SaaSベンダー自身の セキュリティは万全か？ 　SaaS（Software as a Service）／クラウド・サービスの導入を検討するユーザー企業の多くが、リスクを考慮せずに話を進めようとする。一方、セキュリティ専門家は、そうしたユーザー企業を引き留め、さまざまな提言を行う。ベンダーに勤務する彼らがそのような行為に及ぶのは、言うまでもなく自社を売り込むためだ。 　「このことに特に問題があるわけではない」と、Cloud Security Allianceの共同創設者であり、Electronic ArtsやRobert Half InternationalなどでCISO（最高情報セキュリティ責任者）を務めた経験を持つニルス・プルマン（Nils Puhlmann）氏は語る。「問題なのは、ベンダーが自社のSaaS／クラウド・サービスにおいて、セキュリティや信頼性を十分に考慮していないケースがあることだ」と同氏。 　CSO米国版編集部は、SaaS／クラウド・サービスの提供に際して重大な間違いを起こしたある大手セキュリティ・ベンダーの事例について、ブルマン氏から連絡を受けた。問題解決に協力している同氏は、社名を伏せるという条件でその事例について話してくれた。 Join discussion...

10月7日、CEATEC JAPAN 2009のコンファレンスにおいて、コンピュータソフトウェア協会主催によるセッション「クラウド環境下におけるユーザセキュリティ ～クラウドコンピューティング世界におけるユーザセキュリティのこれから～」が開催された。 コーディネーターはコンピュータソフトウェア協会 専務理事の前川徹氏。パネリストとしてRSAセキュリティ代表取締役の山野修氏、トレンドマイクロ 戦略企画室 Strategy & Business Operation ディレクターの黒木直樹氏が登壇した。 Join discussion...

コスト削減効果に期待が集まるクラウドシステム。しかしながら、セキュリティ面では解決が難しい問題も多く、実用化となると様々な課題が残されている。一方で仮想コンピュータのセキュリティ制御、大量かつ多面的なネットワークの監視といった新しい技術も続々と実用化が図られている。そうしたクラウドの現状とセキュリティの問題、そして将来の可能性まで、S&Jコンサルティング株式会社 代表取締役社長 三輪信雄氏が解説した。 Join discussion...

情報処理推進機構（IPA）は、2009年の1月から6月までの情報セキュリティに関する技術動向を取りまとめた。 同調査報告書は、同機構の情報セキュリティ技術動向調査タスクグループによる成果で、注目すべき技術動向についてTGの専門委員が解説を行っている。 クラウドコンピューティングに関するセキュリティ動向の紹介をはじめ、安全なDNSの運用を実現する「DNSSEC」、感染が拡大したマルウェア「Conficker」など、9トピックを取り上げた。 Join discussion...

いまどき流行らないWindowsとMac OS Xの比較だが、パフォーマンスを左右する要素に1つ決定的な違いがある。「アンチウイルスソフト」常駐の有無だ。 　マルウェアの標的にされやすいWindowsの場合、アンチウイルスソフトを常駐させることは半ば常識化しているが、数字で判断する限りマイナーなMac OS Xの場合、アンチウイルスソフトを導入しているユーザは多くない。油断しているといえばそれまでだが、それがシステムの負荷軽減に貢献していることも確かだろう。 　しかし、Windows用アンチウイルスソフトにも「クラウド化」という新たなトレンドが到来している。たとえばMcAfeeは、クラウドの形態をとるSaaS型セキュリティサービス「McAfee Total Protection Service」を企業ユーザー向けに提供している。脅威が検出されてからクラウド側の働きにより対策が講じられるまでのタイムラグは数秒程度、クライアント側に負荷が生じないことが特徴と謳っているサービスだ。コンシューマ向けは9月からということで、Windows 7発売のタイミングにあわせた展開であることは想像に難くない。 　無償のアンチウイルスサービスを提供しているPanda Securityは、いちはやくコンシューマ向けにクラウド型の「Panda Cloud Antivirus」を提供している。残念ながら本稿執筆時点でWindowws 7（64bit版）は未サポートだが、今後の対応に期待したい。 　アンチウイルスという宿命を負ったWindows。Mac OS Xのように”ノーガード戦法”をとるわけにはいかないが、クラウド化による負荷分散が1つの解決策になるかもしれない。 Join discussion...

最近、「おたくを信用できません」とユーザー企業が言い、クラウド関連商談が流れた話をいくつか聞いた。信用できないと言われた企業は、私が思うに日本で最も信用できる部類の企業ばかりだが、情報漏洩事件が相次いだことでユーザー企業が過敏に反応したらしい。一方で、Google Appsのようなクラウドサービスの利用は日本の大企業の間でも進んでいる。さて、このあたりのどう考えればよいのか・・・。 　日本でのクラウド・コンピューティングのビジネスで厄介なのは、ユーザー企業の担当者のリスクに対する過剰な“怯え”だ。特に情報漏洩に対する心配は尋常ではなく、不安で頭がいっぱいになり、思考停止してしまう。いくらコスト面や運用面のメリットを説明しても「ダメなものはダメ」。従来のアウトソーシングならともかく、複数の企業でリソースを共用するクラウドなんか論外ということになる。 　しかし、本来これはおかしな話。日本で最も信用できる部類のITベンダーが提供するクラウドサービスは、ほとんどの場合、ユーザー企業が自らのシステムで情報を管理するよりはるかに安全だ。理屈ではそれが分かっているユーザー企業の担当者も、社内で「もしもの時は責任を取れるのか」と言われたりすると腰砕けになる。これも変な話なのだが、まあそんなわけで、今も少なからぬクラウド商談が情報セキュリティの問題で頓挫する。 　一方、クラウドサービスを相次いで発表した日本の大手ITベンダーは、ビジネスで先行する米国企業への対抗上からも、こうしたユーザー企業の不安に「安心、安全」で応えようとする。その発想は間違いではないが、少し戦術が単純すぎないか。過剰な不安を解消しようと、過剰な設備や備えで応えても、ビジネス上は難しい。その方向で頑張れば頑張るほど従来型のアウトソーシングと変わらなくなり、一番大事なコストメリットを出すのが難しくなるからだ。 Join discussion...

「クラウド」は大ブームの様相を呈しています。クラウドの定義そのものもあいまいなので、猫もしゃくしもクラウドと名乗り始めました。ついこの前、 ASPをSaaSと呼び変えていましたが、それが今度はクラウドと呼ばれています。日本人は言葉の定義がないと落ち着かないのでしょう（ここでは何がクラウドであるのかについては触れません）。 　クラウドと同じくもてはやされているのが「仮想化技術」です。いまではデスクトップPCの仮想化だけでなく、ハイパーバイザと呼ばれる、これまでの基本OSを必要としない制御プログラムまで実用化され始めました。 　仮想化というのはいまに始まったものではなく、物理的に不連続なメモリや、記憶装置の仮想化、Javaのようなアプリケーションの仮想化など、すでに私たちは仮想化技術に深くかかわっています。 　これまでの個々の仮想化技術においても、セキュリティは大きな課題でした。Javaなどではサンドボックスという考え方に基づいて動作するアプリケーションが、ほかのアプリケーションやOSに「悪さ」をしないように改良を重ねられてきました。 　一方で、新技術とセキュリティはいつもパフォーマンスとの両立が大きな課題です。一般的にセキュリティ技術は「後付け」である場合が多く、利便性を高めるための新技術の足を引っ張る存在でもあります。 　現在のところ、クラウドに欠かせないといわれている仮想化技術において、セキュリティ技術に関してはいまだ実装検討段階といっても過言ではありません。一般的に紹介されている、ハイパーバイザ型仮想化技術での“セキュリティ”は以下のようなものです。 Join discussion...

システムリソースを異種混合の企業同士が共有する「パブリッククラウド」は、コストメリットなどが評価される反面、セキュリティ上のリスクを危惧する意見が多い。このため、自社内にクラウド環境を構築する「プライベートクラウド」が注目されている。 cloudsecurity01.jpg 石橋氏 　プライベートクラウド構築で考慮すべきセキュリティ対策のポイントについて、ガートナー ジャパンのセキュリティ担当リサーチディレクターの石橋正彦氏に聞いた。 日本文化に適したプライベートクラウド 　パブリッククラウドに対するセキュリティ上の懸念は、主に「実データの所在」「セキュリティポリシー」という2つが挙げられることが多い。パブリッククラウドでは、ユーザー企業が預けた実データがデータセンター内のどの部分に保管されているかが分からない。また、セキュリティポリシーは基本的にサービス事業者に委ねるところが大きく、自社のセキュリティポリシーを適用させるのが難しい。 　企業が自社内にクラウド型システムを構築するプライベートクラウドについて、石橋氏は、こうしたセキュリティ上の懸念を解消するのに適したシステムになると分析する。 　「国内では、従来から親会社の情報システムの運用管理をグループ内のシステム子会社が担当している場合が多い。プライベートクラウドの概念は、まさに日本のシステム運用の文化に適した形態になる」（同氏） 　データの所在管理に対する懸念では、システムリソースを自社グループの中に抱えることで場所を特定するのが容易になる。セキュリティポリシーについても、グループ内で基本的な内容を統一している場合が多く、クラウドシステムにおいてもポリシーの内容を共通化しやすい。 　このほかにも石橋氏は、「ユーザー企業が運用会社に日本語でセキュリティ対策を相談できる。運用会社が決算の連結対象であれば財務状況を把握しやすい」と話す。パブリッククラウドでは、サービス事業者が万が一倒産した場合、ユーザー企業のデータが確実に保証されるとは限らない。プライベートクラウドであれば、運用企業の財務的なリスク要因にグループ全体で対処するといったことも可能になる。 　財務上のもう1つのメリットは、J-SOXなどが求めるIT統制への対応に伴うコストの削減である。連結対象会社ごとにデータセンターが散在していれば、監査対象となる拠点数に応じて人的なコストや作業コストが増えていくが、プライベートクラウドによってデータセンターを集約すれば、監査に伴うこれらのコストを削減できる。 Join discussion...

　米Twitterで個人メールアカウントがハッキングされたことで、米Googleとクラウドコンピューティングモデルは、人気ブログTechCrunchのからかいの的になった。 　この攻撃はGoogle Appsのパスワードシステムのセキュリティの弱点を狙ったもの。その結果、企業が機密文書を保存するのにインターネットを利用するのは安全なのかという議論が再燃した。Googleは弁明に追われ、Twitterは7月15日にGoogleを擁護する姿勢を示した。 　今回の騒ぎは、「Hacker Croll」と名乗るハッカーが5月にTwitterから盗んだとされる約300の文書をTechCrunchが入手したのが発端だ。これらの文書の中には、重役会のメモや財務予測のほか、Twitterの従業員の予定表、電話記録、好きな食べ物のリストといったものまで含まれていた。 　Twitter共同創業者のビズ・ストーン氏は、TechCrunchが一部の文書のスクリーンショットを掲載した後でハッキングの事実を認め、ハッカーが従業員の個人メールアカウントから情報を盗んだことを明らかにした。このアカウントはYahoo! Mailアカウントとみられている。 　Twitterはこの情報をまだ確認していないが、ニュースWebサイトのCNETとNew York Timesでは、Yahoo!のパスワード回復システムの脆弱性のせいで、Hacker Crollが従業員のGoogle Appsアカウントにアクセスすることができたとしている。ストーン氏によると、このアカウントにはGoogle DocsやCalendarsなどのGoogle Appsが登録されており、Twitterはメモ、表計算データ、アイデア、会計データなどを社内で共有するのにこれらのGoogle Appsを利用しているという。 Join discussion...

　米Twitterは7月15日、同社の社内情報が流出したことを公式ブログで明らかにした。前日、IT系ブログのTechCrunchが「Hacker Croll」と名乗る人物からTwitterの社内データと称する310もの文書を送りつけられたという記事を掲載した。 　Twitterの説明によると、1カ月ほど前にある幹部社員の個人メールアカウントがハッキングされ、このアカウント経由でTwitterが社内情報共有に利用しているGoogle Appsの文書が盗まれたという。ハッキング発覚後、同社はセキュリティ監査を行い、従業員にセキュリティガイドラインの順守を呼び掛けた。 　盗まれた文書は多数のブログやニュースメディアに送付されたが、Twitterのユーザーアカウント情報は含まれていないと強調している。またデータ窃盗者、文書を公開した第三者に関して現在弁護士と相談しているという。 　TechCrunchはこの公式ブログに対し、慎重に扱うべき文書かどうかは自ら判断し、部分的に情報を公開していくと発表した。 Join discussion...