クラウド時代、AWSやAzureのセキュリティだけでは不十分なワケ |ビジネス+IT

沿って : Ilikephone / On : 03/05/2022

クラウド時代、AWSやAzureのセキュリティだけでは不十分なワケ |ビジネス+IT
開閉ボタンユーザーメニューユーザーメニューコンテンツ
ログイン

ITと経営の融合でビジネスの課題を解決する

ビジネス+ITとは?

ログイン

新規会員登録

メルマガ登録

ビジネス+ITとは?

  • 営業戦略
  • コスト削減
  • 組織改革
  • 生産・製造
  • 危機管理
  • コンプライアンス
  • 省エネ・環境対応
  • 業種・規模別
  • 基幹系
  • 情報系
  • 運用管理
  • セキュリティ
  • ネットワーク
  • モバイル
  • ハードウェア
  • 開発
  • 関連ジャンル

    ウィンマジック提供コンテンツ

    クラウド時代、AWSやAzureのセキュリティだけでは不十分なワケ

    今や多くの企業がAmazon Web Services(AWS)やMicrosoft Azure、Google Cloud Platformなどのクラウドサービス(IaaS/PaaS)を利用していたり、移行を検討していることだろう。ただし、それによって「セキュリティの負担も軽減された」と信じているなら、今一度、利用しているクラウドサービスのSLAを確認することをお薦めする。クラウドの利用が進めば進むほど、実はセキュリティの問題が複雑化している可能性が高いからだ。

     企業におけるクラウド活用は、すでに止められない流れだろう。従来、オンプレミスが当然だった基幹系やミッションクリティカルなシステムも例外ではない。 しかし、クラウド化の流れは、企業のITに新たな課題も突きつけている。その代表がセキュリティだ。オンプレミスとクラウドでは、セキュリティの考え方も必要とされる対策も異なる。ユニークな暗号化技術で知られる加セキュリティ企業 WinMagicのジェームス・ラパーム氏は、1つの例として、AWSをあげる。「AWSは、自らのクラウドそのもののセキュリティには責任を持ち、高いセキュリティ対策を実施していますが、クラウドの中、つまりデータやアプリケーション、OS、仮想マシン、ネットワーク等については、顧客自身が責任を持たなければならないとSLAで明記しています。クラウドを利用すると、セキュリティの責任もクラウド事業者に移行すると考えがちですが、決してそうではないのです」(ラパーム氏) AWSは、自社がIaaSとして提供するCPUやメモリ、ストレージ、データベース、ネットワークなどのセキュリティには責任を持つ。しかし、顧客がその上で動かしている仮想マシン、データベース、アプリケーションなどのセキュリティには責任を持たない(持てない)。したがって、仮想マシン上で動いているデータベースの脆弱性を攻撃され、個人情報や機密情報が漏えいしても、それは顧客の責任なのである。もちろん、他のクラウドサービスでも事情は同じだ。 しかも、今後は、オンプレミス、プライベートクラウド、パブリッククラウドの混在環境が当たり前になる。そこで高いセキュリティを担保することがいかに困難かは、セキュリティの専門家でなくても、容易に想像できるだろう。 こうした問題に取り組んでいるのが、1997年に設立されたディスク暗号化ソフトウェアの専門企業「WinMagic」だ。 同社はPCがブートする前に無線や有線ネットワークを介してユーザー認証を行う「プリブートネットワーク認証」と独自の暗号化技術を特徴とする企業で、もともとはエンドポイントのセキュリティを得意としている。国内では政府関係機関に、米国では国防総省や国家安全保障局にそれぞれ大規模導入され、全世界では約900万のエンドポイントへの導入実績を誇る。 そのWinMagicが、前述のクラウドのセキュリティ課題を解決するために開発・提供しているのが、「SecureDoc CloudSync」と「SecureDoc CloudVM」の2つのソリューションである。 2015年11月にリリースされた「SecureDoc CloudSync」は、DropboxやOneDrive、Google Driveなどの企業レベルのファイル同期/共有サービス(EFSS:Enterprise File Sync and Share)に対応した暗号化サービスだ。クラウドに保存される前にデータを暗号化するので、クラウド上で情報が漏えいするリスクを低減できる。 もう1つが、2016年5月にリリースされた「SecureDoc CloudVM」だ。これは、IaaSに特化した暗号化サービスで、具体的には、VMware、Microsoft Azure、Amazon AWS、Microsoft Private Cloud、Citrixのプライベート/パブリッククラウド上の仮想マシン、仮想ストレージ/サーバの暗号化を実現する。IaaSの網羅率はすでに9割を超えるという。ラパーム氏は、同社の戦略を次のように説明する。「我々は、暗号化が必要なデータには、その場所を問わずすべてに暗号化機能を提供します。すでに900万を超えるエンドポイントに暗号化機能を提供しましたが、今後はクラウド、サーバ、IoTにも提供していきます。SecureDoc CloudSyncは企業向けのファイル同期/共有サービス、SecureDoc CloudVMはIaaSのクラウドサービスに対して暗号化機能を提供するソリューションとなります」(ラパーム氏) 「SecureDoc CloudSync」と「SecureDoc CloudVM」の両方に共通しているのが、暗号化に利用する鍵の管理だ。「SecureDoc CloudSyncとSecureDoc CloudVMでは、クラウドの暗号化で使用する鍵を企業側で一元的に管理できます。クラウド側に、暗号化の機能が無くとも、複数のクラウドに対して、一貫した暗号化機能を提供できます。また、企業側が鍵を管理しているため、万が一、利用しているクラウドサービスがハッキング等の被害にあっても、データを保護することができます」(ラパーム氏) なお、すでにIaaSを利用している企業にとっては、SecureDoc CloudVMが気になるだろう。これは、IaaSに特化したIaaS上で稼働する仮想マシンの暗号化を支援するソリューションで、鍵管理機能により、どの部分がどのような形で暗号化されているのかを把握できる機能を持つ。 前述のように鍵を企業側で一元管理できるのはもちろん、自動スケールやクローン、マイグレーション、バックアップ、ディザスタリカバリなどのシナリオを前提とした仮想マシンの暗号化に対応している。また、個々の仮想マシンの暗号化状態を把握し、ビジュアルなレポートを作成する機能も用意されている。 さらに、必要なくなった仮想マシンを削除する際、鍵を除去することで、データの安全性を確保する安全削除機能も搭載している。気になるパフォーマンスだか、ラパーム氏はまったく問題ないと、次のように説明する。「仮想マシンの暗号化にはリソースが必要ですが、弊社がAWSでテストした結果、暗号化に必要なリソースは、タスク全体に必要なリソースの約1%であることが確認できました。これは、他社と比較しても非常に優れた数値だと思います。また、他社の場合、仮想マシンがクローン化、移動、複製された場合、復号と再暗号化が必要になりますが、SecureDoc CloudVMではその必要がありません。そのため、高いパフォーマンスを発揮できるのです。さらに、領域全体を暗号化する方法(デフォルト)以外に、実際に使用されている領域のみを暗号化するオプションも提供しています(ただし、暗号化後に保存したファイルも自動で暗号化される)。暗号化導入のスピードを速めることによって、より多くのユーザーがこの機能を使い、機密データが守られることを私たちは望んでいます」(ラパーム氏) なお、対応しているクラウドとしては、前述の5つに加えて、「IBM Softlayer/Bluemix」「OpenStack」「Google Cloud」の3つも対応が予定されている。これらに対応すれば、クラウド市場のほぼ98%をカバーすることになるという。 日本ではこれからだが、米国では、すでにSecureDoc CloudVMを導入し、成果を挙げている企業も多い。「たくさんのサーバ、プライベート/パブリックのクラウドを組み合わせて利用されているヘルスケア分野のお客さまがいます。弊社のソリューションを導入されて、暗号化の鍵を自社で一元管理できるようになりました。また、使わなくなったインスタンスを削除し、データを確実に使用不可にできるようになったことも大きい成果です」(ラパーム氏) 確かに、仮想マシンが不要になったら、仮想マシンを削除し、さらに鍵を削除してデータを安全に保護できるのも、SecureDoc CloudVMの大きいメリットだろう。データライフサイクルマネジメントという観点でも、メリットは大きいといえそうだ。 今後、国内でも同様の暗号化ソリューションが登場するとことが予想されるが、ラパーム氏は、同社の強みを次のように説明する。「弊社の強みは3つあります。1つはエンドポイントとクラウドの両方に暗号化を提供できることです。特に、AWSやAzureなど、複数のクラウドに一元的に対応できて、クラウド市場の90%以上をカバーしているのは弊社だけです。2つめはパフォーマンスです。独自の技術で、暗号化を意識することなく利用できる高いパフォーマンスを実現しています。3つ目がインテリジェントな処理が可能であることです。他社が暗号化のオン/オフを制御できるレベルなのに対し、当社の場合は、地域によって暗号化のレベルを変えたり、ポリシーに従って暗号化を制御したりできます」(LaPalme氏) 複数のクラウドにまたがって暗号化の鍵を一元管理できるSecureDoc CloudVM。そのシンプルなコンセプトは、一般企業はもちろん、政府系機関や医療、金融、大学などにとってメリットが大きい。統一された暗号化の仕組みがなかったために、クラウドの活用に踏み切れなかった企業・組織にとっても、クラウドにシフトするきっかけになるだろう。現在、クラウドの活用において、少しでも暗号化が課題となっているなら、ぜひ検討していただきたい。

    一覧へ

    一覧へ

    一覧へ

    PR

    SBクリエイティブ株式会社

    ビジネス+ITはソフトバンクグループのSBクリエイティブ株式会社によって運営されています。

    Copyright © SB Creative Corp. All rights reserved.

    ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!

    登録メリット会員登録(無料)