| クラウドコンピューティングにおけるセキュリティの啓蒙を行う業界団体「Cloud Security Alliance(CSA)」が『Top Threats to Cloud Computing』を発表して、しばらくの時間が経過しました。本ブログの読者も、すでに『Top Threats to Cloud Computing』の内容は確認済みだと思います。 |
| 脅威名 | 影響を受ける サービスモデル |
概要 |
| Abuse and Nefarious Use of Cloud Computing | IaaS PaaS |
攻撃者にクラウド環境が悪用され、外部ユーザに攻撃が行われる可能性がある。 |
| Insecure Application Programming Interfaces | IaaS PaaS SaaS |
クラウド環境で利用するインターフェースやAPIに問題があった場合、利用者のセキュリティを維持できない可能性がある。 |
| Malicious Insiders | IaaS PaaS SaaS |
クラウド環境の提供元に、悪意を持った社員がいた場合、利用者全体に影響を与える可能性がある。 |
| Shared Technology Vulnerabilities | IaaS | マルチテナントに対応していないコンポーネントが存在する場合、利用者が他の利用者に影響を与えてしまう可能性がある。 |
| Data Loss/Leakage | IaaS PaaS SaaS |
クラウド環境に保存したデータの破損や、クラウド環境から情報が漏えいする可能性がある。 |
| Account, Service & Traffic Hijacking | IaaS PaaS SaaS |
クラウド環境のアカウントやサービスが、攻撃者によって乗っ取られる可能性がある。 |
| Unknown Risk Profile | IaaS PaaS SaaS |
クラウド環境の提供元が、利用者に対して、メンテナンス情報やログ情報等の運用上必要な情報を提供しない場合、利用者側でクラウド環境を利用するリスクを計測できない可能性がある。 |
筆者は、これらの脅威を見て、『クラウド環境だからこそ発生する脅威』というものは少なく、むしろ既存環境でもすでに確認されている脅威が多いように感じました。
■クラウド環境からの情報漏えいについて
特に『Data Loss/Leakage(データ消失/漏えい)』は、今までの物理環境でも度々問題になってきた課題です。不正プログラムや PC の盗難・紛失などによる情報漏えい事件の多発を受け、その対策の必要性が求められるようになってすでに数年が経過していますが、この問題はクラウド環境でも存在しています。クラウドの拡大に伴い、今後も情報漏えい関連の事件が多発していく可能性があります。
クラウドは企業に様々なメリットをもたらしますが、サービス・プロバイダと利用者との責任の範囲が不明瞭になり、データの管理状況の把握がさらに難しくなると予想されます。
特に、サービス・プロバイダが、国外のデータセンタにデータを保管している場合には、法解釈も含め種々の問題点が引き起こされる可能性があります。
第三者機関のクラウド・サービスを利用する場合は、自社のデータを預ける以上、データ保護(バックアップの取得、データの保護を考慮した API の設計など)が実施されていることや、サービス終了時に確実にデータが削除されることをサービス・プロバイダに確認するとよいでしょう。
クラウドに保存されたデータが暗号化され、利用環境やクラウドの利用者に紐付く形で復号されるようなソリューションが求められます。
データを暗号化することによって、第三者によるデータへのアクセスを防ぎ、正規の利用者のみが自身のデータを利用できるようになります。
 |
|
|
仮に、サービス終了時にデータが削除されずに残ってしまったような場合でも、暗号化によってデータが守られるため、重要なデータが外部に漏えいするリスクを低減することができます。
安心してクラウド環境を利用するためにも、第三者機関のクラウド・サービスを利用する場合は、データの暗号化をはじめ、各脅威に対してセキュリティを考慮しているサービス・プロバイダを利用することが推奨されます。