クラウド&データセンター完全ガイド:特集

セキュリティ強化策としてのデータセンター/クラウド活用

「データセンターのセキュリティ」にあらためて着目する[Part1]

[Part1] 「データセンターのセキュリティ」にあらためて着目する

標的型攻撃をはじめとする昨今のセキュリティリスクは5年前と比較しても脅威のレベルが違う。情報と物理の両面でセキュリティに多額の投資を行う外部のデータセンター/クラウドサービスを、自社の情報資産保護の強化策に活用することの意義をあらためて考えてみたい。 text:渡邉利和

データセンターセキュリティの変遷

 ITシステムは実にさまざまな脅威にさらされている。PC時代の初期に出現したコンピュータウイルスなどは、現在の視点からは、いたずらや悪ふざけのレベルのものが大半だった。だが、そんな牧歌的な状況はとうに昔話となっており、現在のサイバー攻撃と呼ばれるものはすでに純然たる犯罪行為となっている。性善説か性悪説かなどといった議論もすでに意味をなさず、いわば、「本物の犯罪組織にいつの間にか標的にされている」状況にだれもが立たされる――そんな時代に入っているとの認識が必要になっている。この状況に対する特効薬があるとは思えないが、施設と情報管理の両面で保護に特化したデータセンターを活用することが対策の第一歩であることは間違いないだろう。

 データセンターは、もともとはメインフレームの設置施設として成立した計算機センターが起源だと考えてよいが、その当初から、セキュリティの維持も目的の1つとして掲げられていた。いわばセキュリティはデータセンターの根本的な存在理由の1つとなっていたわけだ。しかし、脅威として何を想定するのかは時代によって大きく異なる。

 一企業にとってはきわめて高価なメインフレームの安全運用を守ってきたデータセンターであるからして、種々のITシステムをしっかり保護できる設計・機能がはじめから備わっていたことは間違いない。ただし当時に想定された脅威は主に自然災害等であり、国内においては、地震対策にかなりの比重が割かれている。これは、日本が世界有数の地震国であることに加え、情報化初期の磁気ディスクシステムが震動に弱かったことから、地震の揺れでディスクが故障し、データが失われるといった状況を防ぐことが重視された結果だ。

初期から備わる災害対策

 建設時点から断層の側などを避け、強固な地盤に基礎をしっかり打ち込んで土台を作り、その上に免震ないしは耐震構造の上屋を建てるという基本的なアプローチは、国内の主要なデータセンターではほぼ常識化している。また、かつては津波に対する心配はさほど比重は高くなかったようにも思われるが、東日本大震災の教訓から、現在では立地の標高や過去の水害の際の被害状況の確認なども行われるようになっている。

 地震や津波といった純然たる自然災害に加え、停電や火災などに対する対策も十分に施される。停電に関しては、機器を安全に停止させるまでの時間を稼ぐという趣旨でUPS(無停電電源装置)が必要十分な容量確保されるのはもちろん、電力供給が回復するまでの期間を自力でしのぐための自家発電設備まで保有するのも特別な対応ではなくなっている。燃料の備蓄量によって対応可能な期間は変わるが、概ね数日程度であれば通常どおりの運用状況を維持できる。

 火災については、想定される出火原因が電気火災であることと、運用されるIT機器が水気を嫌うことから、水を使わない消火設備が完備されるのが一般的だ。出火や煙の発生をいち早く検知するセンサー類の設備も充実しており、一般のオフィスビルなどとは一線を画す安全対策が整えられている。

内外の攻撃に対する防御策

 上述したような安全施策は、いわば災害対策としてまとめられるものだが、現在、一般的にセキュリティと呼ぶ場合、犯罪行為を含む悪意ある攻撃からの防御という意味合いが強いだろう。その点に関しては、一般的なデータセンターの対応は完全には追いついていない部分もある。

 データセンターのセキュリティとして最も重視されるのは、物理的な不正侵入の阻止だ。メインフレーム時代の計算機センターはインターネット普及以前に成立しているため、ネットワークからの侵入防御より先に、まずは物理的なサーバールームへの侵入を阻止することに重点が置かれたのは当然のことだ。現在の最新設備では、指紋認証や指静脈認証などの生体認証を組み合わせた厳重なセキュリティチェックが行われ、無許可の人物がサーバールームなどに立ち入ることができないようになっている。さらに、残念ながら内部犯行のリスクも無視できないことから、サーバールーム内にも監視カメラなどによる監視システムが導入され、許可を得ている人物であっても無警戒に何でもできる状況にはしない、という仕組みのセキュリティが施されている。

 このように、現在のデータセンターでは、自然災害や直接サーバールームに立ち入った上で実行されるような破壊工作に対しては十分に堅牢で、IT機器が被害を受ける可能性はかなり低い。もちろん可能性はゼロではないが、自分たちでオフィス内や自社敷地内にマシンルームなどを設置して同等レベルで保護するためにはどれだけの投資が必要になるかを考えれば、一般的な企業ユーザーにとってはデータセンターを利用するのが最善の解であり、他の選択肢は考えられない、という結論が導かれるだろう。

最新のサイバー攻撃に対処可能なセキュリティ

 現在、サイバーセキュリティがさまざまなかたちで話題に上っている。企業や官公庁/公的機関などを狙った標的型攻撃では大規模な情報漏洩事例に繋がった例も数多く報告されている。こうしたネットワーク経由の侵入に関しては、データセンターの物理レベルのセキュリティでは対応のしようがない。ITシステムがデータセンターに設置され、稼働していた場合でも、ネットワーク経由での侵入は通常はデータセンター側の問題ではなく、ユーザー企業自身が防御すべきものと考えられるのが一般的だ。

 その意味からすると、データセンターのセキュリティという枠内に含まれる問題ではなくなってくる。もちろん、データセンター側でマネージドセキュリティサービスなどを提供している場合は当然、契約内容によって対応範囲が異なり、データセンター側の責任で防御を行ってくれる場合もある。

 残念ながら、サイバー犯罪を想定したセキュリティ対策は、従来行われてきた災害対策などを置き換えるものではなく、単に追加になっただけだという問題もある。そこでユーザー企業としては、マネージドセキュリティサービスなどを契約してハード/ソフト両面のセキュリティ対策をすべてデータセンターに任せるか、あるいはハード側の対策をデータセンターに任せたうえで、ネットワーク経由の侵入対策に全力を注ぐか、という選択を行うことになろう。災害対策や停電対策などは今後も不要になることはないため、その部分だけでもデータセンターに任せられれば負担の軽減が図れる。

 逆に言えば、現状想定されるあらゆるリスクからITシステムを守り切るために必要な知識やノウハウ、投資総額は現状でもすでにユーザー企業が個別にまかなえる規模を超えてしまっていると見るべきだろう。

 クラウドの価値が広く浸透し、ITサービスは社会インフラの一部としてユーティリティ化しつつあるのが今の時代で、すべてを自前で抱え込むというアプローチは現実的ではなくなりつつある。さらに、データセンター事業者がクラウドサービスを提供するケースが増えてきたことで、サービスを防御するために必要なサイバー攻撃に対する知識やノウハウが急速にデータセンター事業者に蓄積されるようになった状況も見逃せない。直近では自前で対応すべき部分とデータセンターに任せる部分を切り分けて負担の軽減を図りつつ、将来的には専門家のサービスを受ける形に移行することを想定して準備を始めておく、といったあたりが現実的な対応となるのではないだろうか。

図1:データセンターのセキュリティ施策/災害対策の例(出典:昭電)

(データセンター完全ガイド2016年冬号)