パブリッククラウドのセキュリティ技術--エンジニアが知っておくべきこと

　クラウドのメリットは充分理解しているが、導入に踏み切れない――多くの場合、ハードルはセキュリティへの懸念だ。一方でクラウドはメインストリームとなりつつあり、無関係ではいられなくなっている。クラウドセキュリティについての知識を身につけて、必要な対策を講じられるようにしておきたい。

　まず、自社環境がパブリッククラウドを利用する準備ができているのかを考えたい。ベンチャー企業ならすべてクラウドでやってしまおうというところもあるだろう。だが、ミッションクリティカルな部分をいきなりクラウドにというのはリスクがある。

　どの部分でどのようにクラウドを利用するのか、自社にとって正しいクラウド導入を考えることがセキュリティの第一歩だろう。

社内で考えるべきセキュリティはLAN、エンドポイント、その中間

　クラウドのセキュリティ技術といっても、何か新しい技術が出てきているわけではない。クラウドそのものも、新しい配信モデルであって新しい技術ではないのだ。これを踏まえてクラウドの仕組みを考えると、社内で考えるべきセキュリティはLAN、エンドポイント、その中間の3つに分けることができそうだ。

　LAN上の通信は暗号化されているか、データにアクセスする端末側の安全はどうだろうか、WAN上の安全対策はできているかなどが考えられる。仮想私設網（VPN）、侵入防止システム（IPS）や侵入検知システム（IDS）など多数の技術の組み合わせになる。仕上げとして、セキュリティ情報の収集とレポート、監査や規制遵守対策がある。

クラウドとどう向き合うかは技術者にとって悩みどころだ

　クラウド側については、パブリッククラウド事業者のデータセンターなどのインフラのセキュリティ対策に依存することになる。選択時に事業者にしっかりと確認をすべきだろう。各社がセキュリティを強化しており、安全レベルは上がっている。

　例えば、Amazon Web Servicesや国内大手のニフティクラウドなどはファイアウォール、SSL（Secure Sockets Layer）、VPNオプションなどさまざまなセキュリティ機能を提供している。だがサービスの比較は必要だ。

　セキュリティをどれだけ重視しているか、事業者によって大きく姿勢が異なるし、データセンターの場所も重要だ。ISO/IEC 27001など、情報セキュリティの管理・リスクのための標準規格ISO/IEC 27000シリーズを取得しているかは1つの指標になりそうだ。委託業務の内部統制については、米国の監査基準ではあるがSOC2報告書を用意する事業者もある。

　場合によっては、追加のセキュリティ対策を講じることも可能だ。認証、VPNなどのサービスがサードパーティから提供されている。注意点としては、アプリケーションのパフォーマンスやアクセス管理に影響を与えることがあることだ。

　クラウドセキュリティの知識については、標準化も進んでいる。クラウドにおけるセキュリティ知識を図る認定資格「Certificate of Cloud Security Knowledge（CCSK）」もあり、2013年末にバージョン3が公開されている。ウェブ上で受けられるテストで、クラウドセキュリティの認知啓蒙を図るものだ。

　このように、さまざまな面でクラウドのセキュリティ改善に向けた取り組みが進んでおり、今後が期待される。