セキュリティの今日、そして明日を読む

クラウドビジネスにおける、最善・最適なセキュリティを考える

責任共有モデルの中身をしっかりと把握すべき

情報セキュリティの観点では、AWSが責任共有モデルを適用しているように、無制限にレンタルサーバ/クラウドサーバ側が準備してくれるわけではありません。 契約内容次第にはなりますが、例えばAmazon EC2の場合、ユーザーは必要なすべてのセキュリティ構成および管理のタスクを行う必要があり、OSの更新やセキュリティパッチの適用や、AWSが提供するセキュリティグループファイアウォールの設定に対する責任と管理などを担う必要があります。

逆に、いわゆるPlatform as a Service(PaaS)の場合はAWS はインフラ、OS、およびプラットフォームを運用するのに対し、ユーザーはエンドポイントにアクセスしてデータの管理、アセットの分類、IAM ツールでの適切な権限の適用についてのみ責任を負うことになります。 自身の契約内容によって、クラウドサービス事業者との責任範囲が異なるためどこまでが自身の責任で対応しておくべき内容かをきちんと把握しておく必要があります。

スケールした時のセキュリティは即座に対応

BtoCのSaaSビジネスを例にとると、いわゆる「バズる」ことによって、突如としてアクセス数や利用者数が増加するケースがあります。 通常の10倍や100倍のアクセス数に増えるケースでは、サーバが重くなって表示されず、送受信されるはずのデータがロストし、最悪の場合はサーバが落ちてしまったりします。 その際、本来得られるはずだった利益を取り逃すばかりではなく、ユーザーからすれば「使えないサービス」の烙印を押されてしまうことさえあります。

だからこそサービス提供者側としては、サーバのスケールアップを即座に行わなくてはならず、同時に、これに対応できる即時のインスタンス立ち上げが可能な点がクラウドサーバの利点といえる一方、このようなケースではビジネスの機会損失を出さないようにするため、まずは「サービス利用者を受け止めること」が第一目的になってしまい、セキュリティレベルの維持や運用の効率化は後回しにされてしまいがちといえます。 そして、サービス提供者が混乱している状況こそ、悪意を持った人間にとって大きな機会といえます。 できれば事前に、インスタンス増加に伴うオペレーション手順として情報セキュリティ面でのスケーリング対応についても検討を行っておくのが望ましいと言えるでしょう。
(2020年5月に掲載)

Business online

関連するコンテンツ