クラウドで確保できるのはインフラのセキュリティだけ
園田道夫氏 - サイバー大学 IT総合学部准教授、独立行政法人情報処理推進機構 セキュリティ技術ラボラトリー 研究員。大学卒業後、ソフトウェア開発会社へ就職。2000年頃から情報セキュリティ関連の教育およびコンサルティングを担当しはじめ、現在に至る |
「クラウド」という言葉が注目のキーワードになっている。GoogleやAmazonといった米国大手企業がサービスを提供し、コンシューマーユーザーも便利にさまざまな機能を利用するようになる中、企業が導入するにあたって注目すべきポイントはセキュリティだと園田氏は語る。
クラウドという言葉が一人歩きしている印象が強い現在、経営者の中には、クラウドを活用すれば安全性は高まるという思いこんでいる方も多いようだ。クラウドは高度な専門技術を持ったエンジニアによって厳重に管理されているため、社内で運用するよりも安全性が高いという論理である。
しかし園田氏は「クラウドはインフラです。サーバがどこにあるのかという話であって、本来サーバが社内にあっても、サーバ管理業者にあっても、クラウドにあっても同じようにセキュリティ対策は必要なのです。クラウドだから安心ということはありません」と指摘する。
セキュリティで問題となるのは2つの要素がある。まず、サーバそのものを安定的かつ安全に運用するという課題だ。こちらは、たしかにクラウドを活用することで大幅に強化される。特に、IT技術者が社内にいない中小企業や、十分な人的リソースを確保できない企業にとっては非常に心強い存在だ。ハードウェアがしっかりと保守されるのはもちろん、パッチを適用してOSなどを最新の安全な状態に保つことも保障される。この部分の問題で頭を悩ませている企業にとって、まさしく「クラウドはセキュア」だ。
しかし、もう1つの大きな課題はクラウドでは解決されない。「パッチを当てるのは面倒かもしれないけれど、難しいことではありません。本当に重要な課題は、ウェブアプリケーションそのものの安全性です」と園田氏は語る。信頼できるサービスベンダーが提供するサービスだけを利用するエンドユーザーにとっては問題とならない部分だが、自社開発のソフトウェアを活用したい企業や、サービスベンダーになろうとしている企業にとっては非常に大きな問題となる。アプリケーション脆弱性を、クラウドは解決してくれないからだ。
ウェブアプリケーションの脆弱性をクラウドはカバーできない
園田氏はサイバー大学のIT総合学部の准教授として情報セキュリティ関連の教育やコンサルティングを行っている。また、IPA セキュリティセンター 情報セキュリティ技術ラボラトリーの研究員としても活動している。
企業のウェブサイト脆弱性などを発見した人が、直接企業にコンタクトを取るのではなく、IPAに届け出て正しい対応をしてもらうという「脆弱性関連情報の届出」制度を構築した一員でもある。つまり、実際に世の中で運用されているウェブサイトやウェブアプリケーションの脆弱性を熟知している存在だ。
「かなり以前から指摘されている脆弱性が未だに方々のサイトで発見されています。脆弱性のあるサイトを見つける検索を行うと、毎回いくつものサイトがみつかるほどです。また、IPAで企業に修正を求めても、十分な修正が即座に行われないということは多々あります」と園田氏は語る。指摘された部分だけを修正し、内部に存在する類似の問題点は放置されているというケースも多々あるという。
「本を参考に手作りしたアプリケーションなどは非常に危険です。書籍というのは作られてから発行されるまでに時間がかかりますし、発行されたら数年は売られています。数年前の常識のままのことが多いのです。また、危険性を内包しているサンプルコードをそのまま引き写して作っているアプリケーションもあって、大きな問題です」(園田氏)。
書籍に掲載されているサンプルコードはわかりやすさや動作の理解を目的として作られているものが多く、本来は動き方を知った上でセキュアなコーディング方法を知って処理しなければならないものだ。いくつかの書籍を参考にし、最新のセキュリティ情報を知った上できちんと構築するのならば良いが、サンプルコードをつぎはぎして作るというのはいただけない。
現在はセキュアなコーディングをサポートするツールも登場しており、さらにIPAからはまとまった形で情報が無償提供されている。「十分活用して、安全なアプリケーションを作って欲しいですね。動くアプリケーションの問題はクラウドでは解決できないのですから」と園田氏は指摘する。
クラウド利用にあたって企業が考えるべきポリシー
クラウドによって確保されるセキュリティを理解し、安全なウェブアプリケーションを構築する。一見これで完璧に見えるが、実運用上は全く安全とはいえない。
クラウドを利用するということは、社外のサーバを利用して業務を行うということだ。ローカルとクラウドの間で許されるデータのやりとりはどこまでなのか、改めて企業としてのセキュリティポリシーを見直す必要がある。特に、仮想デスクトップを利用する場合、データの取り扱いについてしっかり決めておかなければ、
「セキュリティの問題は、常に使いやすさとトレードオフになっています。安全であることだけを追求すればエンドユーザーにとって使いづらくなり、利便性を優先しすぎると安全性に問題が出てきます。どこに境界線を置くのかを考え、ポリシーを設定しなければなりません」と園田氏は語る。
具体的にどういった部分に着目してポリシーを制定するべきなのか、アプリケーション開発時に気をつけるべきことは何なのかといった、クラウドを活用して安全な業務を遂行するために必要なノウハウを、園田氏は6月30日開催の「ジャーナルITサミット ~ 2010Webセキュリティセミナー」で講演する。最新の事例と具体的な方策について興味のある方は、ぜひ参加してもらいたい。