セキュリティリスクを正しく判断してクラウドサービスを活用する

以前の記事「クラウドサービスのセキュリティリスクを考える」でも書きましたが、クラウドサービスはセキュリティリスクが高いという認識は、ある意味では間違っていないのですが、正しい認識とは言えません。

すでに大手企業でもGoogle AppsやSalesforceなどのクラウドサービスで顧客の個人情報も含めてデータ管理している時代に、仕事柄厳密なセキュリティ評価をしないエンジニアならまだしもITコンサルの仕事をしている人が未だにクラウドは危ないとか言っているのを聞くと「この人はまだプロフェッショナルじゃなくてオタクの領域抜けてないな」と思ってしまいます。

セキュリティリスクを正しく判断してクラウドサービスを選び、適切に管理すれば、クラウドサービスは安全に活用することができます。

信頼性の低いクラウドサービスを利用しない

以前の記事「クラウドサービスのセキュリティリスクを考える」でも書きましたが、もう少し深く説明します。

クラウドサービスは大きくは3種類(3層)で、SaaS(Software)、PaaS(Platform)、IaaS(Infrastructure)に分類されます。

正確ではありませんが普通の人でも何となくわかるように表現すると、パソコンがInfrastructure、その上で動くWindowsやMac OSがPlatform、さらにその上で動くWordやExcelがSoftwareという感じです。

そして、この3層それぞれのどこかがダメだとセキュリティリスクが高くなるので、この3層ごとに評価する必要があります。

InfrastructureとPlatformについては、米サン・マイクロシステムズのCTOが2006年に「世界は5台のコンピュータ(クラウドデータセンター)だけしか必要としていない」と発言したように、Google、Amazon、Salesforce、Microsoft、Yahooあたりのものを活用する以外にないと思います。

何故なら、これらは事業規模が巨大なほど世界で最も低コストでなおかつ世界で最も安全なものを作り込めるので、他社が入る余地はほとんどありません。

先日のSonyのセキュリティ事故のように、プログラムの欠陥だけでなく、適切なサーバ管理が行われず長い間セキュリティホールが放置されていることがあります。大手企業だから安全とは限りません。

InfrastructureやPlatformにAmazon EC2やAmazon S3、Google App Engineなどを使っているかを重要な判断材料とすることを推奨します。ちなみにオンラインストレージのDropboxやSugarSyncはAmazon S3を使っています。

ただ、InfrastructureやPlatformが安全でも、その上で動かしているSoftwareがセキュリティ上の欠陥を持っていたらセキュリティ事故は起きやすくなりますので、クラウドサービスを開発する企業がセキュアなSoftwareを開発する力を持っているかを判断する必要があります。

最近、自社の技術ノウハウを公開するIT企業が増えたのでその判断もしやすくなりました。自社の技術力を見せることは、特にクラウド時代においては重要な要素だと思います。

これらを正しく判断してクラウドサービスを選んでください。

また、以下の記事も参考にしてみてください。

機密情報をEvernoteで安全に保管する方法
クラウドを安全に活用するための多段セキュリティ

このブログの人気の投稿

oh-my-zshの導入とか、zshとvimの環境をナウでヤングでシンプルな感じにした

Kindleでの自炊管理に思わぬ落とし穴があったのと、実用書の相対価値が変わったという話