クラウドコンピューティングのセキュリティ その課題と対策
(1)クラウドコンピューティングの定義
クラウドコンピューティングを利用するメリットとして、コストを削減でき、より高度なITサービスを簡単に利用できると言われています。しかし、メリットばかりではありません。脅威(情報資産に対して害を及ぼす事象)やリスク(脅威により情報資産の漏えいなどの被害を及ぼす可能性)といったデメリットも、慎重に考えた上で利用する必要があるのではないでしょうか。クラウドコンピューティングを適切に利用する上でセキュリティが大きな課題になっています。
それでここでは、クラウドコンピューティングのセキュリティにおける課題と対策について、3回にわたってご紹介していきます。第1回となる今回は、まず、クラウドやクラウドコンピューティングという言葉の定義についてご紹介します。第2回、第3回では、クラウドコンピューティングの、主に利用者側視点でのサービス利用上の脅威やリスクについてご紹介していきます。
今後クラウド利用を検討する際のセキュリティ的な考慮点、課題点を把握していただくことで、安全にかつ安心してクラウドサービスを利用していただく一助になればと考えています(NTTソフトウェア株式会社 塚本 修也)。
■クラウドコンピューティングの定義
NIST(米国国立標準技術研究所)がクラウドコンピューティングを定義しています。クラウドコンピューティング関係の議論や技術資料等でもよく引用されているので、ご存じの方も多いと思いますが、今回改めてまとめてみました。また、NISTのドキュメントについては、IPA(独立行政法人情報処理推進機構)より日本語訳も出ています。詳細を知りたい方は、原文もしくは日本語訳をお読みください。
◇「The NIST Definition of Cloud Computing」(NIST 2011)http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
◇日本語訳「NISTによるクラウドコンピューティングの定義」(IPA 2012)
http://www.ipa.go.jp/security/publications/nist/documents/SP800-145-J.pdf
■クラウドコンピューティングの基本的な特徴
NISTの示した、クラウドコンピューティングの基本的な特徴を【表1】に示します。クラウドコンピューティングと呼ぶためには、必ずしもすべてを満たす必要はありません。現実として、さまざまなクラウドコンピューティングサービス(以降「クラウドサービス」とします)がありますが、これらの特徴のすべてが当てはまるサービスは、あまり多くはないと思います。
仕事などで「クラウド」というキーワードが出たとき、共通認識がずれると、意思疎通が成り立たなくなります。そのずれをなくすためにも、「NISTの定義」を基準とするとよいと思います。広く使われている言葉ですので、その定義を確認したい機会も多いのではないでしょうか。
| 基本的な特徴 | 利用者の視点 | 提供者の視点 | ||
| (1)オンデマンド・セルフサービス (On-demand Self-service) | ・サービスの利用に複雑な手続きを必要とせず、すぐに利用できる | (左記を実現・提供している) | ||
| ・利用するサービスの質、量は利用者で変更できる。 | ||||
| (2)幅広いネットワークアクセス (Broad Network Access) | ・インターネット経由のアクセスを代表とするさまざまなアクセス形態がある。 | (左記を実現・提供している) | ||
| ・PCやスマートフォンなど、さまざまなプラットフォームから利用できる。 | ||||
| (3)リソースの共用 (Resource Pooling) | ・利用者は、利用しているリソースの所在や限界を意識することなく、利用できる。 | ・提供者は、複数の利用者へのサービス提供の際、大きなリソースプールを共有する形で提供(マルチテナント化)することにより、効率化を図ることができる。 | ||
| ・利用者は、サービス上で自分の利用しているストレージやCPU(処理能力)、メモリ、ネットワーク帯域などのリソースがどのようなものか、状態をコントロールしたり知ることはできない。 | ||||
| (4)スピーディな拡張性 (Rapid Elasticity) | ・提供者によるリソース拡張性が高いため、リソース枯渇を意識する必要なくサービスを利用できる。 | ・リソースの拡張性は高く、利用者への割り付けの変更やリソースプールのスケールアウトも伸縮自在。 | ||
| (5)サービスが計測可能である (Measured Service) | ・サービスをどのくらい利用したかは計測され、利用者に可視化される。 | ・利用者がサービスをどのくらい利用したかを計測でき、利用者は使用量を閲覧できる。 | ||
| (注)本表は「NISTによるクラウドコンピューティングの定義」(IPA2012)、「THE NIST Definition of Cloud Computing」(NIST 2011)の文献を参照しまとめています。 | ||||
■クラウドコンピューティングのサービスモデル
利用者の視点で、サービスを利用・管理できるレイヤー(インフラ~ソフトウェア)の違いにより、【図1】に示すように、サービスモデルを分類します。基本的には、SaaS(ソフトウェアを利用できるサービス)、PaaS(ミドルウェア上でソフトウェアを動かせるサービス)、IaaS(仮想化によるインフラ環境上でOS以上の環境を利用できるサービス)と分類します。
 |
■クラウドコンピューティングの実装モデル
NISTによる実装モデルの定義を簡単にまとめると、以下の【表2】のようになります。
| 実装モデル | 特徴 | |||
| (1)プライベートクラウド (Private Cloud) | 企業など単一組織内の利用者を対象とし、その組織内で運用管理されている。 | |||
| (2)コミュニティクラウド (Community Cloud) | 共通のミッションを持つ共同体の利用者を対象とし、その共同体等により運用管理されている。 | |||
| (3)パブリッククラウド (Public Cloud) | 広く一般の利用者を対象として、サービス提供主体(企業組織、学術機関、政府機関など)で運用管理されている。 | |||
| (4)ハイブリッドクラウド (Hyblid Cloud) | (1)~(3)のクラウドを組み合わせたもの。クラウド間連携の関係がある環境をまとめて、ハイブリッドクラウド環境と呼ぶ。 | |||
| (注)本表は「NISTによるクラウドコンピューティングの定義」(IPA2012)、「THE NIST Definition of Cloud Computing」(NIST 2011)の文献を参照しまとめています。 | ||||
明日は、「(2)クラウドコンピューティングに潜む脅威」をお送りします。
| 塚本修也(NTTソフトウェア株式会社) クラウドセキュリティに関する分野の業務は2年ほどになります。他の業務と並行で細く長く活動していますので、最近の多様化するクラウドや急速に普及するスマートフォンといった新しい流れに取り残されそうで、業務の合間に必死に情報を追っています。 活動はチームとして行っていて、クラウド分野に限らず、セキュリティに関すること全般を扱っています。最近はクラウドやスマートフォンに関係する調査や開発を扱うことが多く、ナレッジやノウハウも溜まりつつある状況です。 |