クラウドセキュリティ

クラウドセキュリティに焦点を当てる:デジタル化された世界で企業の機密データを保護するための戦略、アーキテクチャ、契約モデル

現代のデジタル経済において、データは企業(民間部門)だけでなく、国家(公共部門)にとっても新たな価値を持つ資産となっています。今日のデジタル化が進む世界では、インターネット上に膨大な量の新しいデータが絶え間なく生成されており、その中には個人データやデジタル・アイデンティティに関する情報も含まれています。
企業における真の技術力とは、これらのデータを慎重にフィルタリングし、適切に保存・管理することに他なりません。本記事では、クラウドサービス上のデータがどのように扱われ、企業の視点からどのように管理・保護されているかを解説します。また、クラウドサービスの選定においては、契約形態やアーキテクチャ、サイバー攻撃へのセキュリティ対策がどのように講じられているかも重要なポイントとなります。

クラウド・コンピューティングの基礎

クラウド・コンピューティングとは、ネットワークを介して、いつでもどこからでもアクセス可能なコンピュータリソース(ネットワーク、サーバー、ストレージ、アプリケーション、サービスなど)を共用プールとして提供し、必要に応じて迅速に利用できるデータ処理モデルです。これらのリソースは、最小限の管理作業やサービスプロバイダーとのやり取りで利用できるため、柔軟性と効率性が大きく向上します。
クラウドは主にIaaS(Infrastructure as a Service)PaaS(Platform as a Service)SaaS(Software as a Service)の3つの形態で利用されており、提供形態(プライベートクラウド、コミュニティクラウド、パブリッククラウド、ハイブリッドクラウド)によって分類されます。

1. パブリッククラウド

パブリッククラウドは、すべてのユーザーが共通のコンピュータリソースにアクセスできる形態です。ハードウェア(オペレーティングシステム、CPU、メモリ)やソフトウェア(アプリケーションサーバー、データベースなど)を、サブスクリプションまたは従量課金で利用できます。
実際の利用例としては、ファイル共有や電子メールサービス、重要なタスクやそうでないタスクのアプリケーション開発・テストなどが挙げられます。

2. プライベートクラウド

プライベートクラウドは、通常、単一の組織が明示的に利用するもので、内部で管理するか、外部のITサービスプロバイダーが管理します。パブリッククラウドに比べ、導入やメンテナンスへの投資コストが高くなる場合が多いですが、組織のセキュリティやデータ保護の観点から、より効果的な対応が可能です。

3. ハイブリッドクラウド

ハイブリッドクラウドは、プライベートクラウドとパブリッククラウドの両方のインフラを活用するモデルです。企業は必要に応じてITインフラを迅速に拡張できるため、柔軟性とコスト効率を両立できます。
例えば、オンライン小売業者がホリデーシーズンにパブリッククラウドのリソースを活用し、プライベートクラウドのキャパシティを補完・緩和することが可能です。

4. コミュニティクラウド

コミュニティクラウドは、複数の組織が共通のコンピュータリソースを共同利用するモデルです。例えば、特定の研究分野で共同研究を行う大学や、リソースを共有する地域内の警察などの国家機関が該当します。アクセスはコミュニティのメンバーに限定されます。

クラウドサービスのアーキテクチャ・モデル

クラウドサービスのアーキテクチャは、セキュリティ管理の強化から信頼性の向上、ハイブリッドクラウドソリューションの利点まで、さまざまな観点で理解することが重要です。
主なサービスモデルであるIaaSPaaSSaaSは、それぞれ異なるレベルのサービス提供と責任分担を定義しています。

1. IaaS(サービスとしてのインフラストラクチャ)

IaaSプロバイダーは、基本的なコンピューティング、ストレージ、ネットワークインフラ、および仮想化用のハイパーバイザーを提供します。ユーザーは仮想インスタンスの作成・管理、オペレーティングシステムのインストール、アプリケーションとデータの提供、構成全体の責任を負います。
IaaSは中小企業にとっても魅力的であり、自社でハードウェアを購入するよりもコスト効率が高い運用が可能です。
代表例:DigitalOcean、AWS、Azure、Google Compute Engine、Hetzner Cloud など

2. PaaS(サービスとしてのプラットフォーム)

PaaSプロバイダーは、オペレーティングシステムやミドルウェア(データベースなど)を追加することで、IaaSよりもアプリケーション・スタックを拡張します。ユーザーはアプリケーションの開発に集中でき、プラットフォームは基盤となるインフラを管理します。
代表例:AWS Elastic Beanstalk、Google App Engine

3. SaaS(サービスとしてのソフトウェア)

SaaSプロバイダーは、完全なアプリケーション・スタックを提供します。ユーザーはウェブブラウザ経由でホストされたアプリケーションにアクセスでき、ワークロードやITリソースの管理はすべてSaaSプロバイダーが担います。ユーザーはアプリケーションによって作成されたデータを明確に管理できます。
代表例:Salesforce、Dropbox、Google Workspace、aBusiness Suite など

契約法におけるクラウド

SaaS契約は、現時点では立法者によって明確に法律で定義されていません。現状では、SaaS契約はサービス契約、業務契約、レンタル契約の側面を含む混合契約として法的に分類されます。ただし、適用される法領域は契約の各サービス部分によって異なります。
ソフトウェアの提供は、借地借家法に基づく財産の移転に最もよく例えられるため、SaaS契約の中心的な要素は主に借地借家法にあります。ただし、ソフトウェアは借地借家法の意味での「物」には該当しないため、現代の見解ではSaaS契約は利用のための一時的な譲渡を意味します。これは借地借家法の規制や目的と調和しています。
PaaS契約は、主にサービス・レベル・アグリーメント(SLA)によって特徴付けられます。PaaSサービスは機密データの処理を伴うことが多いため、データ保護とデータセキュリティは極めて重要な役割を果たします。契約には、以下の個人データ保護に関する明確な規定が含まれていなければなりません。また、作成されたアプリケーションの知的財産の所有者を契約書に明記することも不可欠であり、通常、アプリケーションの所有権はユーザーに、プラットフォームの所有権はプロバイダーにあります。

結論

スタートアップ、ベンチャー企業、中小企業、大企業のいずれにおいても、クラウドのセキュリティはすべての組織にとって極めて重要です。
企業としてどのクラウド・プロバイダーと協業するかを検討するだけでなく、どのような枠組みや条件が設定されているかも重要です。
最終的には、セキュリティはクラウド技術サービスプロバイダーだけの責任ではなく、企業の従業員もクラウドのセキュリティ面で同様に重要な役割を果たします。
従業員がセキュリティ・ポリシーや手続きに対応するために必要なノウハウを確実に身につけられるよう、トレーニングや意識向上に定期的に投資することが不可欠です。
また、クラウドのポテンシャルを最大限に発揮するためには、企業は自社または外部パートナーのシステムの保守と新しいITスタッフの採用の両方に投資すべきです。こうすることで、企業はシステムのセキュリティを確保し、顧客満足度を高めることができます。
外部のクラウド・プロバイダーを選定する際には、企業が海外のプロバイダーに依存することや、そのクラウド・プロバイダーが提供するサービスであることを常に念頭に置く必要があります。
企業は、データ保護ガイドラインの徹底的な検討、リスクの最小化のためのハイブリッド・クラウド・アプローチ、セキュリティ対策やプロバイダーの認証の評価、データ保護への影響評価、定期的な監視と監査、データ保護違反の可能性への備えといった対策によって、この難題に対応しています。
企業の規模や業種によって戦略は異なりますが、いずれもデータ保護のコンプライアンスを確保し、外部のクラウドサービスを扱う際の潜在的なリスクを最小限に抑えることを目的としています。

情報源一覧

関連記事
私のデータにはどのタイプのバックアップが最適ですか?
データバックアップは実生活でいかに重要か
さまざまなファイルWindowsシステムの長所と短所


ここにコメントを投稿する...

この記事はトピックをカバーしています:
クラウド・コンピューティング