クラウド時代のセキュリティをテーマにしたセミナーに行って来た。
実はこの手の話しにはかなり懐疑的であって、かつ、セミナーの講師が経済産業省肝煎りの資格を持っている方ということもあり、どんな(愚かな)話をするのか楽しみであったのだが、結果としては期待を裏切らないセミナーであった。このセミナーの中で「クラウドサービス(オンラインストレージ)を選ぶときの重要項目」というのがあって、以下の6点を挙げていたのだが…
1. ウイルスチェックをしていること
2. 利用者単位・ファイル単位でログを追跡出来ること
3. データの保管場所が物理的に国内であること
4. SSLを使用していること
5. マルチテナント(共用サーバー)ではないこと
6. WAFレベル以上のセキュリティを使用していること
で、特に最初の3点は重要とされていたのだが、本当にそう思っているんですか?という疑問が湧いた。
自分が考えるに最重要点は「サーバー証明書(SSL)を使用していること」だと思うんですけどねぇ。だって、得体が知れない接続先にデータは預けられないでしょうに。たぶん、講師の方は「SSL=通信の暗号化」程度にしか考えていないと思うんですが、そうじゃないですよねと。接続先の正当性を証明するという点が重要なのではないかと思うんですが…
ぶっちゃけ、ウイルスチェックなんて言うのは極論を言えばしてくれなくたって結構なんですよ。クライアント側で対策されていれば十分とは言えないまでも良いんですから。そんなモンよりも重要なのがサーバー証明書を使用していることじゃないんですかと。
あと、意味不明だったのが「WAFレベル以上のセキュリティ」というヤツ。WAFレベル以上って具体的に何なんですか?質問のチャンスが無かったので講師本人に確認することは出来なかったんですが、WAFレベル以上というのが大変気になるところです。
もう一点、データの保管場所が日本国内にあること。これ、たぶんですねぇ多くのオンラインストレージはNGだと思うんですよねぇ。例え、データセンターが日本国内にあったとしても「日本国内にデータが保管されていることの担保にはならない」と思うんですよ。それがクラウドがクラウドたる所以ですから。しかも、講師の方はDropboxを使用されていると言っていましたが、それって言行不一致でしょうに。
と言う事で、結構杜撰なセミナーでしたというオチです。こんなんで、中小企業の経営者を騙しているんだなぁと思ったりしたわけですわ。ちなみに、講師の方は自称「セキュリティの専門家」だそうです。なかなかイケているセミナーでした。北海道の未来は明るいです(棒
何かが違う気がするのだが…
Security
コメント