セキュリティ予算不足の解がクラウドではない

Zdnetの3月2日記事に、米連邦政府の情報漏えいが増加傾向にあり、その理由が予算不足であるという気になる内容が出ていました。

japan.zdnet.com

Thalesの調査データを見ると、所属機関の脆弱性はまだまだ残っており、今後も攻撃を受ける可能性が高いという回答が多いのも気になりますが、調査データ全般的に日本も含めた一般企業が抱える問題と同じ事が、米国連邦政府の各組織でも起きている事が見えてきます。

　連邦政府の全体的なIT予算は2017年に約62億ドル減少しており、ホワイトハウスは業務提供、行政サービス、サポートシステム、ITインフラ、セキュリティ、IT管理などに関する4000件以上のプロジェクトへの投資資金を確保しているが、Thalesによると、予算の削減は2018年にも続くと見られており、基礎的なIT予算が不足する事態になる可能性もあるという。

　2018年度の連邦政府予算によれば、2015〜2018年にかけて、政府全体でのレガシー経費の比率は全IT経費の68％から70.3％に上昇している。（Zdnet記事より引用）

こうした予算削減傾向の中、連邦政府機関はIaaS/SaaSのクラウドサービスの利用が急速に進んでいるようです。この辺りの傾向も日本企業と同じかも知れません。ところが、

「データの保護に最も効果的なツールとして、回答者の78％は転送中データの暗号化を、77％は蓄積データの暗号化を挙げているが、米国の回答者のうち、クラウドでの暗号化を実装していたのは23％だけだった。さらに、クラウドコンピューティングのセキュリティを支出の最優先事項に挙げたのは31％にすぎない」（Zdnet記事より引用）

自社管轄でなく、他社のクラウドサービスを利用しているためか、利用しているクラウドサービスに対して『暗号化』を実施しない傾向があり、クラウドサービスのセキュリティは、アマゾンやマイクロソフト等のクラウドサービス事業者にお任せ、という傾向が浮かび上がってきます。

予算対策としてクラウドサービスを使うのは合理的ではありますが、クラウドを使うからといって、セキュリティ対策をおそろかにすると、事故が発生した際に大きな影響が出るかもしれません。そうした意味においてはセキュリティ対策＝クラウド利用ではない事は理解する必要があります。

参考まで、私の専門でもある、PCI DSSでもよくこうしたクラウド利用についてはよく質問を受けますが、PCI DSSは規定の中で明確に『サードパーティ管理』すなわちクラウドサービスを使う側の監督者責任を要求しています。安全なサービスを選ぶ（VPN/SSL、暗号化実装、多要素／多段階認証・・・）のもひとつでしょうし、セキュリティ状況の定期的なチェック（監査、認定更新確認・・・）もそのひとつの解かも知れません。