納得できる仮想プライベートサーバ探し、その後：セキュリティ、そろそろ本音で語らないか（15）（1/3 ページ）

安全、安心できる仮想サーバホスティングサービスはないものか……。お客様のデータを預けられる「納得できるサーバ」探しの旅は終わらない（編集部）

» 2010年06月23日 10時00分公開

クラウドじゃなくてもいいかも？

　第14回「求む、納得できる仮想プライベートサーバ」で、当社のサービスをホスティングするためのクラウドサービスを探していると書きました。そのあと多くの方に意見を聞いたり、自分で調べたりするうちに「別にクラウドじゃなくてもいいのかも」と考え始めました。サービスをクラウドで利用する場合にはクラウドは威力を発揮しますが、仮想サーバを借りようとした場合で、ある程度のディスク容量が必要な場合には、従来の専用サーバも十分選択肢になることが分かってきました。

　状況はどんどん変わってくると思いますが、現在の仮想サーバホスティングでは、500Gバイト以上のディスクを借りられるサービスはほとんど提供されていませんし、大きなディスク（1Tバイト超）を借りると、とても高くなってしまいます。つまり、現状の仮想サーバホスティングサービスでは、「スモールスタートでメモリ容量もディスク容量もあまり使わない」といった場合に適しているようです。ファイアウォールサービスも多くの事業者で未対応で、iptablesを自分で設定するといったようなサービスも少なくありません。これでは、お客様のデータを預かるサービスの提供には向いていません。

　データセンター丸ごとを仮想サーバホスティング向けに使っている場合であれば、不特定多数の入退室がないので、情報セキュリティとしては安心です。しかし、ISMSなどの認証を取得しているサービス業者は少ないのが現状です。お客様から「クラウド使っているけどセキュリティ大丈夫ですか」と質問された場合に、「ISMS認証を取得しているデータセンターで運用しています」と答えられれば、お客様は納得していただくことができます。

　このコラムで書いたように、ISMSやPマークを取得しているからといって、情報漏えいに対するセキュリティの強度が十分に高いということにはなりません。ただ、日本においては業務委託先が情報セキュリティ対策を確認する手段として、「ISMSかPマークを取得していること」がデファクトスタンダードとされています。

　従って、クラウドを利用してサービスを提供する場合には、クラウド事業者がこれらの認証を取得していることが「身だしなみ」として求められることは避けられません。もちろん、認証取得とセキュリティ強度にはあまり相関関係がありませんから、別途技術的な対策の強化に努めなければならないことは言うまでもありません。

クラウドにおける「未知のセキュリティ問題」

　クラウドを利用する場合、仮想サーバならではのセキュリティインシデントに対応しなければいけません。例えば仮想サーバのイメージが盗まれてしまったり、改ざんされて入れ替えられること、あるいは、仮想サーバに隣の仮想サーバやホストOSから侵入されるなどの問題です。これらの指摘の多くは、クラウドを脅かす「起こり得る未知のセキュリティ問題」です。

　ここには既知の脆弱性のような、こなれた検知技術や防止技術が存在していません。従って、これらの情報収集と対応能力、対応スピードが重要となってきます。もし対応スピードが遅い場合には、データセンターに収容された仮想サーバが全滅することもあり得ます。これが、クラウドで仮想サーバを提供する場合の最大ともいえる事業リスクです。

　しかし、仮想ではなく“リアル”で専用サーバを利用する場合には、そのようなことに巻き込まれる可能性は高くはありません。例えば、専用サーバが物理的にラックを丸ごと盗まれることはあまり考えられません。ここでいう専用サーバとは、ラックを専用で借りて自前のサーバを運用する方式ではなく、共有のラックに1Uなどの単位で専用のサーバを借りることです。当然、お隣さん（実際には上下ですが）のサーバは誰が使っているかは分かりませんし、実際のサーバを直接操作しに行くことはできません。