あるクラウドサービスで起こった事故は、仮想ホストを起動する初期イメージに起因していました。サービス提供者が用意した初期イメージに脆弱性が残されており、それをそのまま使用したことによって不正アクセスの被害を受ける事故が発生したのです。

検証のため、一例として、クラウドサービスで有名なAmazon EC2の初期イメージのパッチの適用状態を確認してみました。以下の画像は、2010年9月13日時点で初期イメージとして用意されている「Basic Microsoft Windows Server 2008 (AMI Id: ami-c3e40daa)」を起動した直後のパッチの適用状況を示したものです。

最も古いイメージの日付は2009年9月2日になっており、Security Updateは2010年のものが表示されていました。つまりこの初期イメージは、2010年9月13日時点の最新のアップデート状態ではないのです。

サービス利用者側としては、できるだけ新しい脆弱性に対応した状態で初期イメージを提供してほしいものですが、サービス提供者側としてはその対応作業のコストがバカにならないのでしょう。また作業コストがかかる仕様を要求することは、最終的には提供価格に跳ね返ってしまいます。

最近ではサーバソフトウェアにリモートから侵入可能な脆弱性が発見されることが少なくなってきていますので、常に最新のパッチが適用されていなくても、利用者側で対応することはさほど負担にはならないでしょう。しかし、クライアント環境を提供するクラウドサービスでは問題となります。第27回のコラムで取り上げたAdobe Readerの脆弱性やWindows、JREなどのクライアントアプリケーションの脆弱性はウイルス感染につながる原因であり、いまだに大きな問題となっています。

曇りのち晴れとなるか？ クラウド環境のセキュリティ：川口洋のセキュリティ・プライベート・アイズ（29） - ＠IT

クラウドサービスの売り文句としてよく使われるのが「固定費から変動費へ」「使った分だけ支払ってコストダウン」。これらのキーワードは経営者にはとても響きがよいものです。コストダウンはクラウドを検討する一番の理由といってもいいでしょう。

しかし、よく考えていただきたいのが、言葉を返せば「使った分は払わなければならないのがクラウド」だということです。サービス提供者としては当然、たくさん使ってもらう方がありがたいわけですが、月額固定制のつもりでクラウドを使用していると思わぬ使用量になり、当初の想定よりもはるかに高い金額を払わなければならない事態に陥ることもがあるかもしれません。実際に、クラウドを使い過ぎて多額の料金を請求されることになった企業や個人の利用者もいるようです。

曇りのち晴れとなるか？ クラウド環境のセキュリティ：川口洋のセキュリティ・プライベート・アイズ（29） - ＠IT