ニフティは2月19日、自社主催セミナー「クラウドセキュリティ最前線! 選ぶべきクラウドとは」を開催。クラウドを前提としたシステム構築の流れが加速するなか、ユーザーが不安をいだきがちなクラウドのセキュリティについて、ニフティの担当者がポイントを解説した。

セミナー会場の様子

ニフティクラウドの"知られざる評価ポイント"

2010年から国産クラウドサービス「ニフティクラウド」を展開するニフティ。サービス提供から5年経ち、3,500件を超える利用実績を持つサービスに成長した。成長の原動力になっているのは、価格やパフォーマンス、信頼性の高さなどだ。また、表立って話題になることは少ないものの、セキュリティへの取り組みもユーザー企業からの評価が高い。たとえば、サービスサイト上には「セキュリティの取り組み」や「セキュリティホワイトペーパー」を掲げるなど、国内事業者のなかでは他に先んじた取り組みを行っている。セミナーでは、こうした、ニフティクラウドの”隠れた評価ポイント”を詳らかにする内容となった。

セミナーは2部構成で、第1部では、クラウドマーケティング部の後藤里奈氏が「クラウドセキュリティの最新動向」と題してクラウドのセキュリティの考え方や標準化動向を解説。続いて、クラウドマーケティング部の西尾敬広氏が、「エンタープライズシステムのクラウド化における考慮ポイント」と題して、サービスを比較検討する際のチェックポイントを解説した。

クラウドマーケティング部 後藤里奈氏

後藤氏が最初に取り上げたのは、「20代女性のお部屋探しに関する調査」(パナソニック調べ)の結果だ。家を借りる場合に何を不安に感じるかを母と娘の視点から比較したもので、娘側が「安全・安心」をそれほど気にしていないのに対し、母側は「安全・安心」を不安に思うという回答がトップであるというものだ。

「不安の構造は、集合住宅とクラウドでよく似ています。安全性を高める手段は数多くありますが、それらすべて施そうとすると利便性を損なってしまいます。入居者・サービス利用者がどれだけ楽にセキュアな状況を作れるかがいちばんのポイントです」(後藤氏)

たとえば、家を借りる場合は、オートロックやコンシェルジュ常駐、カメラ付きドアホン、ピッキングされにくい鍵、鍵の追加や交換、ネットワークカメラの設置などが現実的な対策となる。クラウドでは、これらは、アクセス制限やログイン認証、モニタリング、サポートなどといった対策に相当する。また、管理者の運営体制がセキュアであるかどうかや、オートロックの番号を部外者に教えてはいけないといった、セキュリティを維持するためのルールが整備されていればさらに安心になる。

セキュリティ視点で見たオンプレミスとクラウドの3つの違い

後藤氏によると、クラウドコンピューティングという言葉自体は、すでに「ISO/IEC 17788」で標準化されており、事業者や利用者、パートナーが何に気をつければよいかといったルール作りが進んでいる状況にある。そのうえで、後藤氏は、クラウドのセキュリティを考える前提として、これまでの環境との3つの違いを挙げた。

1つめは「コントロールが限定されていること」だ。物理的環境であれば、トラブルがあったときに直接出向いて障害に対応できる。だが、クラウドの場合は、利用者はサービスとして提供されている範囲でしか対処できないので、利用者による物理的環境のトラブル対応自体が不可能だ。 2つめは「運用ポリシーに関する情報不足」だ。利用者は、事業者の運用実態について、直接把握することができない。たとえば事業者がISMSを取得していたとしても、それがクラウドサービスに適用されているかどうかはわからないことが多い。もちろん、ISMSが利用者のセキュリティマネジメントを保証するものでもない。マルチテナントの環境下で他の顧客の利用に実際にどんな影響を受けるのかは不透明だ。

3つめは、「契約ではなく規約」ということだ。事業者とユーザーが1対1で契約を交わすのではなく、1:nでサービスを利用する関係になる。個別のリクエストにこたえてくれるとは限らず、規約の変更にも原則として対応しない。

「この違いを考慮にしたうえで、安心してクラウドを利用するには、利用者、事業者それぞれの取り組みが必要になります。これを共同責任(Shared Responsibility)と呼んでいて、クラウドセキュリティの基本的な考え方となっています。共同責任には、大きく、サービス提供/利用範囲と、セキュリティ管理策の活用範囲の二軸があり、それぞれの範囲で、事業者、利用者が何を行うかを規定しています」(後藤氏)

具体的には、利用者はサービスの利用範囲について責任を持ち、セキュリティ管理策の実装には、クラウドサービスや連携しているサードパーティサービスの機能を活用することが求められる。一方、事業者は、サービスの提供範囲について責任を持ち、利用者のセキュリティ対策のために必要な機能、情報を自社のサービスやパートナーのサービスとして提供することが求められるという。

ISO/IEC 27017の標準化作業が山場

利用者が参考にすべきクラウドのセキュリティの基準に関しては、現在、「ISO/IEC 27017」の標準化作業が山場を迎えている。2015年10月にも国際基準として策定される予定だ。ISO/IEC 27017は、2011年に日本が提案したもので、草案作成にも深く関わっている。このほか、参考にすべき基準やガイドラインには、経済産業省や総務省、APSIC、CSA(Cloud Security Alliance)、IPAが発行するものがある。

一方、事業者側がどんなセキュリティ対策を行っているかについては、事業者の情報公開の状況を把握することが大切だという。現状の課題として、情報公開の内容が事業者マチマチで比較が困難であったり、公開された情報がどの程度信頼できるかわかりにくいという点がある。

「認証・基準をチェックするときのポイントは、範囲、目的適合性、認証のレベルの3つです。事業者が取得する認証の項目を見て、対象システムにクラウドサービスが含まれているかをチェックする。また、その目的がセキュリティへの取り組みを測るのに適切で、自身のセキュリティ要件を満たせるかをチェックする。認証にもレベルがあるので、それがどの程度かをチェックする。たとえば、外部監査人による有効性評価などを行っているかなどです」

このほかにも、クラウドセキュリティ監査制度やクラウド情報セキュリティ制度、政府調達クラウド基準など、クラウドのセキュリティをめぐっては、制度が急ピッチで整いつつある状況だ。後藤氏は「事業者とのコミュニケーションが大事。わからないことがあったらまず聞いてみてほしい」と強調。最後に、冒頭で触れた母と娘のアンケートにふれながら、「母がセキュリティを心配するのに対して、娘が住宅に対して何を気にしているトップ3は、費用、間取り・設備、ロケーション。セキュリティだけでなく、コストや使いやすさとのバランスをとりながら、必要な対策をとっていってほしい」と締め括った。

クラウド構築と移行のための7つの要件

続いて登壇した西尾氏は、エンタープライズシステムをクラウド化するうえでのポイントについて、ニフティのソリューションを紹介しつつ、実践的な立場から解説した。

クラウドマーケティング部 西尾敬広氏

西尾氏はまず、ニフティクラウドの導入状況について、エンタープライズ用途の割合が2014年8月時点で67%となるなど、業務システムの領域で「クラウドファースト」が当たり前になったと説明。そのうえで、自社システムをクラウドで構築する際にチェックすべきポイント(構築/運用要件)、移行する際にチェックすべきポイント(移行要件)として計7つを紹介した。

具体的には、「構成の自由度」「提供性能/安定性(稼働率)」「セキュリティ機能」「サポート」「アプリケーション」「移行の選択肢」「パートナーの選定」の7つだ。

たとえば、構成の自由度については、「現実解としてハイブリッドクラウドの利用が進んでいますが、そうした構成を自由にとることができるかは事前にチェックする必要があります。セキュリティ対策の観点からも、専有領域を確保できる機能性は必要です」(西尾氏)という。専有領域とは、具体的には「専有コンポーネントサービス」として提供しているサービスだ。Oracle RACなどを物理環境で維持したまま、クラウド環境とつないで利用することができる。

セキュリティ機能については、提供事業者にしか実施できない項目をチェックすべきだと指摘した。これは、具体的には、「管理画面への複数のログイン認証」「各種操作のロギング機能」「各リソースの権限制御」「閉域網/専用線接続」だ。

複数のログイン認証というのは、IDとパスワードだけでなくマトリックス認証など別の仕組みを用意しているかどうかだ。これをサポートしていない場合、IDとパスワードが漏れた場合、不正ログイン操作を許してしまうことになる。また、リソースに対する権限制御は、データベースやアプリケーションごとに、ユーザーの権限を設定できるようにする機能だ。権限を分けることで、万一の際の被害を最小限に留めることができる。

何かあったときの「サポート体制」も重要だ。「サポートで盲点になりやすいのは、電話サポートと書いてあっても、日本語が対応していなかったり、時間が限られていたりすること。事業者ごとに細かくみていく必要があります」(西尾氏)という。具体的には、電話かメールかといった「手段」、24時間365日といった「時間」、無償の日本語対応かといった「内容」をチェックしていく。また、有事の際は、発生時の連絡をどうとるか、事後に報告書を提出してくれるかどうかもチェックポイントだ。

クラウドセキュリティは、事業者ごとに情報公開の方法もバラバラで、統一した評価基準もないこともあって、これまでは手探りで進めざるをえない面もあった。だが、クラウドファーストが普及するなか、国際基準や監査基準も整いつつあり、また、ニフティのように、セキュリティの取り組みを積極的に公開する企業も増えてきた。そうしたホットな状況にあってか、来場者は講演を熱心に聞き、質問を投げかけていた。