クラウドコンピューティングのセキュリティに関するRSAトップの見解
下記の記事が出ている。参考になる部分が多い。
Security In A Cloud
Forbes: 12.21.09
http://www.forbes.com/2009/12/20/cloud-computing-rsa-technology-cio-network-coviello.html
なお,この記事との直接の関連はないが,これまで,クラウドコンピューティングサービスの情報セキュリティの関連で大量の記事や論文などをさんざん読破してきた。
その中で,ちょっとだけ気になったのは,クラウドコンピューティングサービスの提供者の側でのセキュリティ管理とそのサービスの利用者の側でのセキュリティ管理とのベクトルの相違を意識せず,これらの問題を一緒にしているものが散見されることだ。
この2つの異なるベクトルに基づくセキュリティ管理におけるポリシーが一致している場合には,問題が比較的少ないかもしれない。
問題なのは,そのポリシーに抵触がある場合だ。その場合,サービス提供者の側のポリシーが一方的に適用されてしまい,利用者の側では何もできない(利用者の側からみて何か問題点が発見されたとしても,利用者の立場ではそのシステムの利用をやめるという以外には何も改善のための手をうつことができないという点で,PDCAのサイクルが根本的に破綻する)という重大な問題がある。
同様の理由により,サービス利用者の側からクラウドコンピュータに対してシステム監査をすることもできない(仮想マシンの中だけを監査してみても,監査証跡もまた仮想のものであり,特定されたメモリの番地や仮想ディスク上の番地なども全部相対アドレスであって絶対番地ではなく,とりわけグリッドコンピューティングを基盤とするシステムでは物理装置と仮想マシンとが1対1で対応しているわけではない。そして,その仮想マシンを支配している上位のシステムリソースに対しては,利用者及びその監査人からアクセスする権限が認められていない。したがって,そのようなシステムにおけるシステム監査では,理論上,「適正な監査」というものが絶対に成立しないことになる。)。
更に,日本国の個人情報保護法との関係では,アウトソース先に対する監督・管理を徹底することが本質的に不可能となる。つまり,個人情報取扱事業者は,事業者が完全に支配可能なサービスでない限り,クラウドコンピュータにアウトソースしたとたんに義務違反となる。このことは,行政機関個人情報保護法等でも同じだ。
以上のような問題意識をもつためには,サービス提供者と利用者との間でのベクトルの相違というものを明確に認識する必要がある。
| 固定リンク
コメント