今後のサイバー攻撃で問題になるのはクラウドコンピューティング環境であり,そこでは脅威や攻撃の検出等が困難になるとの指摘
下記の記事が出ている。
Government cyber dangers – threats from the cloud and large suppliers
Public Service UK: 15 August 2011
http://www.publicservice.co.uk/feature_story.asp?id=17195
これまで私が主張してきたことと全く同じことしか述べられていないのだが,世界中が私見と同一になってきたことは大変喜ばしいことだと思う。
とりわけ,日本人は外国の「権威」に弱いので,私が述べても相手にされないことでも,外国人が述べたというだけで簡単に採用してもらえるという利点がある。今後もこの方針でいきたい。
さて,上記の記事ではCyberforensicsが困難になると書かれている。
そのとおりだ。
日本の「有識者」の中には上記の指摘を理解できない者があるかもしれない。
しかし,上記の指摘は正しい。
************************************
(余談)
日本において,パブリッククラウドにおける情報セキュリティに関する一般的な理解が間違っている原因の多くは,自己過信によるものと思われる。
一般に,パブリッククラウドのベンダや管理者は,「システムを適正に管理し,攻撃から確実に防御できる」と信じている。これは,「根拠のない自信」の一種に過ぎないので,無意味であり,私は(全く考慮に値しないものとして)無視している。
次に,利用者の側からは,パブリッククラウド側に対して監査をする権限を全くもたない。つまり,自分がどのような環境にあるのかを利用者の側で知ることができない。強いて言えば,「適正な監査方式に従って適正に監査したところ問題はない」という証明書のようなものをベンダからもらえるのがせいぜいだ。こんなものが全く何の役にもたたないことは言うまでもない。コモンクライテリア認証は,砂上楼閣のようなもので,全く何の役にもたたない。
これまで何度もくどく述べてきたように,パブリッククラウド環境では,これまでの情報セキュリティの考え方の基本がすべて崩壊してしまっている。全く別のアプローチをとらないと駄目なのだが,どのベンダもそうしようとしない。全然わからないからだろう。
他方で,利用者側としては,ベンダによる利用者データの侵害を避けるため,仮想サーバ内にある利用者データを暗号化することが推奨されており,一般論としては,私も同意見だ。
しかし,仮に利用者がテロリストであった場合,その利用者の仮想サーバ内が「完全に暗号化」されていたと仮定すると,ベンダの側から利用者によるテロ攻撃の可能性を検出できない(または,非常に困難になる)という問題がある。
そのため,パブリッククラウドのベンダがシステム全体の安全性を確保しようとすればするほど,そのベンダは,利用者に対して,キーエスクローを強制するようになるだろう。
この場合,キーを預ける先が国の機関その他の公的機関であったとしても,その組織の中にスパイや裏切り者が存在する確率が常に一定レベルで存続し続けている以上,やはり利用者の安全性が侵害されることになるだろうと考える。昨今の状況を冷静に考察すれば,国の機関その他の公的組織であってもスパイの巣であることがあり得るということを誰でも理解することができるだろう。もちろん,民間の組織・団体でも同じだ。日本のIT企業の中には,北朝鮮や中国等に事実上支配されているところも存在する。
結局,自分のことは自分で守るしかない。
その意味で,パブリッククラウドの利用は,常に「最悪の選択」だということになるだろう。
ちなみに,いつも書くことだが,私は,幾つかのパブリッククラウドサービスを現実に利用している。観察するためだ。
そして,日々問題を発見し続けている。
[このブログ内の関連記事]
パブリッククラウド環境では,マネーロンダリングが悪質化し,かつ,捜査の困難度が増す危険性がある
http://cyberlaw.cocolog-nifty.com/blog/2010/03/post-f37b.html
| 固定リンク
コメント