者であっても立ち入ることができない「クラウド環境」の方が、物理的には安全といえるでしょう。

冗長構成にかけてきたコストが埋蔵金となる?

 一方、仮想コンピュータを基礎技術とするクラウドシステムの場合には、新しい技術であるがゆえに、セキュリティに限らず「心配」であることは事実です。ただしそれは、データを複数サーバを分散して暗号化を適切に施すなどの運用と組み合わせることで回避できる問題でもあります。

 例えば、重要なデータの含まれているデータベースサーバは暗号化を施して、鍵やアプリケーションは別のサーバと分離しておけば、万が一仮想マシンのイメージが盗まれても解読されることはありません。さらに、クラウドを複数の業者から借りておけば、1つの業者から仮想マシンのイメージが盗まれたとしても、顧客情報が漏えいしてしまう可能性は極めて低くなります。

 一般的な侵入については、仮想マシンであっても物理マシンであっても脅威は変わりません。それよりも、ハード障害の方が高い確率で発生するでしょう。VPSであれば、少なくともハード障害の心配からは解放されます。これまでハード障害に対応するための冗長構成には高いコストが投じられてきました。しかしながら、そのコストをアプリケーション障害や不正アクセス対策に振り向けることで、よりセキュリティレベルの高いシステムが構築できるはずです。

 先にも述べたように、VPSでシステムを構築する場合には「仮想マシンのイメージが盗まれる」可能性について考慮する必要があります。より高いセキュリティを求めるのであれば「OSの下から侵入される」ことも考慮すべきでしょう。これらはクラウド特有のリスク分析と対策を行う必要があります。

 つまり、単純に安いからといってサーバを移行してコスト削減をするのではなく、クラウド利用による低コストや安心できるインフラの活用をしながらも、クラウド特有の問題にも向き合う必要があるのです。

問われる「姿勢」――もちろん、具体的に。

 クラウド/ホスティングサービスを提供する業者には、セキュリティ体制の情報公開も望まれます。「ちゃんとやってます」ではなく、仮想システムの運用体制として、管理者権限の分離や、複数管理者により相互監視なども具体的に情報公開するべきです。これまで調べた多くの業者がそのような体制をとっていることをアピールポイントにはせずに、安いことのみを強調しています。

 クラウド時代になれば、このようなセキュリティの管理体制が問われます。これまでに指摘されている仮想システムのセキュリティ問題に対しても「想定内」としての監視、対応の体制をとるべきですし、そのようなインフラを提供できるからこそクラウドが意味を持つのです。

 まだ、しばらく引っ越しに時間があります。この分野の進化は著しく、新しいサービスの登場も続くでしょう。今後の発展が楽しみです。

Index

求む、納得できる仮想プライベートサーバ

Page1
クラウド、探してます
「海外はダメ」という前提での選択肢

Page2
無視できない「物理セキュリティ問題」
冗長構成にかけてきたコストが埋蔵金となる?
問われる「姿勢」――もちろん、具体的に。


インデックス

「セキュリティ、そろそろ本音で語らないか」連載目次

三輪 信雄(みわ のぶお)

S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント

1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。

そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。

また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。

上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。