PaaSを含むクラウドサービスには、登場時からセキュリティに不安を感じる企業の声もあったようです。提供事業者側で対策を施していることがほとんどですが、利用者側にも、コストパフォーマンスをあげつつ安全に利用するための知識が必要となるでしょう。

PaaS導入時は懸念もある?

PaaSはサーバやスイッチ、ロードバランサー、ファイアウォールなどのITインフラに加えて、OSやミドルウェアといったソフトウェア群も併せて貸与されるため、システム開発・運用・保守における負荷を軽減できるサービスです。また、新規サービスの立ちあげ時のみならず、レガシーシステムからの移行先としても選ばれるようになってきました。これは、初期導入コストに加えてランニングコストの削減も可能なことが理由です。

このように一見デメリットがないように見えるPaaSも、実はいくつかの懸念を抱えています。そのひとつがセキュリティリスクです。情報システムに高度なセキュリティ要件が課されるようになり、オンプレミス型の環境であってもセキュリティ対策は難しいもの。ましてや現物が手元にないクラウド環境であれば、利用者が心配するのも無理はないといえるでしょう。

そこで、PaaSを含めたクラウドサービスのセキュリティ対策について具体的に考えていきます。

責任範囲があいまいになりがち

PaaSを含めたクラウドサービスは、実際にハードウェアやソフトウェアを所有するわけではなく、あくまで「利用」です。そのため、クラウドサービスを提供する事業者と利用者側で、セキュリティに関する責任範囲の明確化が必要になります。

特にネットワークに関するセキュリティは責任分担が難しく、一体どこからが利用者側の責任となるのか、不明瞭なケースがあります。シンプルに切り分けるのであれば、利用者側が自らのLAN環境内において責任を負い、そのほかのネットワークについては事業者側の責任とする、という考え方になるでしょう。

しかしPaaSにおいては、実際に環境を利用しているユーザー側の過失によるトラブルも考えられるため、簡単に線引きができないこともあります。問題が起こったとき、利用者と事業者間のトラブルを防ぐためにも、SLAで責任範囲の境界線を明確にしておくことが大切です。

仮想化技術ゆえのセキュリティ対策

PaaSをはじめとしたクラウドサービスは、その根底に仮想化技術があります。この仮想化技術ですが、セキュリティという観点から考えるとオンプレミス型とは違う対策が必要になります。

まず、PaaSの多くは共有型で、ITインフラを複数の仮想環境で共有することで成立しています。つまり、同じ資源を他社や他部署と共有していることに他なりません。そうなると、組織間の情報漏洩リスクが高まるのではないかという指摘があります。次に、仮想環境上のOSは、それぞれの環境を束ねて管理する「ホストOS」が存在し、悪意をもった第三者がこのホストOSを乗っ取った場合、その下に連なる仮想環境のOSは、悪意を持った侵入者に管理権限を奪われ、操作不能に陥るかもしれません。

このように仮想化技術だからこその心配については、事業者側が対策を講じていることがほとんどですが、利用者側としてもしっかりと把握しておく必要があるでしょう。

クラウド導入はコストとセキュリティのバランスが大切!

クラウドサービスはどうしてもオンプレミス型に比べてセキュリティを心配しがちですが、圧倒的な導入コストの低さが魅力でもあります。セキュリティに対する要求が高いシステムをクラウド化するときには、対策にかかる費用も勘案して細心の注意を払いたいものです。

導入時にはコストとセキュリティのバランスを考えながら、シミュレーションを実施することが大切です。

[PR]提供:マイナビニュース TECH+