10月7日、CEATEC JAPAN 2009のコンファレンスにおいて、コンピュータソフトウェア協会主催によるセッション「クラウド環境下におけるユーザセキュリティ ~クラウドコンピューティング世界におけるユーザセキュリティのこれから~」が開催された。

コーディネーターはコンピュータソフトウェア協会 専務理事の前川徹氏。パネリストとしてRSAセキュリティ 代表取締役の山野修氏、トレンドマイクロ 戦略企画室 Strategy & Business Operation ディレクターの黒木直樹氏が登壇した。

コンピュータソフトウェア協会 専務理事 前川徹氏

RSAセキュリティ 代表取締役 山野修氏

トレンドマイクロ 戦略企画室 Strategy & Business Operation ディレクター 黒木直樹氏

RSAセキュリティは、公開暗号鍵技術によるインターネットセキュリティの基盤を提供しており、インターネット上で利用されている暗号の約95%に何らかの形で同社の技術が関わっている。また、PCだけでなく携帯電話、ゲーム機などにも組み込まれ、10億台を超える機器を通して多くの人が意識せずにその技術を利用している。

トレンドマイクロは、日本では個人向けの「ウイルスバスター」が有名だが、グローバルではコーポレート向け製品も主力のひとつ。日本の本社を中心に世界26のサポート・開発拠点を結び、世界のインシデントに対応している。ウイルス対策以外にも、情報漏洩や侵入検知対策、またMac OS、スマートフォン、プレイステーション向けの製品もラインナップしている。

クラウドのセキュリティとは?

各種のクラウドサービスが普及している現在、エンドユーザーとしてそのセキュリティをどう考えるべきか、山野氏は不動産に例えた形で説明を行った。

ITサービスの提供形態は、不動産産業に例えられる

自社でサーバ、データセンターを持つのは、自社ビル・一戸建て社屋を持つことに相当する。また、ハウジングは分譲マンションに、ホスティング/ASPは賃貸に例えられる。

クラウドは2種類に分け、Gmailやセールスフォース等の一般向けのサービスだけを借りて利用する「パブリッククラウド」はカプセルホテルに、システムの一部を借りてアプリは専用とすることで自社のシステムのように使う「プライベートクラウド」をシティホテルに例えた。

これらの形態によって、資産・保守の範囲は以下のように変わってくる。自社ビルの場合は資産・保守とも自社の責任。分譲マンションは一部を除いてほとんどが自分の責任。賃貸は建家が貸し主で、家財は自分の責任。ホテルでは、部屋の鍵は自分で管理するが建物・設備の管理はホテル側となる。これはそのまま、システムの管理・セキュリティ対策のコストに反映される。

クラウドを利用するに当たっては、セキュリティ・可用性などのクォリティを見極める必要があるが、相応の環境が用意されたプロバイダなら「設備・運用はセキュリティが高く、ホテルが警備されているような状況」(山野氏)だという。

むしろ心配すべきはデータの出し入れの部分、つまり"ホテルの鍵"の管理だ。管理の甘いアカウントをめがけて攻撃されれば、ブレイクされる可能性が十分ある。山野氏は「エンドユーザーの一番の脆弱は、ログインのところにあるのではないか」と述べた。

クラウドを活用したネットセキュリティの提供

インターネット接続と切り離せないクラウドにおいては、ウイルス/マルウェア対策が必須だ。トレンドマイクロでは、クラウドを活用したウイルス対策サービスを提供しているが、その背景には近年マルウェアが爆発的に増加していることがある。黒木氏によると、マルウェアの発生数は2007年には6秒に1つだったが、2008年には2.5秒に1つ、今年はそれを上回る数が予想されるという。

1991年に発売された「ウイルスバスター」のパッケージには、73種の対応ウイルスが書かれていた

新しいパターンファイルを作成・配布してから末端のPCに届くまでに、一般的に4~5時間かかるとされているが、これでは追いつかないのが現実だ。また時間の問題だけではなく、最近では特定の企業や特定のソフトだけを狙うウイルスが作られ、メーカー側では検体を検知できない場合がある。

同社のソリューションでは、世界中で解析された不正なWebサーバの情報を保有する「レピュテーション」をクラウド上に置き、端末上に置いたエージェントから利用する形となっている。これによって、データベースがリアルタイムで更新され、企業が個々に製品を入れるよりも効率的に対策を行うことが可能となる。

ゲートウェイ領域の負担を軽減しながら、最新のセキュリティを利用できる

黒木氏は、不正プログラムを与えるサイトは平均7時間でサーバを変えているといい、「これに対応するためにはリアルタイム性が重要」だと述べた。

犯罪者側もクラウド化している

前川氏の資料によると、従業員300名以下の企業の経営者・システム担当者を対象にした調査において、「信頼できるベンダーであれば、自社でデータを持つよりSaaSを利用した方がセキュリティ上安心である」と回答した人が半数を超えている。

SaaSに対する理解が深い人ほどこの傾向が高いという(2008年 コンピュータソフトウェア協会調査)

これについて山野氏は、クラウドの運用レベルが向上していることから、「同じレベルのセキュリティを自社でやろうとするとコストがかかると理解する人が増えている」ことから、今後よりその傾向が進むだろうとの見解を示した。

一方、犯罪組織側も「クラウド化が進んでいる」(山野氏)という。ウイルスやフィッシングを仕掛ける場合、クラウドのノウハウを使って分散的にサーバを置き、さらに"集合知"を活用してターゲットを絞った攻撃が行われているというのだ。こうした犯罪に対抗するためにも「今後はクラウドを使って対策をしていかないと(セキュリティの確保が)難しくなっているのではないか」(同)と述べた。