すべてのクラウドプロバイダが提供するセキュリティは同一レベル？

クラウドコンピューティングには、セキュリティ固有のさまざまな課題や問題がともないます。クラウドサービスプロバイダは、クラウドのセキュリティリスクについてその責任は分担して負うもので、クラウドサービスプロバイダがクラウド自体のセキュリティ管理に責任を持ち、利用顧客が各自のデータをセキュリティ脅威から保護しデータへのアクセス権限所有者を管理することに責任を持つ、と考えています。実際には、クラウドコンピューティングのセキュリティリスクの大半がデータのセキュリティに関係しており、リスクの根本を辿ると利用顧客がクラウドに保存するデータに行き着きます。

パブリッククラウドは基本的にレンタルのクラウドコンピューティング機能またはストレージで、それぞれのユーザーは「事業者からレンタルする大勢のユーザー」の1ユーザーにすぎません。パブリッククラウドでは、すべてのハードウェア、ソフトウェア、およびインフラがプロバイダの所有物で、ストレージ、ハードウェア、およびネットワークデバイスは他のユーザーとの共有になります。その利点にはコスト、スケーラビリティ、信頼性などがあり、面倒で高コストなメンテナンスも不要になります。

プライベートクラウドは、1つの企業または官公庁専用に使用されます。サービスおよびインフラは、専用のハードウェアとソフトウェアを使用するプライベートネットワークで維持されます。プライベートクラウドでは、より高度な柔軟性、セキュリティ、スケーラビリティが得られます。

ハイブリッドクラウドは、2つ以上のパブリックまたはプライベートの相互接続型クラウドです。ハイブリッドの場合、パブリッククラウドはセキュリティ要件の低い大量の需要に使用され、プライベートクラウドは機密性の高い業務またはビジネスにとって非常に重要な業務に使用されます。ハイブリッドクラウドでは、特別なコンピューティング能力が必要な場合のみ料金を払ってそれを利用することで、管理、柔軟性、コストの面で最も高い効率性が得られます。

企業は各自の情報を自社管理でないクラウドインフラに送付しますが、データは伝送中に攻撃の標的にもなり得ます。多くのユーザーを抱えるパブリッククラウドでは、さまざまなデバイスがそのデータにアクセスできます。調査会社ESGの推定では、多くのユーザーのうち、組織の40%が機密性の高いクラウドベースのデータへのアクセスをビジネスパートナーに許可しており、80%を超える組織がクラウドよりもオンプレミスのデータのセキュリティを優先しています。

クラウドサービスプロバイダが実施する有用なサービスには次があります。

• 攻撃の監視と追跡を向上させ、シグネチャ更新とリアルタイムのファイアウォール更新を提供し、安全でないトラフィックをブロックする
• サポートと暗号化によって、24時間無休のライブ追跡とウェブサイトのセキュリティを提供する
• ウェブサイトの高速性能を発揮させる

ただし、どのようなクラウドサービスを使用する場合でも、データセキュリティの問題とリスクがともないます。そこで次のような各種のクラウドセキュリティ技術を実装できます。

• クラウドへの保存対象となるデータの特定/管理、クラウドで検出された機密データの隔離または削除、間違いを犯したユーザーや指針に違反したユーザーの指導などについて、指針を割り当てる。
• クラウドサービス内で利用可能な暗号化は組織内のデータを部外者から保護するが、クラウドサービスプロバイダは暗号化キーにアクセスできる。独自の暗号化キーを使用してデータを暗号化することで、アクセスの完全な管理が可能になる。
• データの共有方法を制限する。たとえば、共有リンクによって外部的に共有可能な情報を管理する。
• クラウドサービスでは、インターネット接続によりどこからでもアクセスが可能だが、携帯電話などアンマネージドデバイスからのアクセスが問題になる。デバイスのセキュリティ検証によって、アンマネージドデバイスへのダウンロードを防止する。
• マルウェア対策テクノロジをOSや仮想ネットワークに適用し、インフラを保護する。
• サードパーティ製ツールの使用により、企業のセキュリティを増強できる。暗号化の追加採用によって、クラウドプロバイダがハッキングされた場合でもデータのセキュリティを維持できる。

セキュリティ技術の実装に加えて、セキュリティ強化のために追加できる製品があります。たとえば、MikroElectronikaのMIKROE-2829 - Secure 4 Click Boardは、MicrochipのATECC608A CryptoAuthenticationテクノロジを備えています。この製品は、EEPROMアレイを使用して、最大16個の鍵、証明書、消費記録、セキュリティ構成、その他各種のセキュリティデータを保存します。Click Boardに搭載されているATECC608Aは、柔軟なコマンドセットとともにI²Cインターフェースをサポートし、このコマンドセットはネットワーク/IoTノードのエンドポイントセキュリティ、セキュアブート、小型のメッセージ暗号化、ソフトウェアダウンロード用の鍵の生成、エコシステム管理、および偽造防止など各種のセキュリティアプリケーションで使用できます。

図1：MIKROE-2829 Secure 4 Click Boardは、競合製品に比べて計算速度を10倍から1000倍高速化します。（画像提供：MikroElectronika）

これらの非対称暗号機能はATECC608Aハードウェアによって加速され、標準のマイクロプロセッサで実行するソフトウェアベースの製品よりも10倍から1000倍高速に計算できます。これにより、標準的なマイクロプロセッサにありがちなキーが見られるリスクを防ぎます。またデバイスは、特にスリープモードで超低消費電流になります。

もう1つのボード製品、MicrochipのPIC-IoT WGは、高機能なPIC24FJ128GA705 MCU、ATECC608A CryptoAuthenticationセキュアエレメントIC、および認定取得済みのATWINC1510 Wi-Fiネットワークコントローラを組み合わせており、組み込みアプリケーションをGoogle Cloud IoT Coreに簡単かつ効果的に接続できます。

図2：MicrochipのPIC-IoT開発ボードにより、組み込みアプリケーションをGoogle Cloud IoT Coreに簡単に接続できます。

MCUには、迅速なコネクティビティを可能にするファームウェアがプリロードされています。またMCUは、オンボードの温度センサと光センサを利用してGoogle Cloud Platformにデータを送信します。コードは、MPLAB Code Configurator（MCC）に含まれる無料ソフトウェアライブラリを使用して簡単に生成できます。

まとめると、クラウドサービスプロバイダにはさまざまなタイプがあります。その中には、Google Cloudなど、セキュリティを強化するAI機能を追加しているプロバイダもあります。どのプロバイダもインフラのセキュリティを提供しています。しかし脆弱性は主に、データ管理者を定めるユーザーの側に委ねられています。クラウドコンピューティングはセキュリティの問題抜きにはあり得ず、ユーザーがその問題の解消に取り組む必要があります。