データをクラウドで保管するのと社内で保管するのと、どちらが安全でしょうか?
今週サンフランシスコで開催されたRSA 2014カンファレンスのパネルディスカッションで、マイクロソフト、グーグル、その他のクラウドベンダーのセキュリティ専門家がこのテーマについて議論しました。各ベンダーは、顧客がデータをクラウドに保管することは信頼構築の問題であるという点では一致しましたが、それを実現する方法については意見が分かれました。
多くの企業組織がソフトウェアのテストや開発にパブリック・クラウドを利用していますが、データをクラウドに保管している企業はまだ比較的少数です。クラウドストレージのコストはオンプレミスにデータを保管するよりもはるかに低いため、クラウドを利用していないケースもあります。しかし、パブリック・クラウドに保管すべきでない機密データもあります。
Google Appsのセキュリティ・ディレクターであるエラン・ファイゲンバウム氏によれば、クラウドは現在、組織がリスクを感じることなくデータを保管するのに十分安全であるということです。
主流のクラウドプロバイダーが提供するクラウドインフラは、自社でデータセンターを運営する顧客よりも安全で安心できる可能性が高い、とファイゲンバウム氏。
以前は、IBMやマイクロソフトの製品を購入しても解雇されることはありませんでした。現在では、クラウド・プロバイダーが行っていることが安全でセキュアであることを納得させる責任があります。
グーグルがクラウド・プロバイダーであることを考えると、彼の言葉は少し自分自身を代弁しているように聞こえます。ブルース・シュナイアーは、著名な暗号学者であり、マサチューセッツ州ケンブリッジを拠点とするCo3 Systemというセキュリティ・ベンダーの技術責任者でもあります。
インフラをアウトソーシングする場合、経験を集約することでより良い結果が得られるからです。自分で航空会社を経営したり、税金を納めたりすることはありません。それをやってくれる実店舗を持つことには大きな価値があります」。
クラウド・プロバイダーにとってセキュリティはビジネスの重要な一部であるため、「より良い仕事をするようになる」とシュナイアー氏。
クラウドベンダーはセキュリティ証明書の使用を推奨
パネリストは、クラウドプロバイダーがデータの安全な保管に関する法的要件を満たしていることを示す何らかの証明書を顧客に提供することを提案しました。
シュナイアーは、「グーグルは何らかの文書をくれるでしょう。監査プロセスに加えてください。訴訟になった場合の救済策に加えて、"クラウドの顧客として、目の前にいる人を信頼できると感じることができます。"
証明書だけでなく、ベンダーは契約上であれ技術上であれ、セキュリティとプライバシーに対する責任を明確にし、顧客が自社のクラウドを利用することで何を得ることができるのかを明確にすべきだと、ファイゲンバウムは述べています。
フェイゲンバウム氏は、この状況をクレジットカードの出現になぞらえ、人々は自分の責任がはっきりするまで安心して使えないと述べ、「クラウドではどうなるのか?ベンダーからどのような約束が得られるのでしょうか?"
Feigenbaum氏によると、このような事態が発生した場合、Googleはその要求が正当なものであるかどうかを確認するため、しばしば拒否するそうです。また、可能であれば調査中の顧客に通知しなければなりません。
このようなことはまだマイクロソフト社には起こっていませんが、マイクロソフト社の情報セキュリティ責任者であるブレット・アーセノー氏***は、マイクロソフト社もソフトウェアの巨人として、このような要求を拒否しているだろうと述べています。「このような事態に対処する技術的な方法はいろいろあります。
