IaaS導入時:技術面でのリスク
IaaSを導入する際の技術的なリスクについて見ていきましょう。
ネットワーク通信のセキュリティは事業者に依存
ネットワーク通信のセキュリティはIaaSベンダーに依拠します。IaaSはインフラを提供するサービスです。ユーザーはそのインフラの上にOSやミドルウェアを用意し、アプリケーションを作成します。
そのため、OS以上の層のセキュリティはユーザー側で管理可能です。逆に、インフラ部分の管理はセキュリティを含め、全面的にベンダーに任せることになります。
ただし、通信の暗号化やシステムの監視など、ユーザー側で対応できる点もあります。すべて任せるのが不安な場合は、これらの対策を検討しましょう。
アプリケーション基盤のセキュリティは管理可能
OSからアプリケーションまでのセキュリティはユーザー側で管理できます。主に以下のような対策を実施しましょう。
- ■OSやミドルウェアの脆弱性修正パッチ適用
- ■OSのファイアウォール設定
- ■OS以上の層のアクセス管理
- ■アプリケーションの脆弱性診断
このほかにも、ログの監視やWAFの設置などの対策が可能です。自社で作成したアプリケーションと、IaaSで提供されたインフラの整合性を考慮しながら、適切な対策をすることが大切です。
IaaS導入時:運用面でのリスク
IaaSは運用面でどのようなリスクがあるのでしょうか。
サービスレベル品質が担保されていない可能性
ベンダーが提供するサービスレベルの品質が、担保されていない可能性があります。クラウドサービスは運営の実態が見えにくいため、ユーザーが意識的に信頼性を確認しなければなりません。ベンダーを選定する際には、以下のような点に注意しましょう。
- ■契約約款やSLAの内容は適切か
- ■トラブル発生時に適切な対応をするか
(ログの公開・対処の迅速性・問題発生時の調査実施範囲など) - ■第三者認証(ISMSなど)への取り組みをしているか
- ■上記のような情報をユーザーに公開しているか
これらの点に留意し、適切なサービス運営をしているベンダーを選定しましょう。
監査体制は整いつつある
従来IaaSベンダーの監査体制が整っておらず、クラウドサービスの運営実態は不透明でした。しかし、現在は以下のように第三者による監査体制が整いつつあります。
- ■経済産業省によるクラウド情報セキュリティ管理基準の策定
- ■クラウドセキュリティ推進協議会によるクラウド情報セキュリティ監査の実施
このほかにも、民間での監査方法の検討や国際規格の提案など、徐々に監査体制の整備が進んでいます。運用面で一定の安全性が担保されつつあるといえるでしょう。
IaaS導入時:法的なリスク
IaaSを利用する際には、どのような法的リスクがあるのでしょうか。
海外クラウドサービスはデータ保護が課題
海外のクラウドサービスを利用する際には、特にデータの保護に注意する必要があります。個人情報が海外で流出する可能性があるためです。また、データを管理する主体が国外にある場合、法的な要求をするのは難しいでしょう。
さらに、データの所在を確認できない可能性や、利用者の意図に関係なくデータを移転されるリスクもあります。特に国際移転された場合は、データの所在地の特定がより困難になり、なんらかのトラブルに巻き込まれる可能性もあります。
国内クラウドサービスでも法律に則っているか確認
国内のクラウドサービスであっても、法律に則ってデータを適切に管理しているか確認しましょう。
データの管理をクラウドサービスベンダーに任せている以上、ベンダーが通知しなければユーザーはセキュリティ違反を知ることが困難です。あらかじめ、どのようなポリシーで情報を扱うのか確認しておきましょう。
ただし、基本的にクラウドサービスベンダーは個人情報保護法の適用を受けません。個人情報保護法は個人情報取扱業者が情報取扱時に守るべき法律ですが、IaaSベンダーは個人情報取扱業者(事業で個人情報を扱う者)ではないためです。
たとえ、ユーザーが提供されたIaaSで個人情報を管理・保管していても、ベンダーはデータの中身には関知していないため、取扱業者に含まれません。あらかじめ責任の所在を明確化したうえで利用を検討しましょう。
IaaS導入時のリスクを把握し、適切に導入!
IaaS導入のリスクには技術・運用・法律面の3種類が考えられます。技術面では、自社が担うセキュリティ対策を明確化することが大切です。運用面では、ベンダーの信頼性を確認しましょう。トラブル発生時の対応など、積極的に情報を公開しているベンダーが理想的です。
法的なリスクについては、データを流出させないよう、ユーザー側で管理する意識が大切です。ぜひ参考にして、信頼できるIaaSベンダーを選んでください。
