プロフィール
  • プロフィール画像
  • アイコン画像 ニックネーム:ztunginhemnbtl
読者になる
2010年06月
« 前の月    |    次の月 »
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30
Yapme!一覧
読者になる
クラウドの弱点は使う人にあり / 2010年06月29日(火)
 前回は、クラウドコンピューティングを3つの形態―SaaS、PaaS、IaaS―に分けて紹介しました。クラウドサービス利用者にとって、技術的に深いところまで理解する必要はないかもしれませんが、最低限の分類を知っておくことで、自分が求めるクラウドサービスは何なのかを整理できることでしょう。

【拡大画像や他の画像解説を含む記事】

 今回は、クラウドコンピューティングの弱点について触れてみます。クラウドコンピューティングとは、インターネットを使って、ハードウェア、ソフトウェア、あるいはデータそのものといったITリソース(資源)を必要なときに、必要な分だけ利用するものです。

 この「インターネットを使って」という部分こそが、クラウドの特徴であり、同時に弱点にもなります。つまり、ネットワークにつながっていなければ、クラウドコンピューティングは100%の力を発揮できないのです。

 元々、インターネットというインフラは、ベストエフォート型※です。ビジネスユースのサービスでは、SLA(サービス品質保証契約)を結ぶものが多いのですが、サーバダウンやネットワークの遅延から完全に解放されるものではありません。

※最善努力(Best Effort)。処理能力を超えたトラフィックが発生した場合、明示的に対処せずに切り捨てる仕組み。サービス品質の保証がない。

 また、いつでもどこでも超高速回線を利用できるとはいいきれないことを忘れないようにしたいものです。例えば、海外出張で、現地のインターネット接続環境が貧弱だと嘆いた経験はありませんか? 国内でも携帯電話やPHS網を使ってクラウドサービスにアクセスしようとして、「アンテナが立ってない!」とか「ネットワークが重くて、Webブラウザが反応しない」とか焦った経験はありませんか?

●当たり前だけど怖い、ID/パスワード管理

 もう1つ、クラウドの弱点になり得るものを取り上げます。それは、ユーザーIDとパスワードの運用です。とはいっても、これはIT利用に共通する話。「同じパスワードを使い回さない」「容易に類推されるパスワードを使わない」「定期的にパスワードを変える」といった注意を、IT管理者やセキュリティ担当者から耳にたこができるほど聞かされていることでしょう。

 クラウドサービスを利用する場合、Webブラウザ上でユーザーIDとパスワードを入力することから始まります。どこからでも利用できるからといって、ネットカフェ、ホテルや飛行場のラウンジで利用するPCにIDやパスワードは残さないでください。

 ビジネス向けのクラウドサービスの場合、ユーザーIDとパスワードのほかに、会社や組織を識別するIDが要求されることがあります。そして、往々にしてユーザーIDは会社で使っているメールアドレスと同じであることが多いのではないでしょうか。

 会社で使っているメールアドレスは、ほぼ公開情報に等しいものです※。また、所属組織を識別するIDは、類推しやすいでしょう。そして、この2つは、複数のクラウドサービスで同じものを使っている可能性があります。

※取引先と交換する名刺や、メールの署名欄などに、氏名、企業名、所属部署、メールアドレスなどが明記されています。最近では、TwitterなどのユーザーIDを記入している人も多いようです。

 また、複数のクラウドサービスで共通のパスワードを使っていませんか? セキュリティポリシーによって、一定期間ごとにパスワードを変更するように指導している企業は多いようですが、ユーザーIDごとに異なるパスワードを設定するところまで言及しているでしょうか?

 このような状況でパスワードが流出すると、芋づる式に複数のクラウドサービスが不正アクセスを受ける可能性が高くなります。その結果、重要データが漏えいしたり、企業内サーバがクラッキングを受けたりするかもしれません。

 参考までに、セキュリティコンサルタントの上野宣氏(トライコーダ代表取締役)に聞いた話を紹介しましょう。Biz.IDの読者なら誰でも知っているであろうWebサービスのエンジニアが、Gmailのパスワードを盗まれたという話です。

 Gmailには利用者がパスワードを忘れたときに、パスワードをリセットする手順をメールで通知する機能があります。それを使うと、Webブラウザには通知先のメールアドレスが本人にだけ分かるような形で表示されます。

 例えば、「***@h******.comに送信された手順をご覧ください」という具合です。攻撃者は、このあて先をhotmailだろうと推測しました。そして、GmailのユーザーIDから連想できるユーザーIDをHotmailで探すと、それはすでに無効(空き)になっていたのです。攻撃者は、まんまとGmailに保存されていたメールを読み漁ったのです。

 この結果、何が起こったのかというと、このITエンジニアが利用していたさまざまなサービスのパスワードが軒並み盗まれました。社内情報共有に利用しているGoogle Appsの文書も流出します。これは、2009年にTwitter社内で発生した実話です。

 みなさんも、気に入っていて、使い慣れたアカウント(ハンドル)を複数のクラウドサービスで使っていませんか?【岡田大助,Business Media 誠】

【6月29日12時33分配信 誠 Biz.ID
http://headlines.yahoo.co.jp/hl?a=20100629-00000035-zdn_b-sci
 
   
Posted at 18:56/ この記事のURL
P R
カテゴリアーカイブ
月別アーカイブ
 
 
Powered by yaplog!