山口英に聞く2010年に企業が取り組むべきセキュリティ対策 (2) クラウド活用におけるセキュリティ担当者の留意点

奈良先端科学技術大学院大学情報科学研究科教授山口英氏に、新編集長上
野が、情報セキュリティに携わるScan読者に向け、2010年のセキュリティ対策
の指針について聞いた。インタビューは1月28日午後、山口先生に、愛宕の
Scan編集部からSkypeでアクセスし、音声とビデオによって行った。(本文敬称
略)

奈良先端科学技術大学院大学
http://www.naist.jp/
山口英
http://iplab.naist.jp/member/suguru/index-j.html

山口英に聞く2010年に企業が取り組むべきセキュリティ対策　(1)企業の情報処理環境3つの変化
https://www.netsecurity.ne.jp/3_14801.html

─
●クラウド活用のセキュリティ上の留意点

上野：
クラウドサービスは、物理的な所在や管理者が明確ではありません。セキュリ
ティ担当者が注意すべき点は何でしょうか？

山口：
私は、これから中小企業が、セキュリティのことも考えながらビジネスを展開
していく情報通信基盤として、クラウドはとても有望だと思います。

IT知識のない企業にシステム構築を強要するSIのような、従来のやり方に比べ
ると、クラウドサービスは中小企業にはメリットが大きい。現在の日本のつら
い状況を乗り切る一つの答えになることを期待しています。

クラウドというとちょっと一般的すぎるので、SaaSということに限って話をす
ると、SaaSはサービスのユーティリティ化を行って、リソースを多くのユーザ
が共有することで、コスト削減という大きなメリットが得られます。

そのメリットは、SaaSの提供者を信頼することで成り立っています。この「信
頼」をどう考えるかがキーになるでしょう。提供者に対して利用者が全幅の信
頼を置くことが前提なので、いままでのセキュリティの考え方とはミスマッチ
を起こすことがあるでしょう。セキュリティ的に問題があるといっても、その
信頼レベルで十分と思う人たちが使っているのであれば仕方がない訳です。

上野：
SaaS提供者に対する「信頼」にはどんな問題がありますか？

山口：
「利用者が提供者に対して置いている信頼の中身が具体的にどんなことか」
「それによって免責されることとされないことは何か」「それによるリスクが
何か」以上の要素を可視化して、きちんとした尺度で測れるようになっていな
いとしたら問題でしょうね。

それが見えているなら、後は利用者側のビジネスとの関係性になると思います。
利用者側の事業規模や、必要とされるインフラの信頼性のレベルに応じて、合
理的結論が出せるしかけなら悪くないでしょう。現在、SaaSはそういう方向に
向かっていますから、これから期待したいです。

たとえば、これはセキュリティではなく、企業会計のSaaSの例ですが、TKCが
提供する、ASPとコンサルティングサービスを合わせたサービスは中小企業に
は最適な解を提供していると思います。TKCのセキュリティ版のようなサービ
スの登場が待たれます。

●日本のIT風土

上野：
日本が海外に比べて取り組みが遅れていることや、また日本だけが抱えている
ような問題は何かありますか？

山口：
私は日本が遅れているとは思いません。ただし、

※本記事は有料購読会員に全文を配信しました