クラウドコンピューティングに対する脅威-トップ7
The Cloud Security Alliance (CSA) は,クラウドコンピューティングに対する脅威に関する調査結果を公表した。
Top Threats to Cloud Computing
CSA: Mar 1, 2010
http://www.cloudsecurityalliance.org/topthreats.html
[関連記事]
Cloud Security Alliance Names Top 7 Threats To The Cloud
dark READING: 3 01, 2010
http://www.darkreading.com/securityservices/security/vulnerabilities/showArticle.jhtml?articleID=223101074&cid=RSSfeed_DR_News
これによると,内部者による不正利用(権限濫用)が脅威の上位を占めている。
パブリッククラウドの場合,自社の中の誰か内部者による犯行という脅威だけではなく,重要なデータや業務を委託した委託先の内部者による犯行も考えなければならない。
しかし,残念ながら,内部者による犯罪を完全に阻止する方法は,原理的に存在し得ない。
それだけではなく,パブリッククラウドの場合には,その利用者の統制はクラウド側の統制に常に劣後することになるので,利用者の側からクラウド側の内部者の動静を監視したり,利用者のイニシアティブで監査を実行したりすることが原理的に不可能となっている。つまり,クラウド側での内部犯行を利用者側で阻止するための手段が一切奪われてしまっていると理解するのが正しい。そこでは,「信頼してくれ」という約定しか存在しなことになるのだが,そんなものが何の役にもたたないことは初歩的な常識に属する。
そして,従業員による内部犯罪の例はいくらあげてもキリがないが,それ以上に,経営陣自体が犯罪または違法行為を目的として存在している場合には,内部統制も監査もすべて無駄だ。このような経営陣自体が犯罪または違法行為を目的として存在していたという例は,これまでもエンロンの事件やアーサーアンダーセンの事件など,非常に多くの例がある。しかも,これら経営陣が悪事をなす企業は世界のトップ企業だったのだから,「有名な企業だから悪事をしない」という法則は一切存在しないということが歴史的に証明されていることになる。そして,このことは,国家(国家機関)でさえ同じだということにも留意しなければならない。
結論として,「誰も信用しない」という情報セキュリティの基本に忠実であろうとすれば,自分が管理できないサイトに重要な情報やデータを預けないということを徹底するしかない。
重要な情報やデータは,電子化せず,紙の書類として大きな耐火金庫にしまっておくのが,現時点でもなお,最も標準的で確実なやり方だということを思い出すべきだろう。
[追記:2010年3月2日]
関係ありそうな,なさそうな記事(笑)を見つけたので追加しておく。
Report Reveals Inaccuracies Of DHS' E-Verify System
dark READING: 3 01, 2010
http://www.darkreading.com/security/government/showArticle.jhtml?articleID=223100976
| 固定リンク
コメント