検索
連載

納得できる仮想プライベートサーバ探し、その後セキュリティ、そろそろ本音で語らないか(15)(1/3 ページ)

安全、安心できる仮想サーバホスティングサービスはないものか……。お客様のデータを預けられる「納得できるサーバ」探しの旅は終わらない(編集部)

Share
Tweet
LINE
Hatena

クラウドじゃなくてもいいかも?

 第14回 「求む、納得できる仮想プライベートサーバ」で、当社のサービスをホスティングするためのクラウドサービスを探していると書きました。そのあと多くの方に意見を聞いたり、自分で調べたりするうちに「別にクラウドじゃなくてもいいのかも」と考え始めました。サービスをクラウドで利用する場合にはクラウドは威力を発揮しますが、仮想サーバを借りようとした場合で、ある程度のディスク容量が必要な場合には、従来の専用サーバも十分選択肢になることが分かってきました。

 状況はどんどん変わってくると思いますが、現在の仮想サーバホスティングでは、500Gバイト以上のディスクを借りられるサービスはほとんど提供されていませんし、大きなディスク(1Tバイト超)を借りると、とても高くなってしまいます。つまり、現状の仮想サーバホスティングサービスでは、「スモールスタートでメモリ容量もディスク容量もあまり使わない」といった場合に適しているようです。ファイアウォールサービスも多くの事業者で未対応で、iptablesを自分で設定するといったようなサービスも少なくありません。これでは、お客様のデータを預かるサービスの提供には向いていません。

 データセンター丸ごとを仮想サーバホスティング向けに使っている場合であれば、不特定多数の入退室がないので、情報セキュリティとしては安心です。しかし、ISMSなどの認証を取得しているサービス業者は少ないのが現状です。お客様から「クラウド使っているけどセキュリティ大丈夫ですか」と質問された場合に、「ISMS認証を取得しているデータセンターで運用しています」と答えられれば、お客様は納得していただくことができます。

 このコラムで書いたように、ISMSやPマークを取得しているからといって、情報漏えいに対するセキュリティの強度が十分に高いということにはなりません。ただ、日本においては業務委託先が情報セキュリティ対策を確認する手段として、「ISMSかPマークを取得していること」がデファクトスタンダードとされています。

 従って、クラウドを利用してサービスを提供する場合には、クラウド事業者がこれらの認証を取得していることが「身だしなみ」として求められることは避けられません。もちろん、認証取得とセキュリティ強度にはあまり相関関係がありませんから、別途技術的な対策の強化に努めなければならないことは言うまでもありません。

クラウドにおける「未知のセキュリティ問題」

 クラウドを利用する場合、仮想サーバならではのセキュリティインシデントに対応しなければいけません。例えば仮想サーバのイメージが盗まれてしまったり、改ざんされて入れ替えられること、あるいは、仮想サーバに隣の仮想サーバやホストOSから侵入されるなどの問題です。これらの指摘の多くは、クラウドを脅かす「起こり得る未知のセキュリティ問題」です。

 ここには既知の脆弱性のような、こなれた検知技術や防止技術が存在していません。従って、これらの情報収集と対応能力、対応スピードが重要となってきます。もし対応スピードが遅い場合には、データセンターに収容された仮想サーバが全滅することもあり得ます。これが、クラウドで仮想サーバを提供する場合の最大ともいえる事業リスクです。

 しかし、仮想ではなく“リアル”で専用サーバを利用する場合には、そのようなことに巻き込まれる可能性は高くはありません。例えば、専用サーバが物理的にラックを丸ごと盗まれることはあまり考えられません。ここでいう専用サーバとは、ラックを専用で借りて自前のサーバを運用する方式ではなく、共有のラックに1Uなどの単位で専用のサーバを借りることです。当然、お隣さん(実際には上下ですが)のサーバは誰が使っているかは分かりませんし、実際のサーバを直接操作しに行くことはできません。

Index

納得できる仮想プライベートサーバ探し、その後

Page1
クラウドじゃなくてもいいかも?
クラウドにおける「未知のセキュリティ問題」

Page2
決してムダではない「ISMS」の効能
ラックを借りる理由、それはセキュリティの確保

Page3
クラウド利用者はセキュリティのニーズを声高に要求せよ
結局、行き着いた先は……


インデックス

「セキュリティ、そろそろ本音で語らないか」連載目次

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  2. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  6. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  7. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  8. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  9. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  10. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
ページトップに戻る