セキュアなIaaSの見極め方のコツ

seminer_sec

信頼できるクラウド事業者を選ぶためにはCSマークやPCI DSSといった情報セキュリティ認定の有無が参考になる。機密性・完全性・可用性に対するリスク対策を施し、内部監査・外部監査に耐えられるIaaS事業者を選択したい。

IaaS利用者とクラウド事業者が相互に協力し合う情報セキュリティ監査

IaaSの利用は自社の機密情報やプロセス、データベース、ネットワークを外部へ委託することを意味する。自社や顧客の情報資産を保護するためには、情報セキュリティの対策が必須となる。情報セキュリティ対策はクラウド利用者と提供者が相互に責任を果たし合うプロセスだ。セキュリティに関するリスク項目を洗い出し、適切な対策や監視の仕組みを設け、クラウド利用者と提供者が情報交換していく。
リスク評価の例として、2013年に経済産業省が公表した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」にあるリスク・マトリクスが上げられる。IaaS利用者とクラウド事業者における役割とその責任範囲を以下のように定義している。

  • 一般ユーザー(IaaS利用者):アプリケーションの操作
  • アプリケーション開発者(IaaS利用者):API利用、データ管理
  • システム管理者(IaaS利用者):ID、実行環境、仮想イメージ、バックアップの管理
  • 運用担当者(クラウド事業者):ファイアーウォール、仮想マシン、バックアップの管理
  • 開発技術者(クラウド事業者):運用中仮想イメージの管理

利用者としてIaaSを選択する際には、上記のような情報セキュリティ管理体制の整備を要件として提示することになるだろう。基本的な要件を順守し安全性が確保されている事業者でなければ、会社の情報資産を預けられない。このような課題はクラウド業界全体で認識されるようになり、業界標準の認定制度が設けられるようになってきた。セキュアなIaaSを見極めるために、この認定制度を基準とするのも一案だ。

iaas_admin_ex2

Pocket

コメント