セミナーレポート

「第15回サイバー犯罪に関する白浜シンポジウム」が開催

クラウドのセキュリティについて課題点を追及

このエントリーをはてなブックマークに追加

2011/6/16

 IT関連から産学の識者が集い1日中語り合う「サイバー犯罪に関する白浜シンポジウム」が今年も開催された。15回目になる今年のテーマは「クラウド」。2009年頃から、多くの企業で推進すべきとされてきたクラウドは、普及と同時に様々な課題点も見えてきた。今年の「白浜シンポジウム」では、クラウドの課題点を中心に、クラウドとの適切な付き合い方などについて、喧々諤々の議論が繰り広げられた。

講演中はサブモニターにシンポジウムのハッシュタグを通したつぶやきが表示され、講演者がそれを拾う場面もあった
講演中はサブモニターにシンポジウムのハッシュタグを通したつぶやきが表示され、講演者がそれを拾う場面もあった

民間の技術者からはインシデント時のクラウドについて


 情報セキュリティに関する調査を行っているラック株式会社の最高技術責任者、西本逸郎氏はクラウドの課題点について「親亀がこけるとその上に乗っている子亀もこける。では子亀を利用している人は親亀の存在を知っているのか?」と表現した。つまりユーザが、クラウドサービス(親亀)を元に構築されたサービス(子亀)を利用する際、親亀のことを把握していないケースが大半だ、ということだ。


 セキュリティに関するコンサルなどを行っているS&Jコンサルティング代表取締役社長の三輪信雄氏も同じ点を指摘。三輪氏は、自身の体験から「クラウドベンダーの障害時対応が、24時間とは限らない」と話し、クラウドを利用したサービスを展開している会社の場合、クラウド業者の都合で自社が対応できる時間まで変わってしまうことを問題視した。


 三輪氏は、続けてクラウドサービスを選定する際のポイントについて解説。「仮想領域だけでなく、物理領域において冗長性があること」を選定基準とした。物理的な冗長性がないサービスでは、例えば今回のような震災があった場合、サーバケースが全て倒れてしまえば仮想的な冗長性など関係なくサービスが全て停止してしまう可能性があるからだ。


 さらに物理的な冗長性を備えているサービスを提供している業者であっても、バックアップが障害時にすぐ切り替わる“ホット”スタンバイではなく、待機状態にある “コールド”スタンバイであり「東京と沖縄にサーバがあり、仮に東京がダメになってもリンクが取れてすぐに沖縄が動いている…というようなところはほとんどない」と話し、クラウドサービスの安定利用上の課題を挙げた。


 マイクロソフト技術標準部部長の楠正憲氏は、東日本大震災時の自社対応と今後に向けた取り組みについて講演。同社では各社員がPCを持ち、内線電話などもそちらで対応できるため、初期のBCPについては、特に問題がなかったようだ。一方で計画停電が発表され、郊外にあるデータセンターのある地域が対象になると「停電とはいえ止めるわけにはいかず、自家発電機で停電対策をした」と苦労を語った。


 マイクロソフトは、夏に来るだろう電力不足への対応、さらに東京での地震を見越した「計画停電対応、在宅勤務対応、省電力対応、データ保護」などの対応策としてクラウドサービスの利用を促進している。震災時にインターネットが動いていたということで、クラウドの普及が加速する可能性は高い。


 しかし同氏は、クラウド業者のデータセンターと自社で持つデータセンターの関係について「新幹線と自動車の違い」と説明する。維持費がかかる代わりに自由なシステムをいつでも動かせる自社のインフラを“自動車”、維持費がかからず利用の都度に料金を支払うクラウドを“新幹線”に例えた。「クラウドサービスが普及をしても自社のPCやサーバといったIT資産も自動車と同じように残っていくだろう」と話し、クラウドサービスがすべてに取って替わると言われるような風潮に釘を刺した。

マイクロソフトの楠正憲氏 IPAの勝見勉氏
マイクロソフトの楠正憲氏   IPAの勝見勉氏

公的な取り組みや導入経過を報告


 公的な団体ではクラウド普及とセキュリティに関する検証や技術的な課題点の克服などが進められており、講演が行われた。


 独立行政法人情報処理推進機構(IPA)セキュリティセンター主任研究員の勝見勉氏はIPAのクラウドセキュリティに関する取り組みを紹介。IPAではクラウドへの攻撃、クラウド内部における不具合、クラウドの能力そのものを使った外部への攻撃など、クラウドにおけるセキュリティの脅威を整理し、リスト化。現在もオープンな勉強会などを通して、セキュリティ脅威の存在の整理やインシデント事例の研究を進めている。


 ほかにもIPAは2011年4月25日からクラウド事業者やクラウドを活用する中小企業向けのガイドラインを提示している。大企業と比べてリソースを割きづらい中小企業が導入するにあたり、セキュアな環境でクラウドを利用するためにはユーザはどのような点をチェックすべきか、どのような環境を整えなくてはいけないかといった基準を提示している。勝見氏は「クラウドのインシデントについては、これからも継続的に追っていく必要がある」と抱負を語った。


 地方公共団体金融機構資金部長の猿渡知之氏は、自治体クラウドに向けた取り組みを紹介。来年度の目標として、市町村の健康課が持つ健康診断情報、国民健康保険にあるカルテやレセプトのデータ、介護保険にある介護情報など、同一人物のデータを同一アプリケーション上で連携させるシステムを検討したいとした。「今の機能システムを一分野で標準化することを考えた場合、将来的にほかの分野や民間企業などエリアの外との連携も含めた検討をするべき」とし、最終的には国民一人一人に提供する方法まで議論する必要性を訴えた。


 アメリカから発生したクラウドの潮流は日本にもずいぶんと浸透してきたが、その一方で、講演をしていた「民間企業」の技術者らが冷静に状況を分析しているのは印象的だった。IPAなど公的な機関によるクラウド利用の研究も進められており、日本の多くの企業にとってより有用な利用方法が提示されることに期待したい。

(井上宇紀)

【セミナーデータ】

イベント名
:第15回サイバー犯罪に関する白浜シンポジウム
主催   
:サイバー犯罪に関する白浜シンポジウム実行委員会
開催日  
:2011年5月26日~28日
開催場所 
:和歌山県立情報交流センターBig・U(和歌山県田辺市)

【関連カテゴリ】

クラウド