クラウドのセキュリティ:三輪信雄「ここが変だよみんなの対策」(情報元のブックマーク数)

クラウドとセキュリティとか言っていますが、何人が作ったことがある人なんでしょうかね?

もちろん、アプリケーションのセキュリティは今まで通りありますし、DoSに対するセキュリティもアプリで組まないといけなかったりします。
クラウドになったら、DoS攻撃を仕掛けることで、リソース浪費をさせて金銭的に嫌がらせをする輩も出てくることでしょう。
またデータベースのセキュリティ、アプリケーションコード(多くはパスワードがハードコーディングされていたり)も大切です。

まず、「クラウドのセキュリティ」ですが、これには多くの指摘がなされています。

  • 仮想環境に関するセキュリティ
  • 施設に関するセキュリティ
  • 日本国外にある場合の法的問題
  • 稼働保証などのSLA(Service Level Agreement)
  • 運用体制

などが主な論点です。

クラウドのセキュリティ | 日経 xTECH(クロステック)

データバックアップは確かに大切ですが、あまり重要視されていないでしょうね。ここはしっかり運用も見越したアプリの作成が必要になるってことでしょうね。

デプロイするのは良いのですが、デプロイ環境をどう保存するかという、クライアント側の問題とかも出てきますね。

ちゃんと稼働させること、データのバックアップと復旧などを契約条項として記述するSLAにも標準的な書式がないので、ユーザーは価格でしか比較しないようになってしまうかもしれません。あるいは、とても厳しいガイドラインが政府筋から提示されることによって、体力のある事業者しか対応できなくなってしまい、結局コストに跳ね返ってしまうということも十分に考えられます。
運用体制にも課題があります。運用管理者がデータを盗み出したり、バックアップデータを持ち出したりすることは最終的には完全に防ぐことはできません。この分野は、いかに被害を起こりにくくするか、という観点が必要です。これも厳しいルールを作るとコストに跳ね返ってしまい、国際競争力を失うことになってしまうかもしれません。

クラウドのセキュリティ | 日経 xTECH(クロステック)

クラウドセキュリティはこれから。

クラウドでセキュリティサービスを提供する場合には、お客様のデータを安全に預かっているのか、機密情報が漏れないのかなどについての不安を払拭するための説明責任が生じます。
またすでに仮想環境でサーバーを運用している場合には、仮想環境におけるセキュリティサービスを利用しなければなりません。しかしながら仮想環境におけるセキュリティサービスそのものが未熟であり、まだまだこれからの分野であることが大きな課題ですが、これは時間とともに解決されるでしょう。

クラウドのセキュリティ(2ページ目) | 日経 xTECH(クロステック)

screenshot