Copyright© 2012 by KVH Co. LTD

All Rights Reserved. Not to be copied or reproduced without express permission of KVH Co LTD

Page 1 of 6

クラウドセキュリティ: 誤解と事実の壁 企業が直面するクラウドコンピューティングのセキュリティレベルの評価とその背後に潜む事実に対する誤解を解説

ホワイトペーパー：KVH クラウドサービス

目次 2 はじめに 2 誤解 1：クラウドはセキュアではない 2 誤解 2：クラウドはオンプレミス型に比べセキュアでない 3 誤解 3: プライベートクラウドはセキュアであるが、パブリッククラウドはセキュアではない

4 誤解 4: コンプライアンスはセキュリティを保証する 4 結論 5 クラウドセキュリティの必須要件 6 KVH について

テレプレゼンス導入による ROIの実際

Copyright© 2011 by KVH Co., Ltd. All Rights Reserved

Page 2 of 6

はじめに

2011 年 Gartner Executive Programs (EXP) CIO Agenda Survey で、クラウドコンピューティングはアジアのCIOの間で最も優先順位の高いテクノロジーとしてランク付けされました。企業の関心は、クラウドの活用において、いかに最小のリスクで最大の利益を享受するかに集まっています。オンライン上で、セキュリティの脅威とその拡散手法は増大しており、セキュリティ問題はクラウド導入を決断する際の重要な課題として繰り返し報告されています。企業が採用すべきクラウドソリューションとはどのようなものなのでしょうか。

本ホワイトペーパーでは、進化を続け、高い利益を生む可能性のあるクラウド技術の採用を阻んでいる、セキュリティおよびクラウドコンピューティングに関する共通の誤解とその背後にある事実を解説、検証します。

誤解 1：クラウドはセキュアでは

ない

事実：非常にセキュアなクラウド環境を構築することは可能です。セキュリティレベルは、ビジネス特有のニーズや既存のITシステムに合わせて変更することができます。クラウドサービスを導入する前に、サービスベンダーに対してパブリック、プライベートおよびハイブリッド型のソリューションで各々どのようなレベルのセキュリティ提供が可能であるか、また、サーバやシステムに接続するネットワークの種類によってどのような違いがあるかを確認する必要があります。

特に、金融など業界独自の規則やガイドラインの準拠が求められる業界では、サービスプロバイダーが提供するセキュリティサービスに注意が必要です。ITIL、ISO27001、SSAE16 などの基準への準拠に加え、当該業界において豊富な経験があり、ビジネスファンクションやデータ転送におけるセキュリティの役割を理解していることが重要です。

サービスやプロバイダーによっては、クラウドソリューションは技術面だけでなく社内プロセス、オペレーションおよび人材を通してあらゆる企業のセキュリティ要件を満たすことができるのです。

誤解 2：クラウドはオンプレミス

型に比べセキュアでない

事実: クラウドコンピューティングは自動システムに強く依存しており、オンプレミス型システムで人的エラーにより生じる共通のセキュリティ侵害を自動的に回避することが可能です。

また、プロバイダーやベンダーにアウトソーシングすることにより、経験豊富なプロフェッショナルによる 24時間 365日の厳格なモニタリング体制でサーバへの物理的アクセス監視が行われます。ベンダーはこれらの技術、スタッフ、プロセスの全てを重要視し、顧客データの常時安全維持に努めます。セキュリティ侵害は、顧客だけでなくベンダーにも多大な損害をもたらします。問題解決および将来への予防措置のための新技術やプロセス実現にかかる費用に加え、失墜した信頼を取り戻すのに数カ月、数年も費やすことになります。

テレプレゼンス導入による ROIの実際

Copyright© 2011 by KVH Co., Ltd. All Rights Reserved

Page 3 of 6

閉域 L2ネットワークの活用例

クラウドサービス・プロバイダーにとって、長期の高額投資によりセキュリティサービスを充実させることはビジネスの根幹です。これにより、顧客へ最良のサービス提供が可能となり、競争が激化している市場における成功へとつながります。さらに、金融サービス業界におけるクラウドソリューションの採用が増加しており、サービスベンダーは基準の厳格化や規制への準拠、金融機関の運用セキュリティニーズへの対応を迫られています。クラウド業界全体にわたるセキュリティ基準の厳格化は避けられない状況です。

誤解 3: プライベートクラウドは

セキュアであるが、パブリックク

ラウドはセキュアではない

事実: この認識は、基本的にクラウドは 2 種類で

あるという理解に基づいています。しかし、クラウドのセキュリティは、ハイブリッド構成、オンプレミスのホスティングおよびコロケーション、専用サーバとネットワーク、VPS その他様々なテクノロジーの利用により大幅に変化します。ネットワークまたはサーバ構成のみでも、特定のビジネス要件に合わせた調整が可能であり、コンプライアンスその他のニーズに合わせてクラウド環境のセキュリティをカスタマイズすることができます。

例えば、専用 VLAN の利用で、顧客環境を論理的に分離してレイヤ 2 のセキュリティコントロールを実現します。侵入防止システム、ファイアウォール、暗号化、認証、権限付与、追跡記録などを利用し、資産とデータ保護に必要なセキュリティを提供することも可能です。このような技術の採用にあたっては、プロバイダーが提供するプロフェッショナルサービスの活用が有効です。一般的

テレプレゼンス導入による ROIの実際

Copyright© 2011 by KVH Co., Ltd. All Rights Reserved

Page 4 of 6

な認識に反し、パブリッククラウドは使用されている機器や構成によっては、プライベートクラウド同等にセキュアな場合もあり、逆にプライベートクラウドでもインフラや管理方法にセキュリティ上の弱点のある可能性があります。

誤解 4: コンプライアンスはセキ

ュリティを保証する

事実: サービスプロバイダーが ITIL、ISO 27001、SSAE16 などの認証やレポートを取得している場合、プロバイダー自身が業界標準に準拠しているだけではなく、顧客の業界規制やコンプライアンス要件にも対応する能力が十分にあると評価されています。しかし、単に認証を取得しているだけでは、「セキュア」なサービスプロバイダーであるという認識には不十分です。

これらの認証は、ある特定の時点でプロバイダーが基準を準拠していたことを認めているだけであり、認証取得後も継続して基準に準拠していることを必ずしも保証するものではありません。実際に提供されるソリューションに加え、プロバイダーの認証が更新されているかどうか、また定期的

に内部および外部監査を行い、インフラ、プロセスなどの日常業務全般にわたり、高度なセキュリティが維持されているかどうかを評価する必要があります。

結論:

これまで述べてきたセキュリティに関する問題にもかかわらず、競争力を高めビジネスや顧客のニーズに応えるためクラウドソリューションを導入する企業はますます増加しています。The CIO Global Cloud Computing Adoption Survey of 2011 によると、3 分の 2 の組織がクラウドコンピューティングの導入を検討しており、そのうち22％はすでに部門や全社レベルでクラウドを導入しています。

クラウドソリューションのセキュリティ評価に際し、セキュリティ対策の必要性によってこの価値の高いテクノロジーの導入をあきらめる必要はありません。その代わりに、ビジネスニーズ、克服すべき IT 課題、現状の IT システムを正しく評価し、必要なセキュリティソリューションを導入することが重要です。

テレプレゼンス導入による ROIの実際

Copyright© 2011 by KVH Co., Ltd. All Rights Reserved

Page 5 of 6

クラウドセキュリティの必須要件

基準 業界標準のプロセス、データセンター設計、SDLC、運用および保守の基準である ITIL, ISO27001 および SSAE16

暗号化 データ傍受の保護

ファイアウォール フィルタリングによるアクセスコントロール

認証 認証されているユーザーのみにシステムおよびデータへのアクセス許可を制限

権限 許可されている行為のみユーザーに実行権限を付与

監査・報告 どのようなリソースが誰によってどのように利用されているかを経営層に明示

複製・冗長性 BCP をサポートし、必要に応じて迅速にデータを復旧する信頼性の高いバックアップおよび冗長システム

データセンター アクセス管理

データを格納するシステムへの物理的アクセスを管理

テレプレゼンス導入による ROIの実際

Copyright© 2011 by KVH Co., Ltd. All Rights Reserved

Page 6 of 6

KVHについて

KVH は、日本にフォーカスした通信/IT サービスプロバイダーとして、1999 年に米国フィデリティ・グループにより東京を本社に設立されました。企業の重要な情報を、保存から、処理、保護、配信まで、エンドツーエンドでサポートする情報デリバリー・プラットフォーム戦略に基づき、クラウドサービス、マネージド・サービス、データセンター・サービス、プロフェッショナル・サービス、データ通信、インターネット接続、音声通信などの包括的な通信/IT マネジメント・ソリューションを提供しています。現在日本における最高水準の低遅延ネットワークは、450 社以上の金融サービス分野の顧客に利用され、高頻度取引に特化した超低遅延ネットワーク接続、プロキシミティ・ホスティング･ソリューション分野では市場をリードしています。KVHの超低遅延ネットワークは、東京、大阪、シカゴ、オーロラ、ニューヨーク、シンガポール、香港、ソウル、上海、シドニーなど、アジア、北米の主要な金融都市を接続しています。詳しくは KVHのウェブサイト http://www.kvh.co.jp をご覧ください。