マカフィー、クラウド環境のセキュリティ対策を解説
マカフィーは、クラウド環境のセキュリティ対策を自社ブログで解説している。
クラウドのユーザーには、企業の重要なデータやファイルの管理を第三者に任せることに対する不安がある。例えば、コンプライアンス対応、クラウド事業者が倒産した場合のデータの保証、バックアップ、障害時のデータの復元、災害対策などの対応だ。また、データやファイルの管理をクラウド事業者に依存することによって発生するリスクが回避できるのか、クラウド上のアプリケーションは本当に安全なのか、といったセキュリティ上の懸念がある。
クラウドのセキュリティについて考えるには、まず、クラウドの定義を行う必要がある。クラウドセキュリティアライアンス(CSA)では、クラウドコンピューティングをレイヤーモデルで表現し、それをクラウド参照モデルとして定義している。これは、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)という三つのクラウドの形態について、SaaSを基盤、PaaSをIaaS上のミドルウエア、SaaSをPaaS上の完成されたアプリケーションというかたちで、頭文字を取って「S-P-Iモデル」と表現している。
セキュリティの観点では、IaaSはセキュリティ自体を利用者が作りこむことが必要、SaaSではRFP(Request For Proposal=提案依頼書)としてセキュリティの要件定義を行って事業者に対して求めていくことになる。また、クラウドの展開モデル「パブリック」「プライベート」「ハイブリッド」「コミュニティ」によっても対策の方法が変わってくる。
これらのことから、クラウドのセキュリティは、「S-P-Iモデル」としてどのような提供モデルを取るか、また、どのような展開モデルを取るかということをベースに、対策を考える必要があると解説している。
クラウドのユーザーには、企業の重要なデータやファイルの管理を第三者に任せることに対する不安がある。例えば、コンプライアンス対応、クラウド事業者が倒産した場合のデータの保証、バックアップ、障害時のデータの復元、災害対策などの対応だ。また、データやファイルの管理をクラウド事業者に依存することによって発生するリスクが回避できるのか、クラウド上のアプリケーションは本当に安全なのか、といったセキュリティ上の懸念がある。
クラウドのセキュリティについて考えるには、まず、クラウドの定義を行う必要がある。クラウドセキュリティアライアンス(CSA)では、クラウドコンピューティングをレイヤーモデルで表現し、それをクラウド参照モデルとして定義している。これは、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)という三つのクラウドの形態について、SaaSを基盤、PaaSをIaaS上のミドルウエア、SaaSをPaaS上の完成されたアプリケーションというかたちで、頭文字を取って「S-P-Iモデル」と表現している。
セキュリティの観点では、IaaSはセキュリティ自体を利用者が作りこむことが必要、SaaSではRFP(Request For Proposal=提案依頼書)としてセキュリティの要件定義を行って事業者に対して求めていくことになる。また、クラウドの展開モデル「パブリック」「プライベート」「ハイブリッド」「コミュニティ」によっても対策の方法が変わってくる。
これらのことから、クラウドのセキュリティは、「S-P-Iモデル」としてどのような提供モデルを取るか、また、どのような展開モデルを取るかということをベースに、対策を考える必要があると解説している。
