クラウド利用時にクリアすべきリスクと課題:なぜクラウドは「不安」なのか(後編)(1/3 ページ)
前編「クラウドコンピューティングの心理的課題」に引き続き、クラウドを利用する上で把握しておきたいリスクと課題について解説する(編集部)
クラウドサービス利用におけるセキュリティ面での考慮事項
クラウドサービスに対する利用者の不安を少しでも取り除くために、セキュリティ面での課題について整理する。
ENISAでも言及されているように、クラウドコンピューティングはこれまでの技術の組み合わせであり、その運用レベルを高めたものである。これまで個々の技術では課題やリスクと認識されなかったことが、技術の重ね合わせや従来と異なる活用方法により、課題やリスクの影響度が大きくなり、重要な課題やリスクであると認知されるようになってきた。この見解については、Cyber Lawで著名な弁護士や監査士(監査法人、情報セキュリティ監査人)、データセンター事業者、セキュリティベンダなどの有識者の間でもおおむね一致している。
クラウドサービスを利用する際のリスクや課題は、サービスが社外のデータセンター上で供給されるために、利用側がその実態を把握することが困難であることに起因することが多い。 ASPやホスティングサービスの利用でも存在していたリスクや課題とも考えられるが、クラウドの特性から影響を受けているリスク・課題も存在する。例えば、仮想化技術を用いたマルチテナント化に伴う物理リソースの共有に起因するデータの機密性や、従量課金に関連したEDoS(Economic Denial of SustainabilityまたはEconomic Denial of Service)などは、クラウド色の強い課題であるだろう。
上記を踏まえ、パブリックに提供される各種クラウドサービス(SaaS/PaaS/IaaSを含め)を利用する利用者の観点で課題整理を行うと、大別して、
- 法・制度的観点からみた課題
- 技術的観点からみた課題
- 運用の観点からみた課題
に分類できる。それぞれの分類に対して少しコメントを加えたいと思う。
法・制度的観点からみた課題
当然のことであるが、クラウドコンピューティングが世にうたわれる前から、法・制度は制定されているため、必然的にクラウドサービスなども法・制度への順守が必要となってくる。
利用者の業種により関連する業法も異なるであろうが、定められたルールに従わなければならない。しかしながら、利用対象のクラウドサービスが、法・制度を順守するものとなっているかを利用者側では判断しにくい、あるいはできない部分もある。そのような場合は、クラウド事業者側に情報開示を求め、適切に守るべき法が順守されていることを確認し、事業者側では対応しきれない部分は利用者自身でカバーすることが可能であるかを判断する必要がある。
最も大きなリスク・課題は、データ保護である。
海外の大手クラウド事業者のサービスを利用すると、利用者が預託したデータへのサービス可用性を確保するために、世界各地の複数サーバに分散して保存するケースも多い。
このような場合に、預託したデータを利用者が削除した際に、各地に保存されたすべてのデータが削除されないと、データの不正利用につながる恐れや個人情報保護法を守れない恐れがある。営業秘密や個人情報などの重要データをクラウド上へ預け入れる場合には、データの暗号化などの対策を利用者側で行うことも必要となるだろう。
ほかにも海外に設置されたサーバへ利用者のデータを保存するケースでは、サーバ設置国やネットワークの経由国の法律に縛られることが考えられる。
クラウド事業者が何らかの訴訟や犯罪強制捜査に巻き込まれた際は、捜査機関によるサーバの差し押えが発生し、預託したデータの機密性が損なわれる可能性がある。このような事態が想定されるため、サービスの準拠法を事前に確認しておく必要がある。
海外の大手クラウド事業者の中には、日本の利用者の不安を取り除くために、データセンターを日本に設置したり、日本の法律に準拠することを明示したりするところもある。
経済産業省「クラウド・コンピューティングと日本の競争力に関する研究会 報告書(案)」(パブリックコメントの募集は2010年07月21日まで)では、先に述べたような課題なども含め、現時点の法制度の見解に加えて、今後の制度整備に関する大まかなスケジュールが記載されている。このような状況も踏まえ、法制度面のリスクを理解していくことが必要である。
【参考】
「クラウド・コンピューティングと日本の競争力に関する研究会 報告書(案)」に対する意見公募
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=595210017
大分類 | 小分類 | リスク・課題の内容 |
---|---|---|
法・制度 | 国外 | ・サーバ設置国やネットワーク経由国の法令によって情報開示が義務付けられる場合に、データの機密性が守られず、情報が強制的に閲覧される可能性がある ・クラウド事業者の事業主体が海外にある場合、海外の準拠法が指定されるケースがある ・犯罪捜査によりクラウド事業者が保有するサーバが捜査当局に押収された場合、利用者は事業を継続できなくなる可能性がある ・EU圏内に現地子会社を有する企業がクラウドを利用する場合、第三国への個人データ移転となる可能性がある |
国内 | ・営業秘密をクラウドで管理した場合、不正競争防止法の秘密管理性の要件を満たすことができなくなる可能性がある ・利用者がデータを削除したときにすべてのデータ削除されないと、データの不正利用による著作権侵害や、個人情報保護法違反のリスクが生じる |
|
ITガバナンス | ITガバナンス | ・利用者が内部監査を行う場合に、必要な監査証跡をクラウド事業者が提供できない場合がある |
コンプライアンス | ・クラウド環境上に保存されたデータの物理的な所在が明らかでないと、データの不正アクセスがどのサーバで発生したか特定できない可能性がある | |
表1 法・制度的観点からみたリスク・課題 |
Copyright © ITmedia, Inc. All Rights Reserved.