セキュリティを保ちつつコストを抑えたデータ保管をするためのサービスの組み合わせ方とは

1. クラウドストレージサービスとは

ストレージの種類

・ファイルストレージ
フォルダを開きデータにアクセスするという、従来からなじみのあるもっとも有名な形式です。今でも多くのパソコンに標準的に搭載されており、主流なストレージとして利用されています。従来からのファイルサーバーや量販店で購入できる外付けのハードディスクなどはこの形式です。

通信様式は、ファイルのやり取りを専用とした通信規格CIFS（Common Internet File System）やNFS（Network File System）で、ネットワークを経由した利用も可能です。保存されたデータには名前、サイズ、データの種類など最低限の情報が付いています。

・オブジェクトストレージ
近年、利用が増えているストレージ形式です。クラウド環境との親和性が高く、クラウドストレージサービスはこのオブジェクトストレージで構築されています。オブジェクト形式の利用が広がった主な理由について3点ご紹介します。

1点目は、通信様式にHTTP（S）プロトコルが使われていることです。HTTP（S）プロトコルは、Webサイトを閲覧するときに使われる通信規格です。つまり、Webサイトを閲覧する手軽さでデータにアクセスできるようになりました。現在では暗号化されたHTTPSプロトコルの利用が主流となっています。

2点目は、ファイルストレージと比べて名前、サイズ、データ種類、保存期間、コピー回数など、沢山の属性情報を持つ事ができるようになったことです。

そして3点目は、オブジェクトID単位で位置情報が管理されるという点です。ファイルストレージはフォルダの名前を変更したり、フォルダを移動したりしてしまうと、データの位置情報（パス）が変わってしまいます。しかし、オブジェクトストレージの位置情報は、一意のオブジェクトIDで管理されるので変わりません。これは大量のデータを取り扱う現代において、高速にデータを検索できるというメリットがあります。

・ブロックストレージ
データを一定の大きさのブロックに切り出すことで、送受信を高速に行う事ができるストレージ形式です。ファイバーチャネルなどで接続されたSAN（Storage Area Network）という環境で構築されます。ここまで紹介したファイルストレージ、オブジェクトストレージとは異なり、従来からストレージの基盤となる部分の構築に活用されてきました。

ここまでストレージの種類について解説しました。ブロックストレージは用いられる用途が異なりますので、主にファイルストレージとオブジェクトストレージの違いを理解しておくと、データ保管の運用を考える上で役に立つでしょう。

2. ストレージに求められるセキュリティとは

では、データ保管に求められるセキュリティにはどのような要素があるのでしょうか。ストレージに求められるセキュリティには、主に「データ暗号化」「アクセス認証」「アクセス権限」の3つが求められます。

・データ暗号化
ストレージ内のデータを暗号化することで、万が一データが漏えいしても読み取られるリスクが低くなります。解読されない限りデータは価値を持ちませんので、実害を最小限にとどめる事ができるでしょう。暗号化の技術として一つ一つのデータを暗号化する仕組みもありますが、データを読み書きする度に暗号化と復号化を繰り返していては、コンピュータに大変な負担がかかってしまいます。ストレージ環境においては、SED（Self Encrypting Drives）と呼ばれるストレージそのものを暗号化することができるディスクが主流です。サービスのパフォーマンスに影響を与えずに暗号化できます。

・アクセス認証
データにアクセスする人を認証することで、なりすましによるデータの不正利用を防ぎます。認証方式はIDとパスワードによる認証が一般的ですが、近年では2段階認証といったパスワード以外の認証要素を組み合わせる方式も普及しています。一方で、都度認証していては業務効率が低下するという観点から、SSO（Single Sign-On）という、1度の認証で横断的にアプリケーションを利用できる拡張機能を搭載するストレージサービスもあります。

・アクセス権限
データに対する操作権限のことです。例えば、閲覧者と編集者という2つの役割があったとします。あるデータに対し、閲覧者には閲覧だけを許可して編集を禁止するという権限、そして編集者には閲覧と編集を許可する権限というように、アクセスしたデータを取り扱える権限を調整できる機能です。

クラウドサービスの普及による問題点

ここまで、ストレージに求められる3つのセキュリティ要素をご紹介しました。ここからは、主にクラウドサービスの普及により顕在化した問題をご紹介します。

・シャドウIT問題
クラウドストレージサービスはパソコン上でWebサイトを閲覧するように簡単に利用できることから、環境によっては機密データを外部に持ち出すこともできてしまいます。このように、企業内の情報システム管理者が把握できずに利用されているITサービスを「シャドウIT」と呼びます。

・ゾンビアカウント問題
数百人、数千人規模の大企業だと、新入社員、異動社員、退職社員などの日々のアカウント管理を整理しきれず、処理が漏れてしまうケースが往々にしてあります。このような管理漏れによるアカウントのことを「ゾンビアカウント」と呼びます。ゾンビアカウントは誰にも利用されない状態で生き続けることから、存在しているだけで大きな脅威となり得るでしょう。

このように、クラウドストレージサービス自体のセキュリティというより、それを取り扱う人が運用管理をしっかり行わないと、セキュリティ上の脅威となるおそれがありますので注意が必要です。

3. セキュリティを保ちつつコストを抑えたデータ保管

※セキュリティのCIAとは以下のとおりです。
①機密性（Confidentiality）：必要な人のみ利用できる状態。他の人は利用できない状態。
②完全性（Integrity）：必要な情報を正当な権利を持たない人から変更されていない状態。
③可用性（Availability）：必要な時に正当な権利を持った人ならいつでも利用可能な状態。

・高いCIA、高い流動性が求められるケース
機密情報の中でも、人権、生命、財産に直結するようなデータを取り扱うケースです。社会公共システム、医療、金融といった分野が該当します。このような場合、堅牢かつ秘匿性の高い施設に何重にも冗長化したオンプレミス環境を構築する組み合わせが適しています。

・CIAよりも高い流動性が求められるケース
クラウド型のSaaSアプリケーションや、多くのWebシステムで業務データを取り扱うケースです。データは日々更新され、またテレワークなどのように場所を問わず頻繁にアクセスされる環境であるため、オブジェクトストレージで構築されたクラウドストレージサービスが適しているでしょう。また昨今、低価格のオブジェクトストレージサービスも提供されていることから、クラウド環境に占有型のクラウドストレージ環境を自社で構築するのも一つの手です。

・流動性よりも高いCIAが求められるケース
日々の業務では利用することがなく、一定期間保存が必要なログデータやバックアップを取り貯めるケースです。クラウドストレージサービスは、データ容量に応じて課金されるケースがほとんどであるため、流動性の低いデータを置いておくのは無駄なコストと言えるでしょう。アーカイブしてローカル環境に保管しておくか、保存期間が超過したデータは消去するローテートの設定をしておくと良いでしょう。

・CIA、流動性共に特に要求がないケース
日々の業務の中でも、一時的なファイルや素材のようなデータが該当します。流動性が低いことから、共有される頻度は少ないと思われますが、個人業務の範疇としては、どこからでもアクセスできる可用性は高い方が有利です。よって、このようなデータもクラウドストレージの利用が向いていると言えるでしょう。