クラウド・コンピューティングが抱える7つの“セキュリティ・リスク”
サービス利用の前にサードパーティへの評価依頼を検討すべき米国の調査会社Gartnerは先ごろ、「Assessing the Security Risks of Cloud Computing」と題した調査リポートを発表した。その中でGartnerは、クラウド・コンピューティングはセキュリティ上のリスクをはらんでいると警告しており、サービス利用の前には問題となりそうな点を厳しい目で洗い直し、中立的なサードパーティへの評価依頼を検討するのが賢明だとアドバイスしている。
Gartnerによれば、クラウド・コンピューティングは、データの完全性や復旧、プライバシーなどのリスク評価のほか、電子情報開示、コンプライアンス、監査に関する法的問題の評価が必要だという。
Gartnerは、クラウド・コンピューティングについて、「きわめてスケーラビリティの高いITシステムを『サービス』として提供するタイプ」のコンピューティングと定義しており、Amazon.comの「EC2」やGoogleの「Google App Engine」をその例として挙げた。
一方、サービスを利用する顧客に対しては、セキュリティ・プログラムに関する詳細情報の開示を拒むクラウド・ベンダーの利用を避け、透明性を保てるように心がけねばならないと述べている。ポリシー作成者/アーキテクト/コード記述者/オペレーターの持つ資格についてベンダーに質問し、リスク管理の手順や技術的な仕組みを確認することが必要だとする。
また、「サービスや管理プロセスは意図したとおりに機能しているか」「予期せぬ脆弱性を把握する能力はあるか」などの検証テストをベンダー側がどの程度行っているかについても、顧客はチェックしなければならないとしている。
クラウド・ベンダーを選択するにあたり、顧客がベンダーに確認するべきセキュリティ関連事項は次の7項目だとGartnerは説明している。
- 1
- 2
