クラウドが浸透した場合、技術的な面からはどのような脅威が存在するのだろうか。「クラウドの脅威は、今まであったインターネット上の問題点・脅威を引きずった形のものが多い」――KDDI株式会社のセキュリティフェロー・中尾康二氏は、クラウドセキュリティにおける技術的な課題についてそう語る。
例えば、DOS攻撃やSQLインジェクション、スパイウェアによる情報盗難など、クラウド利用以前からあった、マルウェアによる攻撃がクラウド界隈にも入りこんでくる可能性が高い、ということだ。
ところが中尾氏は「マルウェア自体はこれまでの延長だが、スパイウェアが入りこんだ際には被害が物理的に同じ空間にいる別ユーザの情報にまで広がる可能性がある」とクラウド特有の問題点も指摘する。
クラウドはマルチテナントと言って、仮想化された空間の中に、複数のユーザのデータが入っている。仮に仮想化環境の動きをスパイウェアなどで解析された場合、物理的に分けられていないクラウドでは、ほかの人のデータが見えたりプロセスに入り込んだりできる可能性があるのだ。
 |
| KDDI株式会社セキュリティフェロー中尾康二氏 |
「キーロガーでクレジットカード番号を盗む」という、従来のサイバー攻撃で行われていたことをクラウドでやられると、これまでとは比較にならない規模で大量に盗まれる可能性があるわけだ。「また名前を偽ってクラウドを借りることでユーザ側は匿名性を保てるため、それが悪用されるケースもある」。中尾氏は2011年4月に発生したソニーのPSN(プレイステーションのネットワーク)が受けた被害もこのケースだと分析する。
クラウドを借りる際、ユーザの住所や電話番号といった個人情報も正しく書かれる保証はなく、そのため貸したプロバイダはユーザの真贋も判別できない。もちろんユーザとプロバイダがきちんとした契約を結んで利用する場合もあるが、一方で大きなサーバ運営をしているクラウドサービスの場合、WEB上で簡単に借りられるものもある。そのようなクラウドに登録する際の匿名性を悪用して、いわゆる「なりすまし」攻撃をしかけられるわけだ。
プロバイダがクラウドサービスを提供する際、ユーザ側としては「何千台もあるサーバを的確に管理しているのか」「管理しているとして、それを誰が証明するのか?」「BCPは策定されているか」「プロバイダが倒産したら預けていた情報はどうなるのか?」など…ユーザ目線で気にかかる点は多くある。
米国では、2011年2月から、省官庁がクラウドを利用する場合において、満たすべき条件として「FedRAMP」というガイドラインを設けている。そのためか「米国国内向けのクラウドサービスのサーバはすべて米国内にある」(中尾氏)という。グーグルも法律やセキュリティのリスクを考慮してか、EUにサービスを提供する場合、サーバはEU内にとどめているなど、意外な制約のもとにサービスを展開している。
 |
 |
|
| IPAが整理したセキュリティ課題の全体像。図1が課題全体、図2がクラウド固有の問題になる。(出典:情報処理推進機構「クラウドセキュリティをめぐる世界の潮流」)(クリックすると拡大します) | ||
日本国内においても、様々な機関においてクラウドにおけるセキュリティリスクの研究が行われてきた。図1は多くの機関洗い出してきたリスクをIPA(情報処理推進機構)がまとめ上げたものだ。データセンターにおける物理的なセキュリティから法的な対応、システム、管理運営基準までマトリクス図で提示しており、理屈としてはこれだけの課題点が存在することがわかる。
図2はさらにそこからクラウド特有のリスクを抜き出したものだ。ここで洗い出されたのは、飽くまで提供側のみのリスクであり、実際にはユーザ側によるリスクも存在するが、この図では割愛している。
