クラウドにデータを置くリスクは、VPNなどで対応
次に、サーバーに接続するためのネットワークを考えてみます。
オンプレミスの場合、インターネットなどの外部回線を経由せずにサーバーへ接続することができます。そのため、特に機密性が高いデータに関してはオンプレミスを選ぶケースが多くあります。
一方、クラウドの場合、回線を利用してクラウド上のサーバーに接続しますが、インターネットを利用したインターネットVPN(仮想プライベートネットワーク)の場合、通信が遅延するリスクも考えられます。またVPNを利用しているとはいえ、機密性が高い情報を扱うのであれば、脆弱性や設定ミスなど思わぬトラブルにより、盗聴や不正アクセスで情報漏えいが生じるリスクを考慮しなければなりません。
しかし、閉域網を利用したIP-VPNを利用することで、盗聴やデータ改ざん、不正アクセスといったリスクを低減することができます。また一定の帯域を保障しているサービスもあります。
クラウドならではの注意点もあります。例えば、セキュリティー体制の監査を実施する場合を考えてみます。オンプレミスであれば、特に制限なくシステムの監査を実施できます。しかし、自社以外が管理するサーバーや設備となれば、勝手に監査を行うわけにはいきません。
データを保管するデータセンターの中には、監査へ対応してもらえないケースもあります。さらにデータを海外のクラウド上へ保存する場合、その国や地域の法令を遵守しなければなりません。規制によりデータを域外へ越境できない場合もあります。
こうした不安を解消するため、クラウド事業者は、外部監査人から認証を取得したり、セキュリティー基準への適合性について保証を得るなど、さまざまな取り組みをはじめています。
脆弱性が見つかった場合は、クラウド事業者が迅速に対応
昨今、企業のサーバーがサイバー攻撃を受ける事件が話題になることも珍しくありません。例えば、サーバーの処理能力を超えるような大量のアクセスを仕掛けて、クライアントにサービスを提供できない状態にする「DDoS攻撃」はその一つです。
サーバーで稼動しているOS、ミドルウェア、アプリケーションの脆弱性が狙われるケースもあります。脆弱性を突く攻撃によってWebサーバー上にウイルスを仕込まれたことで、アクセスしたユーザーのパソコンがウイルス感染するケースもあります。
このような事件を避けるためには、常に脆弱性情報に目を配り、自社で稼動しているサーバーに問題がないかをチェックし、修正プログラムやパッチを適用する等の対処を行うことが必要になります。
オンプレミスのサーバーの場合、情報システム部が脆弱性の情報を収集し、チェックする必要があります。大企業では何十台、何百台ものサーバーが稼動していることが多いので、それぞれのサーバーのOS、ミドルウェア、アプリケーションの種類、バージョンを把握しておき、脆弱性が該当するか否かを判断する必要があります。脆弱性に該当する場合は、修正プログラムを適用しても問題がないかを確認した上で、適用作業を行います。このように、自社でサーバーを管理しているからといって脆弱性への対応が容易とは限らず、場合によっては膨大な稼動と時間がかかることもあります。
一方クラウドの場合は、脆弱性が発見されると、クラウド事業者が提供する部分はクラウド事業者が修正を行います。同じ基盤上で多数の利用者がいるからこそノウハウがあり、漏れなく迅速に対応することができます。ただし、契約内容によって脆弱性への対応は異なるため、契約時にしっかり確認しておく必要があります。
クラウドの利点とオンプレミスの利点を生かすならハイブリッドクラウドという選択肢
