クラウドの大きな問題はセキュリティが無い事である、という意見が多く登場している。
インターネットが登場した時もそうであったし、その昔はPCが登場し、分散コンピューティングが広がっていった時も同じ様な懸念が登場したが、いつの間にかそういう議論があまり語られなくなり普及していった、という歴史がある。
楽観的な意見が持つ人たちの間では、クラウドコンピューティングも同じパターンでセキュリティに対する懸念がいつの間にか消えてなくなる、と思う人が多い様である。
US Department of Health and Human Services (HHS)と呼ばれる政府の機関が発行した昨年の医療業界におけるネットワークに対する攻撃の内、情報漏洩等の実被害者が500人以上に及ぶ事件の件数が166件で、合計4,905,768人の患者が英鏡を受けている、という内容が報告されている。
このレポートを受けて、PHIPrivacy.netが興味深い分析を行っていて、医療業界の様なセキュリティ要求の高い、規制の厳しい業界においてもローカルに管理されるデータはかなりの頻度で盗まれている、という状況を説明している。
このレポートが主張しているのは、上記の医療業界での状況と比較して、Salesforce.com, Microsoft BPOS, Amazon, Google Apps, Quest OnDemandのようなパブリッククラウドサービスの業界で年間に166回もの事件が起きるのだろうか? という事である。
パブリッククラウドで問題が多発しないのは、次の様ないくつかの理由がある、と説明されている。
・ データセンタのセキュリティの基準がそもそも高い事: 大抵のデータセンタは、SAS 70 Type I もしくは Type II というセキュリティ規格、さらに ISO/IEC 27001:2005 と言った規格に準拠した運営を行っているからである。企業内のデータセンタはそこまで投資を行う事は実際に少ないのが現実である。
・ 業務の明確な分離: データセンタ事業者はそのテナントの従業員では無いので、何所にどのように貴重なデータが補完されているのかを知る事が基本的にできない。
・ パブリッククラウドは複数のテナントを抱えているため、万が一、ハードディスクごと盗む事に成功したとしても、そのディスクの中は様々な顧客の情報の断片が、ある特殊なアプリケーションのフォーマットで記録されて、データを解析するのはほぼ不可能である。
・ 企業の従業員の持つラップトップやモバイルデバイスは、クラウド化される場合、デバイス内にデータを殆ど補完しないモデルが採用される。 デバイスが盗まれても、データが盗まれる事がない。
・ どのパブリッククラウド事業者のサイトをみても、セキュリティを最大の要件としてる。データの隔離、ログ管理、アクセス管理、等セキュリティを重視するが故にかなりの施策が施されている。
企業の中におけるデータセンタは、社内内部の人間が使う事が基本になっているため、セキュリティの強化とは言っても、基本的に社内規則に準拠している人間が利用する事を前提としたセキュリティになっているのが通常である。 事業としての判断で必要以上のセキュリティに対する投資は必要ない、と考えるのも通常である、と言える。 このような環境において、企業は何故企業内のデータセンタが安全だ、と主張出来るかというと、基本的に社内ユーザは信用出来る、という安心感があるからだ、と言える。 社外の人間がアクセスするとなると、急にセキュリティが厳しくなるのはそのためである。
一見、パブリッククラウドは不特定多数の人間がアクセスしている環境の様に思えるが、実は個々の利用契約に基づいてサービスを利用している特定の利用者の集まりである。 個々のユーザは論理的に特定のコンピューティングスペースを専有し、データ、アプリケーションの管理をクラウド上で行っているが、このクラウドを運用する会社が採用するセキュリティは、複数の企業が入り込んでコンピューティングリソースを利用する環境に必要十分なセキュリティを採用している訳であり、結果的に企業内のデータセンタと比較して格段に厳しいセキュリティは基準が採用される必要があり、そのように運用しているのが現状である。
パブリッククラウド上の各テナント間の論理的な境界線に問題がある、というのなら、それは少し別な問題である。それは通常仮想化領域で管理されるパーティションの議論であって、その技術的な限界や、セキュリティの懸念を議論するのであれば、それは仮想化という技術自体を問題視する事であり、パブリッククラウドの問題とは別次元で議論されるべきである。 これをパブリッククラウドのセキュリティの問題と混同してしまうと、的の外れた結論に達する危険性があると思う。
