同じく2015年度の活動として、セキュリティに関する調査結果も紹介した。特に厳しいといわれる金融、製薬・バイオ、航空宇宙の3業界について調査を行ったという。その結果、当然ではあるが、業界や用途によっても基準や対策レベルは異なることが分かった。そのため、企業ごとに自社のポリシーと利用形態にマッチした具体的な対策を検討する必要があるとのことだ。なお金融および製薬・バイオにおいては業界標準ともいえるセキュリティ基準があるが、航空宇宙においては特にないという。社内とクラウド間の接続方式は、金融は約9割が専用線、製薬・バイオはセキュリティよりもデータ量の観点から専用線だが、コスト面からはインターネットVPNやSSH(Secure Shell)なども使われている。航空宇宙はコスト面からインターネットVPNを選択する企業が多いという。
あらためてクラウドに対して不安に感じられるリスク項目をリストアップすると、スキミングやなりすまし、重要データの持ち出し・紛失、個人情報やユーザーディレクトリからの機密漏えい、ウイルス汚染、自然災害、契約終了時のデータ消去、データセンターへの不当進入などが挙げられる。「これらのリスクはクラウドだから起こるものではない。オンプレミスかクラウドかに関わらず100%安全はあり得ない。そのためどんなリスクがあるかを理解し、それらが起きた時にどう対策するかを考える必要がある」(多田氏)。
リスクを捉える際に大事なのが「責任共有モデル」という考え方だという。「特にクラウドサービスは、利用者が責任を持つ範囲と、クラウドサービスプロバイダーが責任を持ってくれる範囲が明確に区分できるようになっている」(多田氏)。クラウドサービスの領域については契約情報などをチェックし、内容が受け入れられるものか確認する一方で、自分たちの責任範囲についてはリスク管理をする。それぞれが必要な対策を実施することにより、全体としてサービス全体のセキュリティを保つ状態にする必要があるということだ。
Copyright © ITmedia, Inc. All Rights Reserved.