"クラウドってセキュリティ大丈夫なんですか?" - クラウドコンピューティングが台頭し始めた2010年前後頃に、多くの方がこの質問をお客様から受けたのではないでしょうか? この記事はCloud Security Foundations, Frameworks, and BeyondのChapter4 / Security Myths and Missteps in Cloud Migration: Misconceptions About Public Cloudにインスパイアされた個人の感想です。さすがSANS。当たり前のことを淀みなく完結に解説していますね。
オンプレミスもインターネット接続がある
至極当たり前のことですが、パブリッククラウドもプライベートクラウドもオンプレミスも、全て物理的なデータセンター上で稼働していますね。物理的なデータセンターには必ずネットワークの回線が引いてあって、インターネット接続が出来る状態になっています。インターネット接続があれば、外部の攻撃者から攻撃を受ける危険性が多かれ少なかれ有ります。これはクラウドだけでなくオンプレミスにも共通しています。仮に今私がお客様から"クラウドってセキュリティ大丈夫なんですか?"と聞かれたら、"答えを持っていません"と返すと思います。理由は、大丈夫か否かの基準はお客様によりまちまちだからです。同時に、"オンプレミスであればセキュリティは万全なのですか?"と聞きたくなるかもしれません。
クラウドの利点を再度整理
これも当たり前のことですが、オンプレミスには無いクラウドの利点を再度整理したいと思います。先ずは柔軟性です。クラウドはAPIやGUIを介して必要な時に必要なリソースを必要なだけ配備して、不要になったら配備したリソースを消すことができます。これはオンプレミスには無い大きな利点の1つかと思います。生産性も大きな利点です。オンプレミスでは、専任のITチームがサーバやストレージやネットワークのような物理リソースを調達・設置して、OSやランタイムのようなプライベートを構築、その上にアプリケーションを配備して、ようやくITサービスとして利用者にサービス提供できるようになります。クラウドは、サービスモデル(SaaS/PaaS/IaaS)によりばらつきはあるものの、基本的にはサーバやストレージやネットワーク、OSやランタイムのような基盤は出来上がっているため、すぐにアプリケーションを配備してサービス提供できるようになるため、利用者にとっての生産性が格段に上がりますね。更にセキュリティの向上も見逃せません。
パブリッククラウドは何故セキュリティに利点があるのか?
くどいようで恐縮ですが、クラウドのセキュリティ対策はお客様と、クラウドサービスプロバイダやクラウドサービスブローカーのような外部事業者との分業で成り立っています。下記のダイアグラムはマイクロソフト社のサイトからピックアップしたものです。
サービスプロバイダの責任範囲が最も小さいIaaSであっても、物理的なデータセンターやサーバ等の物理リソースに対するセキュリティの責任はマイクロソフト社(=クラウドサービスプロバイダ)にあります。SaaSになるとマイクロソフト社の責任範囲は広がって、Applicationまでマイクロソフト社がセキュリティの責任を担うことになります。クラウドサービスプロバイダには、ある一定の実務経験やセキュリティ関連のスキルを有したセキュリティエンジニアやセキュリティアーキテクト、セキュリティコンサルタントがいて、日々定常的に最新のセキュリティスキル習得に勤しんでいます。セキュリティ関連の専門スキルを有した複数の人がセキュリティに対する責任を担うクラウドは、お客様だけがセキュリティの責任を担うオンプレミスより遥かに安全と言えます。
パブリッククラウドは絶対に安全と言えるのか?
物事に絶対は有りえませんね。パブリッククラウドのセキュリティもしかりです。パブリッククラウドのセキュリティで、唯一の欠点はデータガバナンスかもしれません。パブリッククラウドは、複数のデータセンターで稼働していてデータセンターが設置されている国や地域の詳細はお客様には開示されません。かつ、データガバナンスに関する規制は国や地域により異なります。欧州であればGDPR、北米であればCCPAやPIPEDAのような規制があります。お客様がこれらの規制を見落としていて、自社の業界に求められるガバナンスに違反していると良からぬことになるかもしれません。
お客様から"クラウドってセキュリティ大丈夫なんですか?"と聞かれたら、どう答えるべきでしょうか? 改めて考えると難しいですね。"オンプレミスより、セキュリティに関わる人の専門性と数が異なるのでクラウドには利点もあります。"と答えるのが無難かもしれません。