2011年4月22日金曜日

「クラウド」と「モバイル」時代に備えたセキュリティの取り組み方

 企業ITの分野でここ数年の注目キーワードとなっているのが「クラウド」や「モバイル」だ。こうしたキーワードに関連する製品やサービスを企業が本格導入する際に、セキュリティ管理者はどのような対策を講じるべきだろうか。
セキュリティインシデントが複雑化
 例えば2010年には、世界各国の外交機密文書がWikileaksに流出したり、尖閣諸島沖で中国漁船と海上保安庁の巡視船が衝突した映像がYouTubeに流出したりする事件が注目を集めた。いずれも情報を保有する側が非公開とした内容がインターネット上に公開され、誰でも閲覧できる状態になった。企業でこうした事態が起きれば、重要なデータがあらゆる端末を通じて拡散するため、流出経路や影響範囲を特定して収束させることが事実上不可能になる。
 企業向けに提供されるセキュリティ技術は「ID・アクセス管理」「データ・アプリケーション保護」「インフラ保護」の3つに分類される。これまでは、PCやサーバに重要なデータが格納されるケースが多いことから、「インフラ保護」に当たるエンドポイントの対策に重点が置かれてきたという。
 だが、ITリソースやデータをネットワーク越しで利用するクラウドでは、ユーザーが正規の権限を持つ人物であるか、また、データとそのデータを処理するアプリケーションが安全な環境にあるかも重要であり、従来以上に「ID・アクセス管理」や「データ・アプリケーション保護」を強化しなければならない。
クラウドのセキュリティ技術に注目を
 クラウドの普及に伴って、「クラウドのセキュリティ」も本格的に議論されるようになった。しかし、議論の焦点がガイドラインや制度など「管理」の視点に寄り、実際にセキュリティを確保するための技術の議論が進んでいないと指摘する。
 前述した「ID・アクセス管理」や「データ・アプリケーション保護」を実現するクラウドでのセキュリティ技術として、取り上げるのが「デジタル著作権管理(DRM)」「Webベースのシングルサインオン(SSO)」「仮想化環境のセキュリティ」「特権IDの操作ログ管理」である。
 DRMは、データの利用権限をファイル単位で付与することにより、権限の無い人間による悪用を防ぐ。例えば、尖閣諸島問題の映像流出でも映像ファイルに適切なDRMを付与していれば、誰もが閲覧できる状況にはならなかったという。
 WebベースのSSOは、ユーザー権限の安全性を確保しつつ、フェデレーションと呼ばれるID連携の仕組みを利用して、クラウドサービスの利便性を高める。ユーザー情報の本体はユーザー側で保有し、外部のサービスを利用する際に、ユーザー情報を別の形に置き換えて認証を行うことで、外部サービス側にユーザー情報の本体を提供するリスクを軽減する。
 「仮想化環境のセキュリティ」や「特権IDの操作ログ管理」は、国内ではあまり普及していないという。仮想化環境におけるセキュリティリスクは、さまざまなものが専門家やベンダーの間で想定されているが、特に特権IDの運用に注目している。
 例えばクラウド事業者がシステムをメンテナンスする際に、ユーザーの仮想マシン環境に特権IDでアクセスする場合が想定され、作業が適切に行われているかを第三者視点が管理できる仕組みが重要になる。製品の中には、コンピュータ画面を録画して特権IDで行われた操作をチェックできるものもあり、こうした製品の活用が期待されるという。
 また、クラウド利用が広がればインターネットに接続する機会も必然的に増えることになり、悪質なWebサイトに接触してしまうリスクが高まる。現状の対策技術は、特定された悪質サイトへの接続を遮断するURLフィルタリングが中心だ。

モバイルセキュリティは発展途上
 もう1つのキーワードの「モバイル」は、スマートフォンやタブレット端末の爆発的な普及が背景にある。企業ではPCを補完したり、代替したりする業務端末としての利用に注目が集まっている。
 モバイル端末は、小型・軽量で持ち運びに優れるために盗難や紛失に遭遇しやすい。PCと同じように、不正プログラムに感染する恐れもある。こうした原因によって、端末から情報が流出したり、不正利用されたりするリスクが存在している。
 このため、モバイル端末でもさまざまなセキュリティ技術が登場している。盗難・紛失対策では遠隔操作でデータを消去したり、操作をロックさせたりできる。不正プログラム対策では、アンチウイルスソフトも提供されるようになった。企業が一斉導入した多数のモバイル端末を集中管理するための「モバイルデバイスマネジメント」も開発された。
 PC向けにこれまで提供されてきたのと同様のセキュリティ対策をモバイル端末でも講じられるようになったが、PC向けの対策に比べるとまだ新しく、運用実績の面では物足りないのが現状だ。石橋氏は、こうしたモバイル端末向けのセキュリティ技術を導入する上で、市場動向に注視しながら検討していくべきとアドバイスしている。
これからのステップ
 クラウドやモバイルにおけるセキュリティでは、インシデントによる影響範囲を最小化すること重要であり、データを1個単位で保護することが重要だと石橋氏は指摘する。また、最新技術が必ずしも従来のセキュリティリスクを解消できるとは限らない。実績ある技術や製品をよりよく活用したり、既存対策の有効性を再確認したりするといった行動もポイントになる。

0 件のコメント:

コメントを投稿