セキュリティの
学び場

ピアクラウドサービスとは

ピアクラウドサービスとは、ISO17789にて定義された用語であり、他のクラウドサービスプロバイダが提供するクラウドサービスの一部として利用されるクラウドサービスのことを指します。

例えば、A社がSaaS型のクラウドサービスを提供しており、そのサービスの一部の機能として、別の会社(B社)のSaaS型のクラウドサービスを利用している場合、A社にとって、B社のサービスはピアクラウドサービスであり、B社はピアクラウドサービスプロバイダになります。

ピアクラウドサービス利用時のリスク

ピアクラウドサービスを利用してクラウドサービスを提供する場合、「サプライチェーンリスク」を意識する必要があります。「サプライチェーン」とは一般に製品を構成する部品調達から提供までの一連の流れを表す言葉です。クラウドサービスにおいてはそれを構成する「ピアクラウドサービス」が部品と言えます。

サプライチェーン一般に言えることとして以下のリスクが挙げられます。

• ピアクラウドの機能や品質の不備
• ピアクラウドに対する可視性の不備
• ピアクラウドのサービス安定性の不備

例えば、ピアクラウドに認証機構の不備などのセキュリティ機能の欠如があると、それを利用するサービスにおいても十分なセキュリティ機能を提供できない恐れがあります。

また、ピアクラウドにおいてセキュリティがどの様に担保されているか、法令に沿った運用がされているか等が適切に「可視化」されない場合、リスク管理や法令順守などにおいて問題が生じる恐れがあります。パブリック・クラウドサービスでは顧客毎のセキュリティ監査には応じない場合も多いため、クラウドが準拠するコンプライアンスの確認が重要となります。

また、ピアクラウドサービスが故障などにより停止した場合、それを利用しているクラウドサービスの提供も困難になる恐れがあります。このため、依存するピアクラウドがどの様な安定性を保証しているかをSLA等から確認する必要があります。

ISO/IEC 27036 ではこのようなリスク管理を明確にするために、クラウドサービスの提供機能に応じてプロバイダ側で必要と考えられる情報セキュリティ管理がまとめられています。

例えば、IaaSであれば、ネットワークセキュリティ制御、ストレージセキュリティ制御、マルウェア防御などです。PaaSではこれに加え、ユーザー/管理者アクセス制御、ログ管理、更にSaaSでは加えてアクセスとユーザー権限の制御やアプリケーションの変更制御などが求められます。

ピアクラウドサービスを利用する際の注意点

ピアクラウドを利用してクラウドサービスを提供する際には上述のようなリスク管理が重要となります。

近年は IaaS/PaaS の高機能化・高可用化に伴い、そのようなピアクラウドを利用したクラウドサービス開発の機会がますます増加しています。一方で、高機能化に伴い、「基盤となるピアクラウドサービス機能を把握し、適切に設定する」事が困難になる事象も増えています。このような問題に対してはCSPMやクラウド診断のような、「セキュリティ関連の設定がコンプライアンスに従っているか」を確認するサービスも提供されています。

適切なリスク管理の元、ピアクラウドサービスを活用して頂ければと思います。