ビジネス+IT

ビジネス課題別で探す

ITジャンル別で探す

会員限定

2010年02月25日

ラック 新井悠氏、KDDI 中尾健二氏、NICT 三輪信介氏

クラウドのセキュリティに死角はないのか、インシデント対策、トレーサブルネットワーク、セキュリティ基盤の視点で検証

今やIT業界のみならず、多様な業界で注目を集めているクラウドコンピューティング。“使いたいときに使いたい分だけITを使えるしくみ”として、企業のIT環境にパラダイムシフトをもたらすと言われている一方、社外にデータを持つことにセキュリティ上の死角はないのか。NICT主催の「クラウドコンピューティング時代のセキュリティ」では、同機構の4研究グループ(インシデント対策、トレーサブルネットワーク、セキュリティ基盤、防災・減災基盤技術)の視点から、クラウドのセキュリティ対策についての分析結果の発表と提言が行われた。

執筆:丸山隆平

クラウドの悪用方法

photo

ラック サイバーリスク総合研究所長 新井悠氏

 まず、講演で注目だったのはラック サイバーリスク総合研究所長 新井悠氏の「クラウドを悪用した攻撃の実態」。同社は24時間365日のサイバー攻撃に対する監視サービスを顧客に提供しており、新井氏はクラウドを悪用した攻撃が現実にどれほどわれわれの身の回りに現れているのかについて解説した。

 まず同氏はクラウドの悪用方法として、以下の3パターンを上げた。

1.クラウドのリソースを使って認証を突破するもの

 「パスワードに使われる暗号を解読するのに、数年前なら、非常に多くのPCを必要としたが、現在では、クラウドのリソースを使い、個人が暗号を破っている」と実態を紹介した。米国の専門家の実験によると、従来方法では暗号鍵を作るのに5日要していたが、現在ではAmazon EC2を使用すると、54万以上の鍵を2〜4時間で作成でき、しかもその鍵は使い回しが可能で、非常に安価、かつ効率的に脆弱性を突くことが可能になったのだという。

2.クラウドでボットネットを運用するケース

 ウイルスに感染したPCに対し、ウイルスをばら撒くように指令を行うコマンドアンドコントロールサーバーを GoogleのApp Engineを使用して作成した例があるという。

3.クラウドを使っての攻撃や迷惑メールを送信するケース

 「クラウドの内部にボットが存在し、一般企業のホームページに攻撃を仕掛けているケースを当社の監視センターが観測している」。攻撃は2008年から観測されており、Amazon EC2が使われ、「現在では2008年に比べ攻撃は4倍に増えている」という。

photo
(クリックで拡大)

(クリックで拡大)



 こうした3つの実例を踏まえ新井氏は、「従来からある犯罪者向けのホスティングサービスと同様の悪用方法としてIaaS(Infrastructure as a Service)が使用されている実態が昨年から観測されている。悪用方法自体は従来と同じだが、問題はクラウドが普及につれて、セキュリティに対する投資が増加することになり、クラウドの『手ごろで安い』メリットが減退することだ。このため、セキュリティの担保が重要であるとともに、一般の利用者にクラウドの安全性が分かる仕組みが必要だ。それもお墨付きや認証ではなく、もう少し分かりやすいものが求められる」と述べた。

セキュリティ総論 ジャンルのセミナー

一覧へ

セキュリティ総論 ジャンルのトピックス

一覧へ

セキュリティ総論 ジャンルのIT導入支援情報

一覧へ

PR

注目のIT導入支援情報

一覧へ

注目のイベント・セミナー情報

一覧へ

イベント・セミナー情報の登録(無料)

記事アクセスランキング

イベント・セミナー情報アクセスランキング