マカフィーが、クラウドの形態ごとのセキュリティ対策を自社ブログで解説している。

 「SaaS(Software as a Service)+プライベートクラウド」は、社内クラウドやASPサービスで利用されているアウトソーシング、データセンターによるハウジングなど。イントラネット接続かVPN接続なので、セキュリティは保たれるが、データの保存場所としての国境問題やビジネスの継続性、障害時の復旧手続きなどを明確にしておく必要がある。

 「SaaS+パブリッククラウド」は、GmailやSalesForce.comなど。提供するサービスの脆弱性テストの定期的な実施、アクセスログのモニタリング、監査への協力、仮想化環境でのセキュリティ対策の実施がクラウド事業者側に求められる。利用者側は、これらを事前に明確にし、契約に盛り込んでSLA(Service Level Agreement)にしておくことが重要になる。

 「PaaS(Platform as a Service)+プライベートクラウド」は、サーバーの仮想化技術やビジネスの継続性確保、ディザスタリカバリとの組み合わせで展開が始まっているもの。標準化されたAPI(Application Program Interface)やインターフェースの利用を開発段階から検討しておくことで、特定ベンダーの独自技術に依存した「ベンダーロックイン」を避けることが可能。クラウド事業者の変更に備えることができる。

 「PaaS+パブリッククラウド」は、GoogleのAppEngineなど。アプリケーションの脆弱性がないかどうか、また、アプリケーションのソースコードレベルでの脆弱性テストも定期的に実施する要がある。

 「IaaS(Infrastructure as a Service)+プライベートクラウド」は、ストレージサービスなどとして展開されているもの。比較的安全に利用することができるが、機密データや個人データをクラウド上に保管する場合には、暗号化対策を施し、クラウド事業者による漏えいが発生しないように対策しておくことが望ましい。

 「IaaS+パブリッククラウド」はアマゾンのEC2などが代表的な例で、機密データは必ず暗号化してクラウド上に保管し、クラウド上のデータへのアクセスは利用者の責任で厳格に管理する必要がある。クラウド事業者には、データの永続性とともに、情報漏えい、ボットネットが構成されるないような対策が求められる。