kidoOooOoooOOom

IT系で開発やってます

クラウド セキュリティ&プライバシー

クラウド セキュリティ&プライバシー ―リスクとコンプライアンスに対する企業の視点 (THEORY/IN/PRACTICE)
クラウドコンピューティング環境で気をつけるべきセキュリティやID管理、プライバシーなどについて述べた本。
クラウドサービスを利用する「顧客側の視点」と、クラウドサービスを提供する「プロバイダ側の視点」の2つの視点に対し、各SPI(SaaS/PasS/IaaS)の観点で考慮すべき点について説明している。

本書では以下のように結論づけている。

クラウドコンピューティングはビジネスモデルの変化であって、新しい技術ではないことを覚えておこう。情報セキュリティの観点から見ると、クラウドコンピューティングによる唯一で最大の変化は、信用境界が動いたことだ。そして情報セキュリティ実践者によって本当に心配の種になっているのは、その信用境界がはっきりしていないことである。SPIサービス提供モデルごとに信用境界は違っており、同じモデルでもプロバイダごとに信用境界は違ってくる。

つまり、顧客-プロバイダ間で責任を持つ範囲が曖昧なのがクラウドサービス利用における懸念事項といえる。例えば、顧客企業がクラウド上に預けた機密情報がセキュリティ事故等で流失した場合、責任を取るのは顧客企業?それともクラウドサービスのプロバイダ企業?そもそも、セキュリティ事故が起きないように気をつけるべきなのはどっちなの?といった点が問題になる。

この責任範囲について深く検討していくと、現クラウドサービスのほとんどはセキュリティ技術について未熟な点が多い。が、決定的に駄目というわけではない。問題なのは、多くの人々がまだクラウド環境におけるセキュリティやプライバシーについてよく理解できておらず、責任範囲について正しく判断できていない点にある。人々の理解が進み、もっとセキュリティ技術の改善が進めば、現在のクラウドのセキュリティ不足に対する不満の声はすぐに落ち着いて過去の懸念となるだろうと本書は述べている。

なお、責任範囲を顧客企業の中に限定したい場合がオンプレミスやプライベートクラウドといった選択肢になる*1。責任範囲を全部受け持つということはそれだけ保守や運用コストがかかる。そして今、この保守・運用にかかるコストが企業にとって大きな問題となってきている。

企業のアプリケーション保守費用、2015年には世界で1兆ドルへ
http://itpro.nikkeibp.co.jp/article/Research/20100924/352293/


責任範囲を見極めて、うまいことクラウドサービスを使いこなしていく企業がこれからは大きく成長していくのではないだろーか。


クラウド セキュリティ&プライバシー ―リスクとコンプライアンスに対する企業の視点 (THEORY/IN/PRACTICE)

クラウド セキュリティ&プライバシー ―リスクとコンプライアンスに対する企業の視点 (THEORY/IN/PRACTICE)

*1:個人的には、プライベートクラウドクラウドコンピューティングのメリットをあまり享受しているとは言えない中途半端な選択肢だと感じている。それだったらオンプレミスのままでもいいのでは?