情報セキュリティーを取り巻く環境は、情報技術の革新、新しいサービス・モデルの出現などにより利便性が向上した反面、新たな脅威が顕在化してきている。最終回は、現時点では表立った被害は出ていないが、今後社会的影響が大きくなると予想される脅威について解説する。
クラウド利用における課題
クラウド・サービスは、業務システム、個人向けストレージ、災害時の代替システムなどさ、さまざまな用途で活用されている。一方で、クラウドにシステムを持っていくことで、システム管理者ができることに制限ができてしまう問題や、個人向けのクラウド・サービスの広がりに伴い、クラウド上に内部のデータの複製されてしまうといった新たな課題が出てきている。
<クラウドの拡大>
IDCの予測によると、2012年のパブリック・クラウド市場は前年比46.0%増の941億円になる見込みで、2016年には3027億円に達すると試算されている。クラウドと一言に言っても、業務システムを提供するものから、ストレージやコンピューティング能力などのインフラ環境を提供しているサービスまでさまざまなバリエーションが存在する。また、企業ユーザにとどまらず、個人向けストレージや動画サービスなど、一般ユーザにとって身近な存在になっている。また、今後ソーシャル・クラウドと言われる、医療、農業、行政といった分野への提供も検討されており、クラウド・サービスを基盤としたIT社会の構築が進められている。<システム管理者の留意点>
インシデント対応
システム管理者がクラウド・サービスを利用する上で留意しなければならないのは、自前のシステムと異なり、管理者がコントロールできる範囲が限定されてしまうことである。例えば、自前システムであれば、簡単にできたログの収集や分析が行えないといった管理上の不都合が生じることがある。とりわけセキュリティー事故が発生した場合、ログの提供を受けられないために被害状況が確認できないなどの不都合が考えられる。このような点も踏まえて、セキュリティー事故発生時に情報が調査・追跡できるようにクラウド事業者とオペレーション・レベルのOLA(operation level agreement)を明確にしておくことが求められる。
個人向けサービスの利用
個人向けクラウド・サービスの活況と共に組織・企業のシステム管理者にとって悩ましい問題も出てきた。近年、業務効率の向上を目的に個人が契約したデバイスやサービスを職場に持ち込み業務にも利用する、いわゆる「BYOD」(bring your own device)問題だ。個人所有のデバイスやストレージ・サービスに業務データが保管されることが想定され、不用意に業務データが外部に拡散してしまう危険性が考えられる。個人契約のデバイスの利用においても、情報の重要度に応じた一定のルール化やシステム的な制限の検討が必要となっている。
