クラウドの脅威は不正・違法使用とAPI－Cloud Security Alliance調査

　クラウドコンピューティングのセキュリティ確保を目指す業界団体Cloud Security Alliance（CSA）と米Hewlett-Packard（HP）は3月1日（米国時間）、クラウドの潜在脅威についての報告書を発表した。攻撃者がパブリッククラウドに侵入してボットネットなどを仕掛ける可能性などを警告している。

　セキュリティはクラウド導入の最大の障害となっており、CSAはセキュリティガイダンスを作成して公開している。今回、これを補完するものとして潜在脅威を分析した報告書「Top Threats to Cloud Computing」をまとめた。クラウド導入にあたってのリスク管理や意思決定を支援するとしている。調査にはHPが資金を提供した。

　主な脅威の1つ目は攻撃者の不正・違法使用。パブリッククラウドは、クレジットカードがあれば簡単に登録できるため、攻撃者が、スパムや悪意あるコードをばらまくために利用する可能性があるという。対策として、初期登録と認証プロセスを強化すること、顧客のネットワークトラフィックの監視、公開されているブラックリストのモニタリングなどを奨励している。

　次はAPI。プロバイダが公開するAPIは接点として機能しており、不慮および意図的な事故に対して強固である必要があるという。複数のAPIを利用して付加価値サービスを提供する事業者が増えており、リスクが増しているとも指摘している。こうしたことから、APIが関連する依存性の連鎖を理解し、認証とアクセス管理を実装するようアドバイスしている。

　報告書ではこのほか、データの損失と漏えい、アカウント・サービスハイジャック、技術問題の共有など7点の脅威を挙げている。