クラウドの信頼性に関するパラドックス: より信頼できるクラウド コンピューティングを実現するには

※この投稿は米国時間 2020 年 11 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。

クラウド セキュリティ、そしてクラウド コンピューティングに関する多くの議論は、根本的に信頼性に関する議論であり、最終的に信頼の概念にたどり着きます。この信頼の概念は、サイバー セキュリティよりもずっと大きく、さらにはセキュリティ、プライバシー、コンプライアンスの 3 つの柱よりも大きいものです。

たとえば、信頼には、データ所在地やデータ主権を重視する地政学的な問題が含まれる場合があります。同時に、信頼には感情的な問題が関わっていることもあります。それはビットやバイトからなるデジタル領域からは遠くかけ離れ、社会全体にまでおよびます。

クラウド コンピューティングが台頭してからの 10 年間、クラウドの信頼性に関して多くの研究が行われてきました。今日では、「パブリック クラウドを使う」という概念そのものが、「クラウド プロバイダを信頼する」とうことと密接に関わっています。

その中で明らかになったテーマの一つが、信頼できるクラウド コンピューティングを実現するには、クラウド コンピューティングに対する信頼を減らすが必要があるということでした。

これはパラドックスでしょうか。いいえ、そうではありません。

たとえば、次の 2 つの選択肢があるとします。

1. 優れた設計のデータ セキュリティ管理機能を多く備えたクラウド プロバイダを信頼する。

2. 優れた設計のデータ セキュリティ管理機能を多く備え、顧客データの暗号鍵を顧客自身で保持でき、かつプロバイダはその暗号鍵を閲覧できない機能を有したクラウド プロバイダを信頼する。

確かに、セキュリティ、プライバシー、コンプライアンスの管理はクラウド コンピューティング全般、特にクラウド プロバイダに対する信頼に寄与します。ですが、信頼を減らすことの方が信頼しやすさにつながります。

また、もう一つのマジックがあります。利用者はクラウド プロバイダが利用者の差し出す信頼の量を減らす方向に取り組んでいると知るだけで、そのクラウド プロバイダをより信頼できるようになるはずです。これは、顧客が自分の鍵暗号鍵をオンプレミスに保持して、鍵が Google Cloud に渡らないようにする Google Cloud External Key Manager や、処理中に機密データを暗号化する Confidential VMs（このトピックに関するおすすめの参考資料）など、求められる信頼の量を軽減する機能をすべて使用しない場合でも当てはまります。そしてこのロジックは、パブリック クラウド環境が従来のオンプレミス環境よりも明らかに安全である場合でも当てはまります。今なおオンプレミスの方が何となく安全だと感じられ、それ故により信頼できると思われているためです。

これは、組織がクラウド コンピューティングの恩恵を受けることができると同時に、プロバイダの管理下に置くべき信頼の量を減らせるテクノロジーを構築することが非常に重要であることを意味します。

ただし、このようなテクノロジーがもたらすメリットは、概念上の信頼に関してだけではありません。次に、特定の脅威モデルについて説明します。信頼要件を軽減するテクノロジー（Google の EKM）で対応できる脅威について、その例を以下にいくつか挙げて説明します（これらは、あくまでも Google の見解です）。

1. プロバイダによる暗号鍵の偶発的な紛失は実際にはほぼあり得ない事例ですが、EKM によって対処できます。これはプロバイダが鍵を持っていないため、バグ、運用上の問題、その他の理由で鍵が失われることがないためです。

2. また、ネイティブのクラウド セキュリティ管理の構成ミスは、理論上、鍵の開示につながる可能性があります。クラウドの顧客が鍵をクラウド外で手元に保管しておくことで、この問題を確実に防ぐことができます。ただし、顧客の側で鍵が紛失するというリスクはあります。

3. プロバイダの従業員の不正によるリスクも軽減されます。従業員が不正を行おうとしても暗号鍵にアクセスできないためです。なお、これはクラウド HSM を用いた方法でも軽減されます。ただし、このような不正が発生することはほとんどあり得ません。

4. 最後に、いずれかの組織が特定の顧客データの提供をプロバイダに依頼した場合でも、プロバイダは鍵を所有していないため応じることができません。これは、この問題の発生の可能性がどれほど低いかを読者に判断してもらうための例題として、ここに挙げています。

運用上、EKM などの保護機能は機密データのサブセットに適しています。たとえば、組織が機密データをクラウドで処理する場合に、このような信頼要件の軽減、すなわち「信頼の外部化」を特に機密性の高い一部のデータにのみ適用できます。

すでにお伝えしたように、このような信頼要件の軽減テクノロジーは、セキュリティの脅威に関してだけでなく、コンプライアンスにおいても大きな役割を果たします。つまり、クラウドの顧客が暗号鍵の所有を維持するための要件を満たしたり、データから鍵を分離する義務を果たしたりするのに役立ちます。

実際、鍵へのアクセス管理を顧客が直接できるようにすることで、クラウドの信頼はより高まります。具体的には、鍵を自分で管理できることで、クラウドの顧客は第三者が鍵にアクセスできないようにして、クラウドデータの処理を防ぐことができます。繰り返しますが、これは実際の脅威とセキュリティおよび信頼のシグナリングの両方にとって重要です。

ここで、さらに踏み込んで興味深いエッジケースを紹介します。クラウド プロバイダは信頼できても、プロバイダの所在国や、プロバイダの運営を管轄する法律を施行している国を信頼できない場合があります。このような場合、「信頼」はデジタル領域を出て実際のより広い世界へと広がります。ここでも Google の「信頼を減らすアプローチ」が機能します。結局のところ、顧客以外で誰も鍵を持っていなければ、第三者（クラウド プロバイダを含む）に対して鍵、つまり機密データの公開を強制することは誰にもできないのです。

ここで、トリッキーな質問です。「信頼の減少管理」を適切に構築するために、プロバイダを信頼するというハードルを越える必要が出てくるのではないでしょうか？答えはイエスです。ただし、「とにかく信頼してください」と「必要な信頼を減らすために、私たちが構築した具体的なテクノロジーはこれです。このような理由で正しいテクノロジーが構築されているのだと信じてください」の間には大きな違いがあります。後者の言葉は、言い換えれば「私たちに対する信頼を減らすことが信頼につながります」です。

最後に、「信頼の減少」を進めるために覚えておくべき言葉を挙げておきます。

• 信頼とは、セキュリティ、コンプライアンス、プライバシーよりもずっと多岐にわたるものであることを認識しましょう。

• 信頼を減らせるクラウド プロバイダの方が信頼しやすいことを心にとめておきましょう。

• 特定の脅威モデルは依然として重要な問題です。信頼性を上げるだけでは、おそらくユーザーは新しいテクノロジーを採用しないでしょう。

• このトピックに関する、こちらの興味深い Google Cloud NEXT OnAir プレゼンテーションをご覧ください。

• 最後に、「信頼の減少」をセキュリティ戦略の選択肢に追加しましょう。システム コンポーネントの保護も手ですが、コンポーネントに信頼を置く必要性を減らせるようにシステムを構築することも可能です。成功につなげましょう。

-ソリューション戦略担当責任者 Anton Chuvakin

-Google Cloud シニア プロダクト マネージャー Il-Sung Lee