ビジネス+IT

ビジネス課題別で探す

ITジャンル別で探す

会員限定

2017年08月01日

ガートナー イアン・マクシェーン氏が解説

クラウド・セキュリティにまつわる3つのリスク、どう克服すればよいのか?

クラウドコンピューティングが爆発的に拡がる現在、安全かつ迅速なクラウド導入は、企業にとって喫緊の課題だ。だが、いまだにセキュリティへの懸念を払拭できないまま、導入はおろか具体的な検討にも踏み切れないケースは少なくない。こうした状況下で、企業はどう「クラウド・セキュリティ」を考え、自社の業務システムへの導入を進めていくべきなのか。ガートナー リサーチ部門 リサーチ ディレクター イアン・マクシェーン氏が解説する。

photo

クラウドのセキュリティはどう考えればよいのか

(© bluebay2014 – Fotolia)

※本記事は「ガートナー セキュリティリスク・マネジメント サミット 2017」の講演内容をもとに再構成したものです。

クラウドのセキュリティ対策を考える上での3つのリスクとは?

関連記事
 クラウドコンピューティングは、現在もっとも大きな盛り上がりを見せている。だが、注目度の高まりにもかかわらず、多くの企業はいまだ基幹的なワークロードやデータのクラウド移行に、強い懸念を持っている。

 クラウドコンピューティングは今なお進化中の技術だけに、クラウド・セキュリティにおけるベストプラクティスもいまだ定まっていないからだ。安全を最優先とするエンタープライズのユーザーにしてみれば、こうした危惧はむしろ自然な反応といえる。

 マクシェーン氏は、クラウド・セキュリティとは「クラウドベースのシステムへのアクセスおよび利用方法をセキュアにコントロールすることであり、そのために必要なプロセスとメカニズムを構築する取り組み」だと定義する。そして、取り組みにあたっては、以下の3つのリスクが存在すると指摘する。

1.マルチテナントのリスク

 クラウドサービスプロバイダの提供する環境や仕様、サービスを、ユーザー側がいかにコントロールするかというリスク。

2.仮想化のセキュリティ

 仮想環境下におけるワークロードのセキュリティを、どのようにデザインするかというリスク。

3.SaaSコントロール

 SaaSのアプリケーションに使用するデータを、どのように保護するかというリスクである。

「とりわけSaaSコントロールは、近い将来クラウドファーストモデルが広く普及すれば、非常に重要になる。というのも、クラウドファーストの時代では、顧客が所有するものデータだけになるだろう。そうなった時に、データ保護は最も重要なポイントだ」

photo
(クリックで拡大)

クラウド・セキュリティの定義

(出典:ガートナー)


マルチテナントのリスクはティア1〜3に分類すべし

 上記3つのリスクとその対応について、それぞれ詳しく見ていこう。

1.マルチテナントのリスク

 クラウドにおけるマルチテナント方式に対しては、さまざまな懸念が持たれている。他の企業や組織とシステムを共有せざるを得ないため、本当にセキュアな状態が保たれているのかどうかがわからない。

 そもそもインフラもネットワークも自分たちで所有しないため、データを物理的に制御できない。カスタマイズが難しく、与えられた契約条件の中でしか使えない、といったことが主な課題だ。

 それでも、クラウド化が拡がる中で、いつまでも頑なに導入しないでいるわけにはいかない。そこで、いよいよ導入に取り組もうと考えた場合、もっとも重要なポイントは、そのクラウドのセキュリティが本当に担保されているのかを、どう評価し判断すればよいかという問題だ。

 実際のところ、マルチテナント型とプライベートクラウドとのセキュリティの違いは客観的に証明されていない。にもかかわらず、一般的にマルチテナント型はプライベートクラウドよりもセキュリティが低いと思われがちだ。

「しかしガートナーの調査によれば、そのことを裏付ける具体的な事実は今のところ存在しない。むしろ現在のパブリッククラウドやSaaSアプリケーションは、ユーザーが独自で構築するデータセンターやアプリケーションのレベルをはるかに超えてセキュアだということができる」

 つまり重要なのは、『マルチテナント型はセキュリティが低い』という世間一般の思い込みに惑わされることなく、自分たちが利用しようとするマルチテナント型クラウドのリスクを正確に評価することなのだ。

 その具体的な手法として、マクシェーン氏は「クラウド サービス プロバイダーのロングテールを理解する」というヒントを掲げる。ここではまず、クラウド サービス プロバイダーを、各々の特性ごとに下の3つの領域に分類する。

1.ティア1

 AWSやGoogle、Microsoftなど、大手のブランドの「クラウドファースト」の組織。世界で100社以下の選ばれた存在で、クラウド技術を始めて5年以上の実績を持っている。またマーケットに対するコミットメントも明示されている。

1.ティア2

 信頼できる企業で規模も相当のものがあるが、ビジネスモデルがクラウドファーストではない組織。実績もティア1に比べると少なく、セキュリティの第三者評価がない場合もある。

3.ティア3

 ティア1、2以外の小さな組織で、セキュリティについても未知数。ティア1、2の提供するプラットフォームに付随するアプリケーションなどを提供することが多い。このセキュリティは確保されていないと考える。

 マクシェーン氏は、この分類をもとに、「クラウドサービスを利用する企業は、この3つのうち、ティア2に対するリスク管理を集中するべきだ」と主張する。

 ティア1は、実績や技術力、資金面で安定しており、セキュリティへの評価はほぼ確立されている。このため、さほど大きな労力をさかずに導入することが可能だ。反対にティア3は最初からリスクの存在が予想されており、それをあえて許容するという判断がなければ使わない。

 その中間であるティア2は、もっとも大きなボリュームゾーンであり、リスクの検証・評価さえ的確に行うことができれば、利用できるリソースは非常に大きい。ユーザー企業はこのティア2にリスク管理のエネルギーを集中することが、選択肢も多くかつセキュアなクラウドサービスの導入・活用につながるとマクシェーン氏は説明する。

photo
(クリックで拡大)

クラウド・セキュリティのリソースはティア2に注力すべきという

(出典:ガートナー)


【次ページ】ビジネス部門に一体化していくメリットとデメリット

お勧め記事

セキュリティ総論 ジャンルのトピックス

一覧へ

セキュリティ総論 ジャンルのIT導入支援情報

一覧へ

PR

注目のIT導入支援情報

一覧へ

注目のイベント・セミナー情報

一覧へ

イベント・セミナー情報の登録(無料)

記事アクセスランキング

イベント・セミナー情報アクセスランキング