6人の専門家が指南する「SaaS/クラウドのセキュリティ対策」
リスクを正確に把握し、セキュリティ要件を明確にするSaaS/クラウドを利用して、インターネット経由でサービスとして提供される各種コンピューティング・リソースに依存する企業がますます増えている。しかし、セキュリティ専門家の中には、ユーザー企業がリスクを考慮せずにクラウドの導入を進めていると懸念している向きも少なくない。
ハードウェアとソフトウェアを自社で購入して運用管理していく際のコストを考えると、自社のシステムの一部をSaaS/クラウド・コンピューティングに置き換えることは、すばらしいアイデアのように思われる。実際に、それによって得られるメリットは大きい。ITインフラがインターネット経由でサービスとして提供されれば、ITインフラに関する専門的なノウハウや管理体制が不要になる。すべてをクラウドに置いて、面倒なことは忘れていられるというわけだ。サーバやストレージ、スイッチやルータなど、多種多様な機器を詰め込んだサーバ・ルームで、それらの面倒を見る担当者を置く人件費もかからない。
だが、SaaS/クラウド化が進んでいく影で、セキュリティを確保するための技術の導入や体制の整備がおろそかになっているようだ。このようなセキュリティ軽視の傾向は、登場間もない新たな技術を展開する際には、よく見受けられる。
以上のような状況を踏まえ、SaaS/クラウドのセキュリティ要件を明確にすることが本稿の目的だ。CSO米国版では、本稿の執筆にあたり、まずLinkedInに開設されているいくつかのセキュリティ・フォーラムを通じて、数人のITセキュリティ関係者に取材を行った。以下では、SaaS/クラウド・コンピューティングとはそもそも何か、その利用に際してどのようなセキュリティ対策を取らなければならないのかということについて、6人のITセキュリティ専門家から得られたコメントを紹介しよう。
“セキュリティが万全だと訴えるのは簡単。 だが、それでよいのだろうか……”
マット・シュナイダー(Matt Schneider)氏 米国Ford Motor Companyのセキュリティ・コンサルタント兼シニアWebデザイン・アーキテクト
わたしはSaaS/クラウドのセキュリティに非常に関心を持っている。というのも、われわれは、従来の電子メール、チャット、掲示板、コラボレーション・ツールを代替するWebアプリケーションを開発しており、その安全性を担保しながら多数のユーザーに対してサービスを配信しようとしているからだ。
開発中のWebアプリケーションで扱うすべてのコンテンツは、Webサーバとデータベース・サーバ上で強力な暗号化が施される。わたしは、このソリューションの安全性について専門家から客観的な意見を得るために、セキュリティ分野の人的ネットワーク作りに取りかかったところだ。
ほとんどのユーザーはセキュリティを気にしない
ユーザーから預かっているデータを共有ホスティング・サイトに平文で保存しておきながら、「データ保護に最善を尽くしている」と訴えることは、実は非常に簡単なことだ。わたしがWebアプリケーションの開発に携わってきた経験から得た教訓は、「ほとんどのユーザーはWebサイトの注記を読まない」ということだ。たとえ読んだとしても、データ保護はサービス提供者側に任せきりにするだろう。
大抵のユーザーは、自分の個人情報はほかの人にとっては価値がないし、自分が使用しているWebアプリケーションがハッキングされることはないと信じている。かく言うわたし自身も、さまざまなWebアプリケーションに自分の個人情報を預けており、この数年の間に、ネット・ショッピングでクレジットカードを何百回も使っている。そして、わたしが把握しているかぎり、わたしのクレジットカード番号が盗難や漏洩に遭って悪用されたことは一度もない。だが、それは幸運だっただけなのだろう。
われわれがインターネットで扱うデータの大半は機密情報ではなく、盗難や消失を防ぐために保護しなければならないデータはそれほど多くはない。例えば、いまあなたが読んでいるこの文章だ。わたしはCSO米国版編集部からの依頼に応じて、LinkedIn上でこの文章を執筆している。LinkedInのサーバ上では、この文章が暗号化されることはまずないと思う。もし、われわれが話し合っている内容に機密情報が含まれていたら、LinkedInによる意見交換は最もふさわしくないコミュニケーション手段の1つだと言える。
SaaS/クラウドのセキュリティについて、一般的なユーザーが気にかけているかどうかは疑問だ。実際のところ、ほとんどのユーザーはそんなことを考えもしないと思う。FacebookやTwitterのように、ハッキングされたことがあるにもかかわらず人気を博しているWebアプリケーションはいくらでもある。ユーザーが本当に高いセキュリティ意識を持っているならば、過去にハッキング事件があったようなアプリケーションはとっくに使うのをやめているはずだ。
Webアプリが安全だと納得させる方法とは?
では、ITに詳しいユーザーに対して、Webアプリケーション(特にユーザーが機密データを保管するもの)が安全であることを納得させるにはどうすればよいだろうか。そのための要件としては、次のようなものが挙げられる。
- SSL接続
- 信頼できる認証マークの表示(Verisign、GeoTrustなど)
- 複数の認証マークの表示(Verisign、McAfee、BBなど)
- 信用のある企業名
- 広く宣伝されている
- メディアで取り上げられている
- 多数のユーザー・ベース(ユーザーが多いなら、安全に違いないという考え方)
こうした要件を満たしていれば、Webアプリケーション運営者側がユーザーに対して、機密情報を保護していると納得させるのに十分であろう。もちろん、これらを満たしていたとしても、データが具体的にどのように保護されるのか、またどこに保管されるのかということはわからない。だが、ユーザーは、そうしたことがわからなくても信頼してもよいと考えるはずだ。
個人向けのファイナンシャル・アプリケーションを提供する「Mint.com」の例を見てみよう。Mint.comを利用する際、ユーザーは、すべての金融口座の名前とパスワードを入力するよう求められる。ところが、こうした機密情報がどのように保護されているかについては、Webサイトのどこを見ても説明がない。「わたしたちはお客様のデータ保護のために、銀行レベルのセキュリティを提供します」と書かれているだけだ。
これは一体どういう意味なのか。オンライン・バンクはハッキングに対して本当に安全なのか。わたしは、このWebアプリケーションに自分の金融口座情報をすべて預けている人たちを知っている。彼らは、ニュース専門放送局のCNBCで紹介されていたWebアプリケーションなので安全に違いない、と考えているようだ。
しかし、ユーザーの機密情報を預かるWebアプリケーション提供者は「銀行レベルのセキュリティ」をうたうだけで十分なのか。安全という幻想を振りまいて信頼を高めるだけでよいのだろうか。
わたしは、自社で手がけるWebアプリケーション開発プロジェクトに際しては、冒頭に述べたようなセキュリティ対策を講じていくつもりだ。だが結局、現在のユーザーが抱くセキュリティ意識を考えれば、そうした対策が正当に評価されることは望み薄だろう。
