クラウドに対する見落としがちな5つの脅威:第一話

クラウド利用に伴うセキュリティリスクについて、様々なところで触れられていますが、見落としがちなことは、セキュリティリスクそのものが変化してきていることです。

internet.comのサイトに、クラウドに対する見落としがちな5つの脅威(5 Overlooked Threats to Cloud Computing)という記事が掲載されていますので、それを紹介しながら、確認してみましょう。

ウイルス、マルウェア、フィッシングはいまだに問題であるが、バーチャル・マシン・起動アタック、マルチテナントのリスク、ハイパーバイザー脆弱性などの問題は、最も先進的なセキュリティ管理者にとってもチャレンジングな問題だ。以下に、クラウドコンピューティングに向けた活動を危険に陥れかねない、5つの見落としがちな脅威を紹介する。

1. DIYセキュリティ

世に知られていないから安全だという時期は終わった。今まで、名もない中小企業であれば、心配すべき脅威は、一般消費者のものと同様であった。すなわち、ウイルス、フィッシング、その他例えばナイジェリアの手紙の類だ。
(注:ナイジェリアの手紙とは、419事件とも呼ばれる詐欺で、腐敗した国の金持ちを名乗る人間から、報酬を払うから、送金手数料の支払いと資金洗浄のための口座を貸してほしいというメールが届くもの。舞台がナイジェリアであることが多かったため、ナイジェリアの手紙と呼ばれるが、その他の国を舞台にしたものも存在する。高額の報酬を受け取れると考え、申し出に応じ、送金手数料を振り込み、講座番号を教える人もいる。報酬が約束通り支払われず、さらに自分の口座から金が引き出されてしまった後、騙されたことに気づくが、資金洗浄の話に乗っかってしまったという後ろめたさから警察に届けづらいというもの)
ハッカーは、そんな中小企業のネットワークに侵入を試みるだけの動機づけがないため、DDos攻撃などを心配する必要がなく、それらはサービスプロバイダの問題であった。
しばらく前のニューヨーカー・カートゥーンに、「インターネットではお前が犬だとは誰にもわかりゃしない」というのがあるが、クラウドでは、あなたが中小企業の人かどうか誰もわからない、といったところだ。
(注:2匹の犬がコンピュータの前に座ってインターネットを使っていて、「インターネットではお前が犬だとは誰にもわかりゃしない」
と話している漫画)
「小規模サイトでいることが安全であるということはもはやない。脅威はあらゆるところからやってくる。米国にいるからといって、米国内からの攻撃にのみ晒されているわけではない。みんな中国、ロシア、ソマリアなどあらゆるところからの攻撃に脅かされている。」(IBMセキュリティサービス担当副社長Marisa S. Viveros氏)
ある程度、今までにもこのようなことはあった。しかし、狙いを定めた攻撃は地球規模になっている。より人目に付く企業とインフラを共有すれば、あなたの会社が、隣人をターゲットした攻撃の足がかりにされてしまうかもしれない。
言い換えれば、次に中国やロシアから大手クラウドプロバイダに攻撃を仕掛けた時は、被害に巻き込まれてしまうかもしれない。つまり、クラウドでは、DIY(自前でなんとかしようという)型のセキュリティでは対応できない。また働きすぎのIT部門の人に助けてもらうというのも酷い考えだ。
クラウドベースのインフラに移行する企業が増えるにつれ、予算をたっぷり持っている大企業だけが自前でセキュリティ対策を実施できるようになる。その他大勢はセキュリティをサービスとして受けるか、ユーティリティとして考える必要が出てくるであろう。

生兵法は怪我のもと、というのがぴったりかと思います。

Leave a Reply