2014年11月26日
日本クラウドセキュリティアライアンス　理事
諸角　昌宏

CSA勉強会の内容をできるだけブログ発信していきたいと思います。そこで、まず、11月25日に行われた第6回勉強会より、株式会社 日立システムズの藤井康広氏が行った「CSAガイド等に基づいた日立システムズのクラウドセキュリティの取組み」について報告します。なお、勉強会の資料等については、以下のURLを参照して下さい。

http://www.cloudsecurityalliance.jp/Benkyokai/20141125/DLMenu.html

日立システムズでは、「クラウドサービスのセキュリティに関する取り組み」というホワイトペーパーを公開していて、以下からダウンロードが可能です。

http://www.hitachi-systems.com/cloud/whitepapers/index.html

このホワイトペーパーは、CSAが提供しているガイド（ガイダンス）に基づいて作成されています。勉強会では、その背景、概要等を説明していただきました。以下、その内容についてかいつまんで紹介します。

1. ホワイトペーパーの必要性
   ホワイトペーパーは、以下の3点のメリットがあるため、クラウドプロバイダには有効です。なお、ホワイトペーパーを最初に公開したクラウドプロバイダは、アマゾンAWSとのことで、その後主なプロバイダがホワイトペーパーの公開あるいはウエブ上でのセキュリティ情報公開を行っているとのことです。
   • ホワイトペーパーで、プロバイダのセキュリティへの取り組みを知っていただき、お客様のプロバイダに対する不安を安心に変えることができる。
   • ホワイトペーパーから必要な情報をたくさん取得できるので、問い合わせが減る。
   • プロバイダの市場での認知度の向上が期待できる。




2.  なぜCSAガイドか？
   ホワイトペーパーの作成にあたって、CSAガイドを使用した理由は以下の3点です。
   • グローバルな業界標準であること。ちょっとでも海外に進出している企業や海外から日本に進出している企業は、CSAガイドの内容を参照しています。また、RFPにCSAガイドの文言を入れてくるケースも多いとのことです。
   • 目的志向 CSAガイドは、具体的な手順等ではなく、目的レベルの要求事項で記載されているため、ユーザと共同して作成していく時に、コンサルの視点から有用です。
   • 網羅的 CSAガイドは、運用面、実装面で網羅的にまとめられていて、こちらもコンサルの視点から有用です。CSA以外のガイドは、ISMSとかの基準に偏りがちであるとのことです。




3.  ホワイトペーパーの作成方針
   ホワイトペーパーの必要性に基づいて、以下のように作成しています。
   • 安心セキュリティに関する業界標準に幅広く対応していることを記述しています。これにより、導入コストの削減を可能にしている点がアピールされています。
   • 必要な情報を、より多く CSAガイドとの対応関係、対応状況を詳細に記述しています。また、ホワイトペーパーとは別に詳細な対応一覧表を作成しています。こちらは、一般には公開されていませんが、NDAベースでの提供を行っています。
   • 認知度向上ホワイトペーパーの他に、ダイジェスト版も公開していて、より分かりやすい形での情報提供をおこなっています。

最後に、以下の2点の要望がクラウドプロバイダとして上げられていました。

• いろいろなガイドや規格が乱立しているので、何をやれば良いかが明確でないし、二度手間になることも多い。関係整備が必要。
• クラウドセキュリティ規格の一元化が必要。

CSAでは、CCMなどを通して他の規格等のマッピングを行っています。日本でのマッピング（経産省ガイド、総務省ガイド、ASPICなど）も検討していきたい。

CSAジャパンブログページを新しいサイトに移動しました。

みなさま、どしどしコメントをお寄せください。
よろしくお願いします。

2014/10/20（月曜日）

日本クラウドセキュリティアライアンス　理事　諸角　昌宏

CSA Blogに「Poodle – How Bad Is Its Bite? (Here’s the Data)」の記事がアップされましたので、その概要を紹介します。（2014年10月17日）。記事については、以下のURLを参照して下さい。https://blog.cloudsecurityalliance.org/2014/10/17/poodle-how-bad-is-its-bite-heres-the-data/

POODLE (Padding Oracle on Downgraded Legacy Encryption)は、10月14日に報告された脆弱性で、クラウドサービスに大きな影響を与えるものです。Poodleの詳細なレポートが、Googleの3人のセキュリティアナリスト（Bodo Moller, Thai Duong, Krzysztof Kotowicz）によって作成されました。レポートは以下のURLより入手可能ですので、Poodleの詳細を理解したい人はこちらを参照してください。

Poodlsは、SSL v3あるいはSecure Sockets LayerプロトコルVersion3に影響を与えるもので、攻撃者がcookieをハイジャックまたは復号化できてしまうものです。これにより、パスワードなしにアカウントやセッションを乗っ取ることができてしまいます。 SSL V3自体は、すでに古いもので、TLSに置き換えられていますが、下位互換性のためにApache等のウエブーサーバでサポートされています。このフォールバック機能により、TLSで接続できなかった場合に、SSL v3で接続されてしまうことになり、この脆弱性の影響を受けることになります。

解決策としては、サーバ側でSSL V3プロトコルを無効にし、TLSv1.0以上で接続するようにすることです。もう1つ、企業のブラウザおよびプロキシー（フォワードプロキシー）で、SSL v3を無効にし、TLSv1.0以上を許可するようにすることです。別の対策として、OpenSSLが出しているパッチ（CVE-2014-3566）を適用し、TLS_FALLBACK_SCSVを有効にする方法があります。ただし、このパッチは、サーバとクライアントの両方に適用されている場合に有効になるため、どちらかが適用されていない場合にはSSL v3にダウングレードしてしまう可能性があります。したがって、これはTLSに対応していない（SSL v3で 接続しなければならない）サーバにどうしてもアクセスしなければならないケースで、社内システム等で攻撃者から狙われる可能性の無い環境である場合の処置 と考えた方が良いようです。これは、パッチを適用する必要が無いということではなく、パッチを適用することは推奨されますが、根本的な対応は、あくまでSSL v3を無効にすることです（このパッチの内容等については、こちらのubuntuの情報を参照）。

現時点（記事が出された時点）で、まだ61%のクラウドサービスがPoodleの脆弱性に対応していないということです。クラウドプロバイダの早急な対策が必要とのことです。

2014/10/09（木曜日）

日本クラウドセキュリティアライアンス　理事　諸角　昌宏

9月に開かれたCSA Congress 2014について、CSA(U.S.)のブログに４つの主なトピックについてレポートされましたので紹介します。原文は、以下のURLになりますので、合わせて参照してください。

https://blog.cloudsecurityalliance.org/2014/10/01/csa-congress-recap-roundup/

1. Ron Knode Award Winners CSA Congressでは、毎年、CSAの活動に非常に貢献のあったメンバーにRon Knodeアワードを与えています。この賞は、2012年に他界したRon KnodeのCSAに対する偉大な貢献、また、ボランティア精神にかける情熱を受け継いでいくために作られたものです。今年は、3名の方が表彰され、その中に、日本から勝見さんが選ばれました。昨年12月のCSAジャパン設立を含む彼の多大な貢献に対して与えられた賞で、CSAジャパンとしても大変誇らしく思います。アワードの詳細は、以下のURLを参照してください。 https://cloudsecurityalliance.org/media/news/csa-announces-annual-ron-knode-service-award-recipients/
2. Big Data Taxonomy Document CSA のBig Data Working Groupが、Big Data Taxonomy Documentを公開しました。これは、データドメイン、コンピュート/ストレージインフラ、データ解析、可視化、セキュリティ、プライバシーというよ うな非常に多岐にわたってビッグデータをどのように選択していくかのガイダンスレポートとなっています。 詳細は、以下のURLを参照してください。https://cloudsecurityalliance.org/media/news/csa-releases-new-big-data-taxonomy-report/
3. CSA Survey Finds IT Professionals Underestimating How Many Cloud Apps Exist in the Business Environment CSAが、新しいサーベイの結果を公表しました。本サーベイでは、IT関係者や専門家が自身の環境で使っていると思っているクラウドベースのアプリケーションの数とクラウドアプリケーションベンダーが報告しているアプリケーションの数に非常に大きな違いがあるということに着目したレポートとなっています。 詳細は、以下のURLを参照してください。 https://cloudsecurityalliance.org/media/news/csa-survey-professionals-underestimating-cloud-apps-usage/
4. Hackathon On! Cloud Security Alliance Challenges Hackers to Break its Software Defined Perimeter (SDP) at CSA Congress 2014 CSAが、第2回Hackathonを開始しました。これは、CSAのSoftware Defined Perimeter (SDP)仕様に基づいて、パブリッククラウド上に展開されたサーバに侵入して秘密の情報をつかめるかどうかを競うものです。世界中から参加することができます。最初に破ることができた人には、10,000ドルの賞金が与えられます。Hackathonは、まだ続いていますので、挑戦してみてください。 詳細は、以下のURLを参照してください。 https://blog.cloudsecurityalliance.org/2014/09/18/csa-hackathon-on-launches-today-at-csa-congress-2014/

2014/09/25（木曜日）

日本クラウドセキュリティアライアンス　業務執行理事　勝見　勉

さて、CSA Congress 2014の報告 第2弾になります。

オープニングで音楽が鳴り終ってまず登場したのが、総合司会の方。IAPPのえらいさん（No.2か3）なのですが名前は聞き取れませんでした。イベント全体の進行役。偉い人。にしてこれです。アメリカはcasual。日本みたいに〇〇端麗なMCの登場ということはまずありません!!むしろ、そこそこの地位の人がspeakerを紹介する、というのが礼儀のようです。CSA主催のイベントの場合は、その役はいつもJim Reavisです。
ところで服装について言えば、TシャツGパン姿もいる中で、スーツにネクタイの人もいます。最近の日本ならあり得そうな「短パン」は、でも、全然いませんでした。（全体で300-400人集まっている中で）基本的にプロトコルがないかというと、日本よりは「あり」だと、私は見ています。参加者への案内メールには、服装にも触れています。今回の場合は「go sport!」。
それでも初日のIAPPのaward、締めの全体集会でのCSAのawardは、渡す側はスーツにネクタイ。受け取る側は、ネクタイありもいましたが、おおむねジャケットノーネクタイ。この会議はそれほど過激じゃないと言えるでしょう。私に賞を手渡してくれたJim Reavis（CSAのCEO）は、トラブルかあって急きょ自宅からスーツを取り寄せたとか。FedExの迅速さと「私の奥さんは私の靴のサイズを分かっている」こととをたたえて（ノロ気て？）笑いをとっていましたが。

服 装でもうひとつ面白いのは、夕方のパーティ（会場内で立食・スナック程度）になると、女性の多くはいつの間にかドレスに着替えて現れること。時には男も派 手なボウタイなどして登場する奴もいますが。ひんしゅく覚悟で言うと、きれいな女性ほどよりきれいになって登場したりしますね。
さて、少しマジな話。でももう一つトピック。
プログラムでKeynote speakerとして紹介されていた、Adrienne Hall, General Manager, Trustworthy Computing, Microsoft Corp.が突然キャンセル。理由は皆さん、今なら察しが付くかもしれませんが、MSの突然のリストラ発表にありました。Trustworthy Computing (TWC)部門の解散と一部解雇および配置換えが行われたためでした。これは18000人リストラ計画の一環と読めますが、MSにおけるソフトウェア品質の元締め、少なくともそのシンボル的存在であったTWCの閉鎖は、ショッキングなニュースでした。Jim Reavisも、MSで何があったのか、と心配していました。

関連して、ZDNet Japanはその記事の中でこう指摘しています（記事の内容については、こちらを参照してください）。「折しも、問題のある月例パッチ（セキュリティに関連するものと関連しないものの双方）がコンシューマーの元に届けられるという事態が増えてきていると考えられる点について、多くのITプロフェッショナルの間で懸念が高まってきている。」Jim同様、私も心配です。

さて、続報は準備でき次第お伝えします。

なお、プログラムとプレゼンファイルはこちらにあります。ご参考までに。https://privacyassociation.org/conference/iapp-privacy-academy-2014/https://privacyassociation.org/conference/iapp-privacy-academy-2014/sessions/#1BAF591D-4633-40E3-912F-B513FC585871

2014/09/22（月曜日）

日本クラウドセキュリティアライアンス　業務執行理事　勝見　勉

CSAとして、Congress（秋に行う、教育プログラムを含んだグローバルカンファレンス）は５回目のはずです。昨年まではフロリダ州オーランド（Disney Worldで有名）で、MIS Training Instituteがorganizerとなって実施されてきましたが、今年はIAPP(International Association of Privacy Professional)との合同で、IAPP Privacy Academy & CSA Congress 2014 として、場所もシリコンバレーの中心、San Jose Convention Centerに移っての開催です。
16,17日とpre-conference eventがあり、18日と19日がメインプログラムとなっています。
17日と18日には、コンファレンスプログラムが終了後、展示エリアでのdinnerまでの間の5 minutes mixer hourが行われました。これは日本でいえば集団お見合いイベントに似ていて、長いテーブルを挟んで向かい合わせに座った人同士が自己紹介したり、共通関心領域やビジネスの可能性を探ったりする場で、5分経つと椅子を一つずつずれる、ということで、多くの出会いを演出する趣向です。1時間もやるので、ロスタイムを入れても10人ぐらいとは話ができるわけで、なかなか効率の良い「商談発掘の場」と言えそうです。
オープニングキーノートのトップバッターは、Judith Donathという、ハーバードのフェロー、前MITメディアラボ・ソーシャルメディアグループのディレクターという経歴の女性でした。プライバシーについての考察でした。60年 前のカフェのスナップ写真を紹介し、皆正装してお茶を飲んでいると指摘。そこから人々はどんどんカジュアルになる、つまり「公」と「私」の境・垣根が低く なる方向に行き、一方「公」におけるセキュリティ目的の監視は激しくなる、という中でプライバシーはどう担保されるのか、という切り口での考察でした。
ア メリカでは、「個人情報」よりもプライバシーが強く意識されています。逆に言うと個人情報、特に個人識別情報については、全くオープンです。この会議の配 布資料にも、参加登録したすべての人の氏名と所属がリストとして入っています。私の個人的感覚からは、こちらがまともに見えますが。
ということで、物理・サイバーを含むセキュリティを確保するための公的部門の役割と、そのために収集されるプライバシーにかかわる情報の保護と利用は、ますます複雑な、いろいろの考えが錯綜する課題となりそうだ、という感じで聞いていました。

続報は、準備でき次第お伝えします。
なお、プログラムの詳細はこちらを参照してください。https://cloudsecurityalliance.org/events/csa-congress-2014/

2014/08/29 （金曜日）

日本クラウドセキュリティアライアンス　理事　諸角　昌宏

CSA（米国）は、第2回Hackathonを9月開催のCSA Congress 2014で開始することをアナウンスしました。

これは、CSAが公開するパブリッククラウドに対して、世界中から参加者が侵入を試み、見事侵入に成功して目的の情報を入手した場合には、CSAが$10,000の賞金を差し上げるというものです。

このパブリッククラウドは、Software Defined Perimeter (SDP)によって守られています。第１回のHackathonは、今年の2月のRSA Conferenceで行われ、5日間に世界中（中国、ロシア、米国、ブラジル、ルーマニア、ハンガリー、アルゼンチン、香港、英国、チリ、韓国、その他）から100,000以上のアタックが行われましたが、誰も成功しませんでした。

CSAでは、SDP Working GroupでSDPの研究を進めており、セキュリティが非常に重要である企業や政府機関によって業界標準として広く採用されるように進めています。

第2回Hackathonの詳細につきましては、英語になりますが、以下のURLを参照してください：

https://cloudsecurityalliance.org/media/news/hackathon-on-cloud-security-alliance-challenges-hackers-to-break-its-software-defined-perimeter-sdp-at-csa-congress-2014/

みなさまも挑戦してみてはいかがでしょうか。

2014/08/12 （火曜日）

日本クラウドセキュリティアライアンス　理事　諸角　昌宏

CSAのブログに、2014年8月4日にアップされた“THE 20 TOTALLY MOST POPULAR CLOUD SERVICES IN TODAY’S ENTERPRISE”について、その概要を報告します。詳細（英語）につきましては、以下のURLを参照してください。また、詳細なレポートもこのウエブページの最後にポイントされていますので、合わせて参照してください。

https://blog.cloudsecurityalliance.org/2014/08/04/the-20-totally-most-popular-cloud-services-in-todays-enterprise/

このブログでは、もっとも人気のあるクラウドサービスについて、企業向けおよびコンシューマ向けのそれぞれについてのサーベイの結果を記述しています。サーベイは、Skyhigh Networks社が、200以上の企業の1050万人の従業員に対して行っています。

なお、実際のTop20のリストについては、上記URLを参照してください。ここでは、ブログに書かれている特長/傾向について記述します。

1. 企業向けクラウドサービス状況

もっとも人気のある企業向けクラウドサービスTOP5

• Amazon Web Services
• Office 365
• Salesforce
• Cisco WebEx
• Box

以下の4つのベンダーが、レガシーのオンプレミスのソフトウエアをクラウドに移行するのに成功している：

• Microsoft Office 365
• SAS On Demand
• Informatica Cloud
• Ariba

以下の3つのプロバイダが、数十億ドル（数兆円）を達成している：

• Salesforce
• ServiceNow
• SuccessFactors

Top4カテゴリーは以下である：

• コラボレーション(4)
• ビジネスインテリジェンス(2)
• 開発(2)
• マーケティング(2)

2. コンシューマ向けクラウドサービスこれは、コンシューマ向けサービスであるけれども、企業で利用されているということになります。

もっとも人気のあるコンシューマ向けクラウドサービスTOP5

• Facebook
• Twitter
• Apple iCloud
• Youtube
• LinkedIn

上位を占めるプロバイダ

• Google
• Yahoo
• Facebook

Top3カテゴリー

• コンテンツ共有(7)
• ソーシャルメディア(7)
• コラボレーション(4)

なお、コンシューマ向けアプリケーションを企業で使用する場合、Data Lossのリスクがあるということを本ブログでは指摘しています。このData Lossは、マルウエアによって引き起こされるもので、注意が必要とのことです。

2014/08/04 （月曜日）

日本クラウドセキュリティアライアンス　理事　諸角　昌宏

7月30日に行われた掲題の勉強会の内容について概要を報告します。

まず、日本HP社の吉田豊満さんからCCSK資格について、試験内容、および、日本HPさんで行われているCCSKトレーニングについて説明がありました。

1. CCSK試験についてクラウドコンピューティングにおけるセキュリティスキルの重要性から、2010年にリリース。資格取得状況は、正確な数字は無いが、全世界で数千人（毎年倍々で増えている）、日本人の取得者は30人程度。試験の合格率は60%程度とのことです。
2. CCSK試験内容広範囲かつ基本的な知識をテスト。必要な知識は、CSAのガイダンスおよびENISA。試験は、オンラインでの選択方式。
3. CCSKのトレーニング日本HP社では、以下の2つのコースを開設

　　　　①     CCSK Foundation （座学）

　　　　②     CCSK Plus (AWSを使った演習)

次に、ラスカウスキー 照美さんによる、CCSK試験の内容、CCSKトレーニングの内容の説明がありました。ラスカウスキーさんは、情報セキュリティコンサルタントとして25年くらいの経験があり、トレーニングも行っています。

1. CCSK試験の内容 ITの資格には、クラウドがほとんど入っていないのが現状。CCSKは、クラウドのセキュリティに特化した試験。

　　　　①     試験内容 Internetでの受験となる。情報を見ながら行うことが許されている。したがって、横にCSAのガイダンス、ENISA、Googleを開いて行うことができる。ガイダンス等を読んでおくことで、質問の該当箇所がどこかがわかるのがよい。なお、Internet接続が確実なところで受験するのが良い。途中で回線が切れたりした場合には、試験自体が終了となってしまうため。

　　　　②     合格への近道トレーニングを受講するのは有効。 CSAガイダンス、ENISAリスクレポートを読む。トレーニングを受けたら、速やかに試験を受ける。

2. CCSKトレーニング Foundationは、6つのモジュールから構成されている。CSAのガイダンスの各domainは、それぞれモジュールのどこかに入っている。 CCSK Plusのトレーニングは、ハンズオン・トレーニングで、AWSを使ったパブリッククラウドの実習（WordPressを使ったブログシステムを作る）、および、OpenStackを使ったプライベートクラウドの実習となっている。CCSK試験にはあまり関係ないが、実習を通して使用してみることでより知識が深まることになる。

最後に、諸角よりCCSK体験談を説明しました。CCSK対策のポイントとしては、以下の5点があります。

1. CSAガイダンスとENISAのリスクレポートは熟読する。CSAガイダンスの推奨事項はできるだけ抑えておく。また、ENISAの用語についても抑えておく。
2. 試験時間は十分ある。経験では、一度すべて回答し、再度すべての回答をレビューしても余るくらいの時間はあるので、あせらず進める。
3. 回答ごとのチェックをうまく利用する。「Mark for review…」というボタンがあるので、不確かな回答については後でレビューできるようにこれをマークしてから次の問題に進む。
4. V3.0は、V2.1に比べて、クラウドセキュリティの一般知識で回答できる問題が増えているようである。
5. 試験の結果は公開され、ドメインごとの正解率が表示されるので、結果を見て弱いドメインについて勉強する。

なお、勉強会の資料は、CSAジャパンのウエブサイトより公開されています。こちらを参照してください。

2014/07/8 （火曜日）

ブログを開始します。CSA-JCメンバーによるクラウドセキュリティに関する情報を、ここから発信します。

また、CSAのBLOGから、興味深い内容について翻訳あるいは解説付きで公開します。

日本クラウドセキュリティアライアンス　理事　諸角昌宏