これまでのASP（Application Service Provider）サービスでは、セキュリティ上のリスクは「ASP事業者が信頼できるのか」の点にしぼられてきたと言っていいでしょう。ASPサービスの多くは、事業者が用意したサーバーをデータセンターに配置して、そのサーバーをインターネット経由で利用するものだったからです。ASPの進化形のようにも言われるクラウドですが、技術的には仮想か技術が使われるなど、全く基盤が異なります。クラウドを利用する際に特有のセキュリティリスクは技術的には以下のようなことが考えられます。

• 仮想サーバーのシステムイメージがコピーされ、情報が漏えいする
• コピーされた仮想サーバーのシステムイメージが改ざんされる
• 隣の仮想サーバーから未知の方法で侵入されてしまう
• 仮想サーバーのホストOSから侵入されてしまう

これらは、すでに多くのセキュリティや仮想コンピュータの専門家から指摘されていることです。しかし、残念ながら検知・防御する技術はまだありません。仮想コンピューター技術が本格的に利用され始めたのがここ数年のことなので、利用促進が先行しているのが現状です。

セキュリティポリシーに書き込むべきクラウドの利用に関する記述は以下のようなものが考えられます。
1. クラウドサービスの定義
2. クラウドに預けてよい情報、預けてはならない情報
3. クラウドに顧客情報などの重要な情報を預ける場合の技術的な対処
4. クラウドサービスの選定基準
5. クラウドサービスを利用する場合の社内承認手続き

「みんなで渡れば怖くない」をそろそろやめよう | 日経 xTECH（クロステック）