パブリッククラウドのセキュリティを改めて考えてみた

"クラウドってセキュリティ大丈夫なんですか?" - クラウドコンピューティングが台頭し始めた2010年前後頃に、多くの方がこの質問をお客様から受けたのではないでしょうか?

この記事では、暗黙の了解として捉えらてているフシのあるクラウドのセキュリティ対策を改めて考えてみます。以下は主な参考文書です。

Cloud Security Foundations, Frameworks, and Beyond | SANS Institute

至極当たり前のことですが、パブリッククラウドもプライベートクラウドもオンプレミスも、全て物理的なデータセンター上で稼働しています。

物理的なデータセンターには必ずネットワークの回線が引いてあって、インターネット接続が出来る状態になっています。インターネット接続があれば、外部の攻撃者から攻撃を受ける危険性が多かれ少なかれあります。

これはクラウドだけでなくオンプレミスにも共通しています。

オンプレミスには無いクラウドの利点を再度整理したいと思います。

先ずは柔軟性です。クラウドはAPIやGUIを介して必要な時に必要なリソースを必要なだけ配備して、不要になったら配備したリソースを消すことができます。これはオンプレミスには無い大きな利点の1つかと思います。

生産性も大きな利点です。オンプレミスでは、専任のITチームがサーバやストレージやネットワークのような物理リソースを調達・設置して、OSやランタイムのようなプライベートを構築、その上にアプリケーションを配備して、ようやく利用者にサービス提供できるようになります。

クラウドは、サービスモデル(SaaS/PaaS/IaaS)によりばらつきはあるものの、基本的にはサーバやストレージやネットワーク、OSやランタイムのような基盤は出来上がっているため、すぐにアプリケーションを配備してサービス提供できるようになります。利用者にとっての生産性が格段に上がりますね。

セキュリティの向上も見逃せません。なぜクラウドは、セキュリティの向上が見込めるのでしょうか?

クラウドのセキュリティ対策は、お客様とクラウドサービスプロバイダカーのような外部事業者との分業で成り立っています。

Shared responsibility in the cloud - Microsoft Azure

サービスプロバイダの責任範囲が最も小さいIaaSであっても、物理的なデータセンターやサーバ等の物理リソースに対するセキュリティの責任はマイクロソフト社(=クラウドサービスプロバイダ)にあります。

SaaSになるとマイクロソフト社の責任範囲は広がって、Applicationまでマイクロソフト社がセキュリティの責任を担うことになります。

クラウドサービスプロバイダには、ある一定の実務経験やセキュリティ関連のスキルを有したセキュリティエンジニアやセキュリティアーキテクト、セキュリティコンサルタントがいて、日々定常的に最新のセキュリティスキル習得に勤しんでいます。

セキュリティ関連の専門スキルを有した複数の人がセキュリティに対する責任を担うクラウドは、お客様だけがセキュリティの責任を担うオンプレミスより遥かに安全と言えます。

しかしながら、物事に絶対は有りえません。クラウドのセキュリティもしかりです。クラウドのセキュリティで、唯一の欠点はデータガバナンスかもしれません。

クラウドは、複数のデータセンターで稼働していてデータセンターが設置されている国や地域の詳細はお客様には開示されません。

かつ、データガバナンスに関する規制は国や地域により異なります。欧州であればGDPR、北米であればCCPAやPIPEDAのような規制があります。

お客様がこれらの規制を見落としていて、自社の業界に求められるガバナンスに違反していると良からぬことになるかもしれません。