5人の業界キーパーソンが語る「クラウドのセキュリティが悩ましい理由」
http://www.computerworld.jp/topics/cloud/177789-1.html
2010年03月27日 Ellen Messmer/Network World米国版 の記事。
<以下、私個人が勝手に解説している内容です。間違っているなら気軽にツッコミしてね。>
ザックリ書くと、クラウド・コンピューティングで、常に話題に上がるセキュリティに対する今もっとも最先端に行く、IT業界の企業のTOP5名の発言を集めたものです。ポイントは、いくつかあるが、
(1)クラウドそのもの情報提供が少ないのが問題
(2)セキュリティとしての鍵(暗号化導入)の問題
(3)ハードウェアそのものの安全性の問題
(4)クラウド・コンピューティングの利用者教育体制の問題
(5)それぞれのクラウドサービス業者間でのセキュリティの互換性の問題
と5つの切り口で書かれている内容です。
コメントの内容のメンバーは以下の5名。
(1)MicrosoftのCEO(最高経営責任者)、スティーブ・バルマー(Steve Ballmer)氏
(2)Trend MicroのCEOであるエヴァ・チェン(Eva Chen)氏
(3)RSAのプレジデントであり、EMCの取締役副社長も務めるアート・コビエロ(Art Coviello)氏
(4)McAfeeの社長兼CEOのデイヴィッド・デウォルト(David DeWalt)氏
(5)Symantecの社長兼CEO、エンリケ・サレム(Enrique Salem)氏
(1)に対しては、クラウドと呼ばれるネットを介した性質上の解り難さが、混乱を招いているから要は、出来うる限り、情報を提供するれば自ずと不安は解消されるだろうとの見解である。
これは、その通りであって、クラウドの仕組みが雲の中あるかの用に語源から来ているからその仕組みがわからず、ユーザが既に身構えていると解釈できる。
実際、その様な状況である事は確かで「わけが解らないものに投資してセキュリティとかどうなの?」と不安を抱くことは当然である。
以下に、スティーブ・バルマー(Steve Ballmer)氏のコメントを抜粋すると---
「(略)…時点での問題は、(クラウドの中で)起きていることをユーザーがまったく知らないということだ。ユーザーがクラウドの状態を知り、その情報に基づいてクラウドを容易にコントロールできるようなツールや技術の開発も、また重要なのである」
実に、その通りであると思う。この様な、ユーザーに情報を提供する事の重要さが不安を解消する第一歩であることは確かだ。
とは言え、「Microsoft」が言えるかな…とか思うけど。。。(笑)
(2)に対しては、「Trend Micro」らしい回答かなぁ~とも思える。
以下、エヴァ・チェン(Eva Chen)氏のコメントを抜粋すると---
「(略)…例えばホテルに泊まるとき、安全のためにドアに鍵をかけるのはごく当たり前だ。クラウド・コンピューティングも、ホテルのように一時的な“間借り”をしているにすぎない。したがって、そこにはきちんとした鍵が存在しているべきなのである」
確かにその通りで、安全性には”鍵”が、常に必要で、その鍵が全てのクラウドサービス業者にまんべなくあるのかと言われると、ややどうだろうか?と疑問符は付く。
サービス提供口上では、考慮されているとして、果たして、インフラ上ではどうだろうか?
DB領域の隔離や改竄などされないように考慮されているだろうか?
十分に監査に堪え得る状態にデータは保存されているだろうか?
この点は、(1)と結びつく重要な内容であって、「SAS 70 TypeⅡ」や「監査18号」に対応する能力を持ち合わせているのかなどとも大きく絡んでくるところである。
J-SOX法が、一時、SEの間でも話題に上がったが、内部統制上必要不可欠なシステムが確実にクラウドサービス上にも確立されているのか?は、セキュアな部分でコアな問題である。
これは、SEがクラウド・コンピューティングを何らかの形で導入する場合、避けては通れない重要な課題であると言う指摘は、ごもっともなことである。
(3)に対しては、「ハードウェアそのものの安全性の問題」を課題としている。
この件では、以下のアート・コビエロ(Art Coviello)氏コメントに注目したい。
「(略)…大きな課題としては、管理性が挙げられる。あらゆる制御機能を管理するには、セキュリティ・ポリシーをビジネス・ポリシー全般に統合し、それらを調和させて円滑に機能するよう図らねばならない。…(略)」
いわば、いかにハードウェアを「SLA(Service Level Agreement)」に落とし込めるかに掛かっている気がする。要は、利用者との合意をいかに取り付けるのか?に集約される。
ハードウェアの技術は、常に日進月歩であり、半年もすればそのハードウェアは、老朽化したものであるからそのハードウェアの性能を保証しうるものは「SLA」しかなくのなると言うことである。
ここは、重要な点でSEとして理解しておかなくては、いけないことであると思っている。
コメントの指摘は、ハードウェアの課題としているが、それは精度とかではなく機能としてのレベルをどこで妥協点を見出し、現時点での最善のサービスを提供しうるのかを理解しておかなくてはいけない事を回りくどく指摘されていると言っていい。
ハードウェアの進歩と言うことで、問題を放り出してはいけないと言うことである。それを踏まえつつ、今後のクラウド・コンピューティングの開発は考えて、サービス提供をする必要があると捉える事が出来る。
(4)に対しては、「クラウド・コンピューティングの利用者教育体制の問題」が課題として挙げられている。
これも、非常に示唆に富む内容である。
この件では、以下のデイヴィッド・デウォルト(David DeWalt)氏コメントに注目したい。
「(略)…自らのデータがベンダーの管轄下に置かれるケースがままあるからだ。彼らは、こうした貴重なデータ資産の支配権を手放すことにとまどいを覚えている。諸問題の源はこの点にあると言えよう。…(略)」
支配権と言う表現がどうだろうかと思うが、法的解釈は置いといて、ユーザの誤解している諸問題の根源がここらにあるだろうとの仮定は、殆どあっていると思われる。
人間の心理学的に自分から物が離れると不安になるのは当たり前で、支配圏下外にあるならば、常にその確認をしたい気持ちが出る。
これは(1)の情報の公開の違った形で表現されたコメントと言っていいかもしれない。
ただ、視点はユーザに、その様な不安を解消する為の情報公開の手段(=操作なり知識)を教育する仕組みがサービスとして必要だといっていると解釈が出来る。
従来で言うところの開発導入工程の教育なのだが、クラウド・コンピューティングの場合も同じく教育をしっかりと行い、不安な要素を解消すべきである述べていると捉えられる。
この場合のコメントは、クラウド・コンピューティング云々よりも、IT業界の開発として機能=操作=教育でいいのか?と言う根源的問題も突きつけられているようにも思う。
(5)に対しては、「それぞれのクラウドサービス業者間でのセキュリティの互換性の問題」の課題となる。
これは、今後、クラウドサービスを展開していくならば、必ず、出てくるだろう大きな問題のように思う。
以下、エンリケ・サレム(Enrique Salem)氏のコメント抜粋---
「(略)…最後に重要なのは、組織が以前から所有しているソリューションとクラウド・ベースのセキュリティ・サービスを連係させることだ。組織が異なるITモデルを使いこなし、両者のメリットの恩恵を得るには、こうした互換性が肝要になる」
これは、クラウドサービス開発を行っているとそのセキュリティの違いをいかにして今後、吸収もしくは、互換性を持たせるのかを課題としてあげている。
SSO(シングルサインオン)などの技術などあるが、これが全てにおいて、互換性があるならそれでも良いが現実のシステム間のセキュリティポリシーは、全く違うものであるし、その構造も異なる。
そうなるとそもそもの利点であるクラウドサービスを組み合わせた、システム作りに何かしらの問題が出てくる。
それが、それぞれが違うベンダーだった場合は、どうであろうか?
この点は、まだまだ、クラウド・コンピューティングの仕組みが統一化されていない現状では、開発時点でクッションになる媒体を噛ませる等してそれぞれが当分は、開発を行うしかないのが現状だろう。
要は、SEはこの点で開発上のリスクとして、しっかり認識しておかなくてはいけないことであると言うことである。
クラウド・コンピューティングにて、それぞれの著名な企業のTOP5名が、セキュリティ面での問題をコメントした記事であるが、述べていることは極当然の事であり、どのように今後、なって行くかは、正直なところクラウド・コンピューティングの普及度次第であろうと思う。
その普及度によっては、進展も違うのであるから、結局、現場の人間が上記、コメントの課題を意識しつつ、サービスとはそもそもなんなのか理解し、技術面もしかり、利用者の求めるサービスとは?と自問しつつ、課題をクリアにしていくしか暫くはないのではないだろうか?
http://www.computerworld.jp/topics/cloud/177789-1.html
2010年03月27日 Ellen Messmer/Network World米国版 の記事。
<以下、私個人が勝手に解説している内容です。間違っているなら気軽にツッコミしてね。>
ザックリ書くと、クラウド・コンピューティングで、常に話題に上がるセキュリティに対する今もっとも最先端に行く、IT業界の企業のTOP5名の発言を集めたものです。ポイントは、いくつかあるが、
(1)クラウドそのもの情報提供が少ないのが問題
(2)セキュリティとしての鍵(暗号化導入)の問題
(3)ハードウェアそのものの安全性の問題
(4)クラウド・コンピューティングの利用者教育体制の問題
(5)それぞれのクラウドサービス業者間でのセキュリティの互換性の問題
と5つの切り口で書かれている内容です。
コメントの内容のメンバーは以下の5名。
(1)MicrosoftのCEO(最高経営責任者)、スティーブ・バルマー(Steve Ballmer)氏
(2)Trend MicroのCEOであるエヴァ・チェン(Eva Chen)氏
(3)RSAのプレジデントであり、EMCの取締役副社長も務めるアート・コビエロ(Art Coviello)氏
(4)McAfeeの社長兼CEOのデイヴィッド・デウォルト(David DeWalt)氏
(5)Symantecの社長兼CEO、エンリケ・サレム(Enrique Salem)氏
(1)に対しては、クラウドと呼ばれるネットを介した性質上の解り難さが、混乱を招いているから要は、出来うる限り、情報を提供するれば自ずと不安は解消されるだろうとの見解である。
これは、その通りであって、クラウドの仕組みが雲の中あるかの用に語源から来ているからその仕組みがわからず、ユーザが既に身構えていると解釈できる。
実際、その様な状況である事は確かで「わけが解らないものに投資してセキュリティとかどうなの?」と不安を抱くことは当然である。
以下に、スティーブ・バルマー(Steve Ballmer)氏のコメントを抜粋すると---
「(略)…時点での問題は、(クラウドの中で)起きていることをユーザーがまったく知らないということだ。ユーザーがクラウドの状態を知り、その情報に基づいてクラウドを容易にコントロールできるようなツールや技術の開発も、また重要なのである」
実に、その通りであると思う。この様な、ユーザーに情報を提供する事の重要さが不安を解消する第一歩であることは確かだ。
とは言え、「Microsoft」が言えるかな…とか思うけど。。。(笑)
(2)に対しては、「Trend Micro」らしい回答かなぁ~とも思える。
以下、エヴァ・チェン(Eva Chen)氏のコメントを抜粋すると---
「(略)…例えばホテルに泊まるとき、安全のためにドアに鍵をかけるのはごく当たり前だ。クラウド・コンピューティングも、ホテルのように一時的な“間借り”をしているにすぎない。したがって、そこにはきちんとした鍵が存在しているべきなのである」
確かにその通りで、安全性には”鍵”が、常に必要で、その鍵が全てのクラウドサービス業者にまんべなくあるのかと言われると、ややどうだろうか?と疑問符は付く。
サービス提供口上では、考慮されているとして、果たして、インフラ上ではどうだろうか?
DB領域の隔離や改竄などされないように考慮されているだろうか?
十分に監査に堪え得る状態にデータは保存されているだろうか?
この点は、(1)と結びつく重要な内容であって、「SAS 70 TypeⅡ」や「監査18号」に対応する能力を持ち合わせているのかなどとも大きく絡んでくるところである。
J-SOX法が、一時、SEの間でも話題に上がったが、内部統制上必要不可欠なシステムが確実にクラウドサービス上にも確立されているのか?は、セキュアな部分でコアな問題である。
これは、SEがクラウド・コンピューティングを何らかの形で導入する場合、避けては通れない重要な課題であると言う指摘は、ごもっともなことである。
(3)に対しては、「ハードウェアそのものの安全性の問題」を課題としている。
この件では、以下のアート・コビエロ(Art Coviello)氏コメントに注目したい。
「(略)…大きな課題としては、管理性が挙げられる。あらゆる制御機能を管理するには、セキュリティ・ポリシーをビジネス・ポリシー全般に統合し、それらを調和させて円滑に機能するよう図らねばならない。…(略)」
いわば、いかにハードウェアを「SLA(Service Level Agreement)」に落とし込めるかに掛かっている気がする。要は、利用者との合意をいかに取り付けるのか?に集約される。
ハードウェアの技術は、常に日進月歩であり、半年もすればそのハードウェアは、老朽化したものであるからそのハードウェアの性能を保証しうるものは「SLA」しかなくのなると言うことである。
ここは、重要な点でSEとして理解しておかなくては、いけないことであると思っている。
コメントの指摘は、ハードウェアの課題としているが、それは精度とかではなく機能としてのレベルをどこで妥協点を見出し、現時点での最善のサービスを提供しうるのかを理解しておかなくてはいけない事を回りくどく指摘されていると言っていい。
ハードウェアの進歩と言うことで、問題を放り出してはいけないと言うことである。それを踏まえつつ、今後のクラウド・コンピューティングの開発は考えて、サービス提供をする必要があると捉える事が出来る。
(4)に対しては、「クラウド・コンピューティングの利用者教育体制の問題」が課題として挙げられている。
これも、非常に示唆に富む内容である。
この件では、以下のデイヴィッド・デウォルト(David DeWalt)氏コメントに注目したい。
「(略)…自らのデータがベンダーの管轄下に置かれるケースがままあるからだ。彼らは、こうした貴重なデータ資産の支配権を手放すことにとまどいを覚えている。諸問題の源はこの点にあると言えよう。…(略)」
支配権と言う表現がどうだろうかと思うが、法的解釈は置いといて、ユーザの誤解している諸問題の根源がここらにあるだろうとの仮定は、殆どあっていると思われる。
人間の心理学的に自分から物が離れると不安になるのは当たり前で、支配圏下外にあるならば、常にその確認をしたい気持ちが出る。
これは(1)の情報の公開の違った形で表現されたコメントと言っていいかもしれない。
ただ、視点はユーザに、その様な不安を解消する為の情報公開の手段(=操作なり知識)を教育する仕組みがサービスとして必要だといっていると解釈が出来る。
従来で言うところの開発導入工程の教育なのだが、クラウド・コンピューティングの場合も同じく教育をしっかりと行い、不安な要素を解消すべきである述べていると捉えられる。
この場合のコメントは、クラウド・コンピューティング云々よりも、IT業界の開発として機能=操作=教育でいいのか?と言う根源的問題も突きつけられているようにも思う。
(5)に対しては、「それぞれのクラウドサービス業者間でのセキュリティの互換性の問題」の課題となる。
これは、今後、クラウドサービスを展開していくならば、必ず、出てくるだろう大きな問題のように思う。
以下、エンリケ・サレム(Enrique Salem)氏のコメント抜粋---
「(略)…最後に重要なのは、組織が以前から所有しているソリューションとクラウド・ベースのセキュリティ・サービスを連係させることだ。組織が異なるITモデルを使いこなし、両者のメリットの恩恵を得るには、こうした互換性が肝要になる」
これは、クラウドサービス開発を行っているとそのセキュリティの違いをいかにして今後、吸収もしくは、互換性を持たせるのかを課題としてあげている。
SSO(シングルサインオン)などの技術などあるが、これが全てにおいて、互換性があるならそれでも良いが現実のシステム間のセキュリティポリシーは、全く違うものであるし、その構造も異なる。
そうなるとそもそもの利点であるクラウドサービスを組み合わせた、システム作りに何かしらの問題が出てくる。
それが、それぞれが違うベンダーだった場合は、どうであろうか?
この点は、まだまだ、クラウド・コンピューティングの仕組みが統一化されていない現状では、開発時点でクッションになる媒体を噛ませる等してそれぞれが当分は、開発を行うしかないのが現状だろう。
要は、SEはこの点で開発上のリスクとして、しっかり認識しておかなくてはいけないことであると言うことである。
クラウド・コンピューティングにて、それぞれの著名な企業のTOP5名が、セキュリティ面での問題をコメントした記事であるが、述べていることは極当然の事であり、どのように今後、なって行くかは、正直なところクラウド・コンピューティングの普及度次第であろうと思う。
その普及度によっては、進展も違うのであるから、結局、現場の人間が上記、コメントの課題を意識しつつ、サービスとはそもそもなんなのか理解し、技術面もしかり、利用者の求めるサービスとは?と自問しつつ、課題をクリアにしていくしか暫くはないのではないだろうか?