クラウドデータの安全な保存技術(その1)
2016年 7月 7日
馮朝勝:四川師範大学コンピューター科学学院 教授、
電子科技大学コンピューター科学・エンジニアリング学院
1971年生まれ。ポストドクター、教授。修士課程指導教官。中国コンピューター学会(CCF)シニア会員。主な研究分野はクラウドコンピューティング、プライバシー保護、データセキュリティ。
秦志光:電子科技大学コンピューター科学・エンジニアリング学院 教授
1956年生まれ。博士、教授。博士課程指導教官。今後の研究分野は情報セキュリティ、分散コンピューティング。
袁丁:四川師範大学コンピューター科学学院 教授
1967年生まれ。博士、教授。主な研究分野はデータセキュリティと暗号理論。
概要
クラウドコンピューティングは資源利用率が高く、コストが節約できる等、多くの優れた点があるため、未来のコンピューティングモデルの主流となりつつある。しかし、プライバシー保護を含むデータの安全な保存技術に関する問題は、クラウドコンピューティング普及の大きな障害となっている。本稿では、まずクラウドコンピューティングのデータセキュリティにおける主な課題を列挙し、クラウドコンピューティングのテナントビジネスモデルと、そこで採用される2つの重要技術、すなわち、仮想化技術とマルチテナント技術こそ、クラウドストレージに多くのセキュリティ問題が存在し、ひいてはセキュリティ面におけるパラドックスの根本原因であることを指摘した。また、暗号化保存からセキュリティ監査、暗号化によるアクセス制御という3つの面からクラウドデータの安全な保存に関する最新の研究成果を論評した。暗号化保存に関しては、クラウドデータの安全保存のフレームワークと主な安全保存技術を紹介した。セキュリティ監査に関しては、外部データのセキュリティ監査、特に公開監査における主な課題を分析し、クラウドデータを含む外部データの完全性に関する公開証明の主なモデルと方法を紹介し、かつ、それらの長所と短所を指摘した。また、クラウド暗号化によるアクセス制御については、属性ベース暗号によるアクセス制御方法について詳述した上で、それらの方法の優劣を指摘した。そして最後に、クラウドデータの安全保存に関する研究の主な問題を示した上で、今後の研究の方向性を予測した。
[キーワード] クラウドコンピューティング、データ保存、データ暗号化、セキュリティ監査、暗号化によるアクセス制御
1 はじめに
クラウドコンピューティング[1]は情報システムの計算及び保存能力の不足、資源利用率の低さ、IT設備への過大な投資、システム管理の煩雑さ等の問題を効果的に解決できるため、高い注目を集めている。Gartnerのデータによれば①、クラウドコンピューティングはすでに仮想化技術に取って代わっており、2011年のGlobal CIOにおいて最も注目される技術分野となった。2009年の世界のパブリッククラウドサービスの市場規模は約586億米ドルで、2014年までに1488億米ドルに達する見込みである。一方、中国の被調査企業の55%は、2013年にはIT予算全体の10%以上をクラウドコンピューティング関連の調達に当てると答えている。CCIDコンサルティング(賽迪顧問)の発表した『中国クラウドコンピューティング産業発展白書』②(2011年版)によれば、中国では今後3年間で政府、電気通信、教育、医療及び金融等の業界を中心にクラウドコンピューティングが実用化され、市場規模は2010年の167.31億元から2013年には1174.12億元に達し、複合年間成長率は91.5%に達する見込みだ。クラウドコンピューティングのコンセプトは、低炭素経済とグリーンコンピューティングという現代社会の全体的な方向性とマッチし、未来のインターネット空間のニューラルネットワークへと発展する可能性が高いことから、各国政府が大々的に提唱し、推し進める運びとなっている。
クラウドコンピューティングの急速な発展と同時に、そのセキュリティ問題、特にデータ保存におけるセキュリティとプライバシーの問題が日増しに大きくなっている[2-3]。アメリカGartnerの2009年の調査結果によれば、被調査企業のCTOの70%以上が、クラウドコンピューティングを現在採用していない最大の原因はデータセキュリティとプライバシーにおける懸念にあると答えている。また、最近、AmazonやGoogle等のクラウドコンピューティングの発案者でさえ様々なセキュリティ関連事件に相継いで遭遇していることも、不安を高める原因となっている。例えば、2009年3月、Googleで大量のユーザーファイルの漏洩事件が発生した③。2010年6月にはAppleでiPadユーザーのプライバシー漏洩事件が発生した④。ネットワーク大手のCisco社CEOのJohn Chambersは、データセキュリティはクラウドコンピューティングが発展する上での「悪夢」になり得ると予言している。
クラウドコンピューティングにおけるデータ保存のセキュリティ問題は、研究界と産業界の双方から広く注目を集めるに至っており、データの暗号化保存、セキュリティ監査及び暗号化によるアクセス制御という3つの分野で関連研究が繰り広げられている[4]。本稿では、この中でも代表的な研究について分析を行い、問題を取りまとめた上で、クラウドデータの安全な保存に関する研究の将来性を予測する。
2 クラウドデータの安全な保存における課題
2.1 クラウド環境のデータセキュリティにおける課題
既存の情報システムでは、データセキュリティについては主にデータの暗号化保存と送信、セキュリティ監査とディザスタリカバリ(DRS)・バックアップに注目していた。一方、クラウドでは、これら以外にも注意を払う必要がある。クラウドコンピューティングの特徴によって⑤、集中的なデータ保存を実現し、様々なユーザーの多様なデータの安全な隔離を確保する必要があることが決定づけられた。クラウド側のサーバーはダウンする可能性もあるため、このような状況で如何に安全かつ効果的にデータの移行を行うかが非常に重要となる。クラウドコンピューティングではテナント方式によってユーザーに資源を提供している。つまり、あるユーザーが使用した保存エリアは他のユーザーに使用される可能性があるため、データ残留問題を解決する必要がある。
クラウド環境におけるデータの安全な保存には、以下の課題がある[4-5]。
(1) データの暗号化保存
既存の情報システムでは、一般的に暗号化方式を採用して保存データのセキュリティとプライバシーを確保する。一見、クラウドでも同じ様にできそうだが、実現は容易ではない。IaaS型クラウド(Infrastructure as a Service, IaaS)では、ユーザーが使用を承認された仮想化資源はユーザーによる完全制御が可能なため、データの暗号化は必須であり、かつ、実現は容易である(パブリッククラウドかプライベートクラウドかに関わらず)。しかし、PaaS型クラウド(Platform as a Service, PaaS)又はSaaS型クラウド((Software as a Service, SaaS)においては、データは暗号化されると途端に操作が困難になる。クラウドにおいては、クラウドアプリケーションやプログラムによる処理が必要となるいかなるデータも暗号化されてはならない。何故なら、データはひとたび暗号化されると、検索や演算と言った多くの操作が難しくなり、実行不可能なものさえあるからだ。クラウドにおけるデータ保存にはこのようなセキュリティ面のパラドックスがある。暗号化すればデータは処理不能となり、暗号化しなければデータのセキュリティとプライバシーは保証されないのである。
(2) データの隔離
マルチテナント技術はPaaS型クラウドとSaaS型クラウドで用いられる重要技術である。マルチテナント技術に基づいたシステムフレームワークでは、複数のテナント又はユーザーのデータが同じ保存メディアに保存され、同じデータシートに保存されることさえある。クラウドサービスプロバイダーはデータ隔離技術(例としては、データ認証子とアクセス制御が結びついたもの)を使用して、混合保存データへの非認証アクセスを防止するが、プログラムの脆弱性をついた非認証アクセスは尚も実現可能である。例えば、2009年3月にGoogle Docsにおいて、ユーザー間でファイルへの非認証相互アクセスが発生した。一部のクラウドサービスプロバイダーは第三者に監査を依頼し、又は、第三者の安全なソフトウェアツールを利用した検証を実施しているが、プラットフォーム上のデータは個別の組織を対象とするわけではないため、監査基準の統一が難しくなっている。
(3) データの移転
クラウドサーバー(ここで言うサーバーとは、SaaS型クラウドとPaaS型クラウドを提供する実機を指す。IaaS型クラウドについては、サーバーは実機又は仮想マシンを指す)がダウンした際に、進行中のサービスの継続を確保するためには、現在進行中の作業を他のサーバーに移転する必要がある。プロセスの移転は、実質上は当該プロセスに関連するデータの移転であるため、移転されるデータにはメモリ及びレジスタ上の動的データ(又はスナップショット)のみならず、ディスク上の静的データも含まれる。サーバーダウンの発生をユーザーに気づかれないようにするためには、データ移転はスピーディに行う必要がある。また、新しい機器上でプロセスの運用を回復するためには、データの完全性を確保しなければならない。このほか、進行中のプロセスが機密データである場合には、移転途中で漏洩しないように確保する必要もある。
(4) データの残留
データの残留とは、データ削除後の残留形式を指す(論理上は削除されているが、物理的にはまだ存在している)。データの残留によってセンシティブ情報が意に反して公開されてしまうこともあるため、データを削除したとしても、保存メディアは、例えばごみ箱に捨てたり、第三者に渡したり等、制御不能な環境に放出してはならない。クラウドアプリケーションにおいては、データの残留によって、あるユーザーのデータが意に反して非認証の相手に公開されてしまう可能性がある。それは、SaaS型クラウド、PaaS型クラウド、又はIaaS型クラウドのいずれでも発生し得る。もし、非認証データが漏洩した場合には、ユーザーは第三者に依頼し、又は第三者の安全なソフトウェアツールを利用してクラウドサービスプロバイダーのプラットフォーム又はアプリケーション・プログラムの検証を行うことができる。現時点では、データ残留問題を解決できているクラウドサービスプロバイダーは存在しない。
(5) データセキュリティの監査
データがクラウド上に外部保存されている場合には、ユーザーは以下2つの問題に注意する必要がある。第1に外部保存データがクラウド上に保存され、かつ、データ所有者の所有に帰していること、そして第2にデータ所有者又は認証ユーザー以外のいかなる者もデータを更新できないことである。これら2つの問題の解決は、いずれもセキュリティ監査から離れることはできない。データが当事国又は企業が信頼できるエリアに保存されている場合はセキュリティ監査が実施しやすいが、データはひとたびクラウド上に外部保存されると、セキュリティ監査は難しい問題になる。ユーザーが全てのデータをダウンロードした後に監査を行うのは不可能なのは明らかである。何故なら、この方法は莫大な通信コストが必要となるからだ。実現可能な方法とは、ある種のスマート証明プロトコル又は確率分析手法によって、少量のデータを取り戻すだけで、クラウドデータの完全性が保たれているか、又はユーザーの所有に帰しているかを高い信頼度で判断できるものである。
2.2 クラウドストレージにおける問題の原因
クラウドコンピューティングのビジネスモデル及びそこで採用される2つの重要技術、すなわち、仮想化とマルチテナント方式こそ、セキュリティ面で課題が突きつけられる主な原因である。
2.2.1 クラウドコンピューティングのビジネスモデル
クラウドコンピューティングのビジネスモデルは本質的にはテナントモデルである。資源のテナントタイプに基づき、計算資源テナントモデルとメモリ資源テナントモデルに分類でき、それぞれ計算の外部委譲とメモリの外部委譲と呼ばれる。
既存のモデルでは、個人ユーザー又は企業ユーザーはデータを制御可能かつ信頼可能なエリア(個人ユーザーにとっての制御可能かつ信頼可能なエリアとは、自分が使用する端末を指す)に保存するため、ユーザーは自分のデータを完全に制御することができる。ユーザーがパブリッククラウドを利用してデータを保存する場合、すなわち、データを外部保存する場合は、データはもはや自分の制御可能かつ信頼可能なエリア内にはなく、クラウドサービスプロバイダーの制御エリア内にある。図1に示すように、このような状況では、ユーザーのプライバシーとデータはクラウドサービス業者だけでなく、競争相手を含む他のユーザーにも漏洩する可能性がある(クラウドサービスプロバイダーは商売目的でユーザーのプライバシー情報を販売するかもしれないからだ)。プライベートクラウドにおいても、同じような状況が存在する。つまり、個人ユーザーのプライバシー情報は同じように漏洩しやすいが、漏洩範囲がその組織内部の従業員に限られる等、大幅に縮小される点が異なるだけだ。もし、計算の外部委譲のみを採用した場合には、対応するクラウドコンピューティングのモデルはSaaS型クラウド及びPaaS型クラウドとなるが、この2つのモデルは前述のとおり(少なくとも現時点は)、処理対象データに対する暗号化はできない。このような状況では、ユーザーのセンシティブ情報はクラウドサービスプロバイダーや同じ機器を用いる他のテナントに簡単に漏洩されてしまう。
図1 パブリッククラウドに基づく企業情報システム配置図
2.2.2 仮想化技術
仮想化[6]は、IaaS型クラウドで採用される重要技術であり、資源が動的に伸縮可能で、充分に利用される上で重要な根拠となる。CPUやメモリ等のハードウェア資源の仮想化によって、同じ物理マシン上で複数台の仮想マシンを同時に稼働させることができる(IaaS型クラウド)。これらの同じハードウェア資源を共有する仮想マシンが仮想マシンモニター(Virtual Machine Monitor, VMM)の制御下で互いに離れたところにあった場合に、図2に示すデータ保護措置を講じていたとしても、攻撃者は仮想マシン(VM)エスケープや流量分析、サイドチャネル攻撃等の攻撃手段によって、1台の仮想マシンから他の仮想マシン上のデータを入手することができる。
図2 仮想化環境におけるデータの安全保存モデル
2.2.3 マルチテナント技術
マルチテナント[6]技術はSaaS型クラウドで採用される重要技術である。この技術によって、クラウド内の同じアプリケーション(例えば、Google Docs)の複数テナントによる同時使用が可能となる。(図3で示すように)、これらのテナントのデータは一般的に同じデータシート上に保存されているが、データ認証子によって区分され、アクセス制御技術によって各テナントは他のテナントのデータにアクセスできず、自分のデータのみにアクセスできるよう確保されている。しかし、悪意あるテナントは脆弱性への攻撃やサイドチャネル攻撃によって、他のユーザーのデータを入手できる[7]。
図3 マルチテナント技術のイメージ[6]
外部委譲モデル、仮想化技術及びマルチテナント技術がクラウドデータの安全な保存にもたらす影響は表1のとおりである。表1から容易に分かるように、クラウドデータの安全な保存において注目されるポイントは、暗号化保存、セキュリティ監査及び暗号化によるアクセス制御である。これら3つの技術はそれぞれ機密性、完全性及び可用性というデータの安全保存における3大目標を確保するために利用される。表に列記された解決プランのいくつか、例えば準同型暗号モデル等は、まだ理論上の模索段階にある。データ残留問題については、現時点ではまだ解決プランが見つかっていない。
外部 委譲 モデル |
クラウド サービス モデル |
テナント 資源 (共有) |
重要 技術 |
セキュリティ上の課題 | 解決策 |
計算
|
SaaS 又は PaaS
|
CPU+ メモリ |
マルチ テナント |
クラウドサービスプロバイダーによるスナップショットを利用したメモリデータの入手 同一マシン上における又は他のユーザーによるユーザーデータの盗用(データ隔離問題) |
準同型暗号 アクセス制御 |
保存 | IaaS
|
外部 メモリ
|
仮想化 | クラウドサービスプロバイダー又は他のユーザーへのデータ又はプライバシーの漏洩 サービスプロバイダーによるユーザーデータの断りなき削除(データセキュリティの監査) ユーザーが削除済みのデータの他のユーザーによる入手(データ残留) |
暗号化+アクセス制御 データセキュリティの監査 特になし |
計算+ 保存 |
SaaS 又は PaaS
|
CPU+ メモリ+ 外部 メモリ |
マルチ テナント |
クラウドサービスプロバイダーによるスナップショットを利用したメモリデータの入手 同一マシン上における又は他のユーザーによるユーザーデータの盗用(データ隔離問題) クラウドサービスプロバイダー又は他のユーザーへのデータ又はプライバシーの漏洩 サービスプロバイダーによるユーザーデータの断りなき削除(データセキュリティの監査) ユーザーが削除済みのデータの他のユーザーによる入手(データ残留) |
準同型暗号 アクセス制御 暗号化+アクセス制御 データセキュリティの監査 特になし |
計算+ 保存 |
IaaS
|
CPU+ メモリ+ 外部 メモリ |
仮想化 | クラウドサービスプロバイダー又は他のユーザーへのデータ又はプライバシーの漏洩 サービスプロバイダーによるユーザーデータの断りなき削除(データセキュリティの監査) ユーザーが削除済みのデータの他のユーザーによる入手(データ残留) データの安全な移転 |
アクセス制御+暗号化 データセキュリティの監査 特になし スナップショット+ 外部メモリの共有 |
(その2へつづく)
参考文献
[1] Mell P, Grance T. The NIST definition of cloud computing. National Institute of Standards and Technology (NIST), Washington, USA: Technical Report Special Publication800-145,2011
[2] Feng Deng-Guo, Zhang Min, Z hang Yan. Study on cloud computing security. Journal of Software,2011,22(1):71-83(in Chinese)(馮登国、張敏、張妍。クラウドコンピューティングのセキュリティに関する研究。ソフトウェア学報,2011,22(1):71-83)
[3] Kaufman L M. Data Security in the world of cloud computing. IEEE Security &Privacy,2009,7(4):61-64
[4] Takabi H, Joshi J B D, Ahn G. Security and privacy challenges in cloud computing environments. IEEE Security &Privacy,2010,8(6):24-31
[5] Ren Kui, Wang Cong, Wang Qian. Security challenges for the public cloud. IEEE Internet Computing,2012,16(1):69-73
[6] IBM. Virtualization and Cloud Computing. Beijing: Publishing House of Electronics Industry,2009(in Chinese)(IBM、仮想化とクラウドコンピューティング。北京:電子工業出版社,2009)
[7] Kamara S, Lauter K. Cryptographic cloud storage//Proceedings of the 14th International Conference on Financial Cryptography and Data Security.Berlin,Germany,2010:136-149
関連リンク
- http://www.gartner.com/newsroom/id/1526414
- http://tech.ccidnet.com/zt/cwb/images/cloudbook.pdf
- http://www.techcrunch.com/2006/12/28/gmail-disasterreports-of-mass-email-deletions/
- http://techcrunch.com/2010/06/15/ipad-breach-personaldata/
- http://www.cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
※本稿は馮朝勝,秦志光,袁丁「雲数拠安全存儲技術」(『計算機学報』第38卷 第1期、2015年1月,pp.150-163)を『計算機学報』編集部の許可を得て日本語訳・転載したものである。
記事提供:同方知網(北京)技術有限公司