セミナーレポート

クラウドのセキュリティについて講演

クラウドサービスにおけるセキュリティについて警鐘

このエントリーをはてなブックマークに追加
2011/3/7

 財団法人日本情報処理開発協会(JIPDEC)は、2011年1月27日、28日に「情報セキュリティ総合的普及啓発シンポジウム」を開催した。同シンポジウムの目的は、国内の様々な団体で行われている、情報セキュリティに対する取り組みにおいて相互連携を図ることにある。

 第6回目にあたる今回のテーマは「クラウド」。 1日目は「クラウドと情報セキュリティ」、2日目は「クラウドとソフトウェア資産管理(Software Asset Management、SAM)」、という切り口で講演が行われた。

IPAセキュリティセンター普及グループ 河野省二氏
IPAセキュリティセンター普及グループ
河野省二氏

クラウド×情報セキュリティ


 「クラウド・コンピューティング」という言葉が使われるようになってすでに久しい。ところが、クラウドの利用者が拡大していく一方で、利用によるリスクについてはまだ研究が遅れがちだ。


 独立行政法人情報処理推進機構(IPA)の河野省二氏は、クラウドサービスの安全利用について講演。同機構が、中小企業など、クラウドサービスの利用者に対してアンケートを実施したところ、セキュリティとコストに関する不安が挙げられたという。河野氏は「これらの不安を払しょくするためには、クラウドサービスに関するセキュリティとコストの『見える化』が必要だ」と話している。


 IPAと経済産業省は、「見える化」促進への取り組みとして、 「クラウドサービス利用のための情報セキュリティマネジメントガイドライン(案)」を策定中だ。


 企業の情報を、外部に預けるクラウドサービスにおいては、クラウド事業者側の情報に関する管理基準が、非常に重要になってくる。そのため同ガイドライン案は、クラウド利用者側、事業者側双方の管理基準を決めることで、将来的には、第3者機関による監査にも活用できるガイドラインを予定している。河野氏は「(ガイドラインにより)情報セキュリティおよび事業者におけるシステム運用が見えないことに関する不安を見える化することで、クラウドの有効活用と安全利用をサポートしたい」とした。


法律関係の問題点も…


 IT関連の講演に多数登壇している弁護士の岡村久道氏は、クラウドのリスクとセキュリティついて、法律的な面からアプローチ。クラウドによるリスクのひとつ「カントリーリスク」について説明をした。


 例えば、アメリカ合衆国の「愛国者法」は、あらゆるデータが政府要請に対して情報開示義務が生じるというものだ。そのため、個人情報を利用者に明示した目的以外での利用を禁じている「個人情報保護法」などと衝突する可能性もある。 ほかにも岡村氏は、特定の技術を特定の外国で使用する際に経済産業大臣の認可が必要となる「外国為替法及び外国貿易法」に、クラウド上で使う「暗号化技術」が抵触する可能性や、著作権の侵害に対するストレージ事業者の責任範囲の問題など、「クラウドサービス」を利用する上で様々な法律が未整備である状況を列挙した。


 パネルディスカッションでは、情報セキュリティ普及実行評価委員の西本逸郎氏が「クラウド事業者に依存しすぎないように」と釘を刺した。

 利用者側が、クラウド事業者に依存しすぎることは、透明性という点でも問題がある。「クラウド事業者を利用しているつもりが、使い続けて慣れてしまうことで、茹でガエル現象に陥りかねない。毎年、このクラウドサービスが必要なのか見極めるためのマイルストーンを設ける必要がある」と西本氏は指摘。クラウドサービス自体に投げてしまわずに、常に利用者側がマネジメントを意識しておく必要性を訴えた。

西本逸郎氏   手島伸行氏
西本逸郎氏   手島伸行氏

SAMについても言及


 2日目は、クラウド利用とそれに伴うソフトウェア資産管理(Software Asset Management、以下SAM)について各界の有識者が登壇した。SAMとは、企業などが持っているソフトウェアや、ソフトウェアを稼働できるハードウェアなどといった情報関連の「資産」を把握するための仕組みのこと。


 ソフトウェアのバージョンや、パッチの適用状況などを管理することで組織内の情報セキュリティを確保するためには重要になるほか、個人による勝手なソフトウェアインストール、ソフトウェアの違法コピーといったリスクを下げる効果もある。


 ソフトウェア資産管理評価検討委員会の手島伸行氏は「クラウド化の加速により、利用形態が多様化し、ソフトウェア資産の可視化が複雑になっている」と説明し、クラウド・コンピューティングが爆発的に普及している現状、「すぐにでも適切なSAM体制の構築をすべき」とした。


 クラウド関連のシンポジウムに出席すると、安易にクラウド業者へ依存することについて、課題を挙げる講演が目立つ。クラウド・コンピューティングに関するマルウェアはまだ潜伏期間との報告もあり、このような講演が行われることで、利用者側のコントロール内でクラウド事業者を適切に利用する、という考え方が浸透することを望みたい。

(井上宇紀)

注釈

*:茹でガエル現象
熱湯と、徐々に加熱する水を用意し、それぞれにカエルを入れると熱湯に入れた方はすぐに逃げ出すが、水に入れたカエルは加熱に気がつかず死んでしまう、という逸話に基づき、環境変化へ対応することの重要性を説いた警句。

【セミナーデータ】

イベント名
:「情報セキュリティ総合的普及啓発シンポジウム」
主催   
:JIPDEC(日本情報処理開発協会)
開催日  
:2011年1月27日~28日
開催場所 
:有楽町朝日ホール(東京都千代田区)

過去のセミナーレポート

NSF2011が開催(2011/3/3)

【関連カテゴリ】

クラウド