CSAガイドに基いたホワイトペーパー(第6回CSA勉強会より)

2014年11月26日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

CSA勉強会の内容をできるだけブログ発信していきたいと思います。そこで、まず、11月25日に行われた第6回勉強会より、株式会社 日立システムズの藤井康広氏が行った「CSAガイド等に基づいた日立システムズのクラウドセキュリティの取組み」について報告します。なお、勉強会の資料等については、以下のURLを参照して下さい。

http://www.cloudsecurityalliance.jp/Benkyokai/20141125/DLMenu.html

日立システムズでは、「クラウドサービスのセキュリティに関する取り組み」というホワイトペーパーを公開していて、以下からダウンロードが可能です。

http://www.hitachi-systems.com/cloud/whitepapers/index.html

このホワイトペーパーは、CSAが提供しているガイド(ガイダンス)に基づいて作成されています。勉強会では、その背景、概要等を説明していただきました。以下、その内容についてかいつまんで紹介します。

  1. ホワイトペーパーの必要性
    ホワイトペーパーは、以下の3点のメリットがあるため、クラウドプロバイダには有効です。なお、ホワイトペーパーを最初に公開したクラウドプロバイダは、アマゾンAWSとのことで、その後主なプロバイダがホワイトペーパーの公開あるいはウエブ上でのセキュリティ情報公開を行っているとのことです。

    • ホワイトペーパーで、プロバイダのセキュリティへの取り組みを知っていただき、お客様のプロバイダに対する不安を安心に変えることができる。
    • ホワイトペーパーから必要な情報をたくさん取得できるので、問い合わせが減る。
    • プロバイダの市場での認知度の向上が期待できる。

  2.  なぜCSAガイドか?
    ホワイトペーパーの作成にあたって、CSAガイドを使用した理由は以下の3点です。

    • グローバルな業界標準であること。ちょっとでも海外に進出している企業や海外から日本に進出している企業は、CSAガイドの内容を参照しています。また、RFPにCSAガイドの文言を入れてくるケースも多いとのことです。
    • 目的志向 CSAガイドは、具体的な手順等ではなく、目的レベルの要求事項で記載されているため、ユーザと共同して作成していく時に、コンサルの視点から有用です。
    • 網羅的 CSAガイドは、運用面、実装面で網羅的にまとめられていて、こちらもコンサルの視点から有用です。CSA以外のガイドは、ISMSとかの基準に偏りがちであるとのことです。

  3.  ホワイトペーパーの作成方針
    ホワイトペーパーの必要性に基づいて、以下のように作成しています。

    • 安心セキュリティに関する業界標準に幅広く対応していることを記述しています。これにより、導入コストの削減を可能にしている点がアピールされています。
    • 必要な情報を、より多く CSAガイドとの対応関係、対応状況を詳細に記述しています。また、ホワイトペーパーとは別に詳細な対応一覧表を作成しています。こちらは、一般には公開されていませんが、NDAベースでの提供を行っています。
    • 認知度向上ホワイトペーパーの他に、ダイジェスト版も公開していて、より分かりやすい形での情報提供をおこなっています。

最後に、以下の2点の要望がクラウドプロバイダとして上げられていました。

  • いろいろなガイドや規格が乱立しているので、何をやれば良いかが明確でないし、二度手間になることも多い。関係整備が必要。
  • クラウドセキュリティ規格の一元化が必要。

CSAでは、CCMなどを通して他の規格等のマッピングを行っています。日本でのマッピング(経産省ガイド、総務省ガイド、ASPICなど)も検討していきたい。

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*