クラウドストレージが持つ特有の脆弱性
クラウドストレージの脆弱性
前回「クラウドストレージが持つ特有のリスク」について語らせていただきました。今回は「クラウドストレージが持つ特有の脆弱性」についてお話を申し上げようと思います。「リスク」と「脆弱性」?同じじゃないの?という方も多分大勢いらっしゃると思います。と言いますか、使い分けていらっしゃる方の方が少数派でしょうね。あくまでもこれは私個人が使い分けている用語ということでご理解いただきたいと思います。
どのように使い分けているかと言いますと、簡単に言えばリスクが天災、脆弱性が人災です。もう少し詳しく言うなら、クラウドの向こう側からやってくるのがリスクで、クラウドのこちら側から発生するのが脆弱性です。あまり使い分けがなされているわけではないというのが実情ですが、私はこう使い分けています。あくまでも私はですが。
さて、こうなってきますと何が脆弱性かということになるわけですが、
1.クラウドストレージは常に更新が続けられていること
2.クラウドストレージ側に正しい操作か誤った操作かを判断する機能はないこと
の2点が重要になってくるかと思います。
クラウドストレージの脆弱性
まずクラウドストレージは常に更新が続けられていることということになるわけですが、クラウドというのは(物理的にはともかく)概念的にひとつのストレージとしてユーザーは認識しているかと思います。そしてそのひとつのストレージに、関係者は一斉にアクセスしていることと思います。
つまり、クラウドストレージは静的に「この状態が正常」という状態が、概念上存在しません。いざ何か起こってしまったときに「この状態までロールバックすれば大丈夫」というものが存在しないのです。この点、弊社よりご提供しております遠隔地バックアップサービスは強みがあるのですが、まあそれに関してはまたの機会に回しましょう。
次に問題となってくるのが「クラウドストレージ側に正しい操作か誤った操作かを判断する機能はない」ということなのですが、私が何を申し上げたいかもうおわかりの方はいらっしゃいますでしょうか。つまり、誤操作ですら同時にバックアップされてしまうということなのです。
ヒューマンエラーへの対策は?
PCを使った作業で、ついうっかりマウス操作を誤って、本来クリックしたいものの隣をクリックしてしまった、などということはほとんど皆様ご経験があるのではないでしょうか。
まして、最近は「ネットにアクセスするためのデバイス」としてPCを抜き去って王者になったスマートフォンは、年を追うごとに小型化が進んでいます。思ったところをタップしようとしているのにどうしてもそのとおりに反応してくれないということは、スマートフォン利用あるあるなのではないでしょうか。
そして誤操作であろうと正常な操作であろうと、操作は常にクラウド上にあるストレージと同期されます。重要なデータを消してしまって「ああ~やってもうた~!」というのは、これももうデジタルデバイス利用あるあるではないでしょうか。
私も話で聞いただけに過ぎないのですが、国の省庁というところでは各部署に1台ずつThe Internetに繋がったPCがあるだけで、他のPCはローカルネットワークにしか繋がっていないんだそうです。
(前稿から何度かこのThe internetという言葉を使っていますが、これについて今さらながら軽く説明させて下さい。The internetという定冠詞を使った言葉は世界にひとつしかない世界中を網羅したネットワークの総称です。The sunとかThe earthのように世界にひとつしかないものなので定冠詞がつきます。一方で単にinternetと言ったときには、ネットワークをネットワーク接続したものですので最少4台のPCがあれば作れます。つまりここでいう国の省庁には普通のinternetしかないということもできると思います)
というわけでInternetしかない環境で国の省庁に勤務していらっしゃる方々は働いているんだそうです。結構大変な仕事だと思いますよ、これ。調べたい事柄があっても1台しかないThe internetに繋がっているPCには順番待ちができているでしょうし、仕事の息抜きにネットサーフィンをすることもできないし…って、本来するべきじゃないことでしょうけど。
一番簡単にして一番確実な対策
しかし、The internetに繋がっている端末は極力用いないというのは、クラウドの脆弱性に対する最強の防護策ではあると思います。クラウドネットワークの利用は確かに便利なものではあるのですが、その裏に脆弱性があることをユーザーはどれぐらい理解しているのかなあと思います。ユーザーがどれほど自覚しているのかわかりませんが、クラウド利用者は便利さと引き換えに脆弱性を受け入れて利用しているわけです。よく考えてみれば大変なことです。
よく言われる対策は、本当に可能か?
では、その脆弱性を何とかするには…ということを考えますと、まあ情報セキュリティ界隈ではよく言われるところのPDCAサイクルを回してひとつひとつチェックして…ということになるわけですが、ハッキリ言わせていただきますと、それを忘れるから脆弱性が露わになるんでしょってことです。何でもそうでしょ?車の運転だってそうです。制限速度にしても「かも知れない運転」にしてもそれをした方がいいことはわかっているけども意識的にか無意識的にか、それをしなかったところに事故というのは起きるのです。
そうしてひとつひとつのデータを大切に扱っていたとしても、ということもあります。上に述べましたようにクラウドの利用には「いつの、どの状態が正常なのかわからない」という脆弱性があります。例えばいま、クラウド上に置いてあるものの状態すべてをバックアップして、そして明日情報のすべてが消えてしまったとしましょう。そうすると、いま取ったクラウドデータのバックアップをリストアするより他ありません。そうなったとき、常に誰かに利用されているクラウドデータは、データとアプリケーションが、あるいはデータ同士が、整合性がとれていないということが十分起こりうるわけです。
やっぱり必要な「この時点まで戻せば間違いない」地点
そうなったとき、やはり頻度は少なくても、弊社サイトに謳ったところのコールドバックアップ、オフラインバックアップとも言いますが、それを行っておくことが重要であると言えるかと思います。
というところなのですが、脆弱性に備えることでリスクがなくなるか、これは結論から言えば「完全に防ぐことは難しい」ということになるかと思います。
考えたくもないことではありますが、自社内の人間が何者かによって操られて、社内ネットワークからデータを抜いたり改竄したりといったことが絶対になくなるかと言えば答えはNoとしか言えません。
特にYouTubeなどにたくさん事例が見られるのですが、お金が欲しいだとか誰かに対して優位に立ちたいですとか、人間というのは下らない欲求のために悪事を働いてしまうものです。何者かに唆されて情報セキュリティを破ってしまう、それもまた人間というものなのです。この「脆弱性を利用したリスク」も、よく見られる情報事故のひとつです。
小括
誰がどのデータにアクセスしたか、そのログをきちんと取っておくことは重要ですが、一方で定期的にコールドバックアップ(オフラインバックアップ)を行っておき、○月×日には既に作成完了済であったという記録を残すことも「情報泥棒」に対して有効であると思われます。
目次
この記事が気に入ったらサポートをしてみませんか?