月別アーカイブ: 2015年2月

CSA勉強会「金融向けクラウドの最新動向 ~事例、FISC、ベンダの動き」

2015年2月26日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

2月25日に行われたCSA勉強会「金融向けクラウドの最新動向 ~事例、FISC、ベンダの動き」に参加しました。講師は、株式会社電通国際情報サービス クラウドエバンジェリスト、社団法人クラウド利用促進機構 (CUPA)運営委員・総合アドバイザの渥美俊英氏です。

まず、クラウド利用の最近の動向として、昨年から金融機関のクラウド事例が次々と公開され大きなインパクトを与えているということでした。以前であれば、公開されることの無かった金融機関の業務システムの内容が、昨年からは具体的に事例公開されるようになったということは、驚くべきこととのことです。

金融機関のクラウド事例は以前からあり、数年前にはECOポイントをセールスフォースで実現しましたが、最近は本格的なパブリッククラウドであるAWS等が利用され、かつ、実際の業務システムをクラウド化するということで、ミッションクリティカルなシステムでもAWS等が利用されるという流れになってきています。

この流れを牽引しているAWSですが、AWS Summit 2014でソニー銀行やマネックス銀行のクラウド事例が、インテグレータではなくエンドユーザの目線で情報公開されたため、よりビジネスよりの詳細な内容が出てくることになりました。もはや、クラウドは、テクノロジの選択ではなく、ビジネスの選択であるということを印象づけることとなり、これからはインテグレータの提案の仕方も変わらざるを得ないということのようです。

また、FISCからセキュリティリファレンスおよびクラウド利用推進の報告書が公開され、金融機関に対するクラウド利用に向けた対応の指針となるとともに、他の業種へのリファレンスとして活用できるようになってきました。

IaaS市場の動向は、Magic Quadrant(勉強会資料には非掲載)によると、AWSの独走であったものが、昨年からMicroSoftが猛烈に追随してきているとのことです。また、IBMもSoftlayerの買収を経て追随してきており、Googleも来ているという状況です。また、国産クラウドも独自性を出して進めているという状況のようです。まさに、群雄割拠の状況になってきているようです。また、クラウド利用も以下のように変化してきています。

  1. オンプレの安価な代替
  2. ミドルウエア(DB等)の代替
  3. 運用保守の自動化
  4. クラウド流の開発プロセス基盤

このように、クラウド業界は、大きく動いており、しかも数カ月単位で変化している状況ですので、今後も注目していく必要があります。

詳細については、勉強会の資料が後日公開されますので、あらためてご連絡します。

また、リプレイ開催も以下のように行われるようですので、ご利用ください。http://www.cloudsecurityalliance.jp/study.html

 

「医療情報セキュリティセミナーin八王子」 レポート

2015年2月19日
日本クラウドセキュリティアライアンス事務局長
勝見 勉

医療情報セキュリティセミナーin八王子に行ってきました

CSAジャパンの代表理事である笹原英司さんは、ITセキュリティの専門家ですが、「医薬学博士」の学位を持っているというスゴイ人です。そしてまたその活躍の場も、古くは労働省とか、世界的リサーチファームとか、そして今は在日米国商工会議所のヘルスケアIT小委員会委員長であったりして、とにかく広い!! 更にはNPOヘルスケアクラウド研究会の理事でもあります。そしてわがCSAジャパンでは代表理事を引き受けるとともに、「健康医療情報管理」「ビッグデータ」「モバイルユーザ」の3つものワーキンググループのリーダーも引き受けてもらっています。

そんな笹原さんのリーチの広さを改めて知ったのが八王子におけるセミナーでした。会場は「コワーキングスペース8Beat八王子」という、起業家や市民活動の人や同好グループに活動の場を格安で提供している、コミュニティハウスみたいな場所で。集まった人たちも、IT周りでコミュニティ活動をしているCode for Hachiojiとかそういった仲間。濃くてアットホームな雰囲気の中で、笹原さんの2時間の熱演がありました。

講演タイトルは「健康医療分野の海外サイバーセキュリティ最新動向」。内容は「健康医療分野のサイバー攻撃に起因する海外の情報漏えい事例」「健康医療のセキュリティ/プライバシー規制とサイバーセキュリティの動向」「健康医療へのシビックテクノロジー適用とセキュリティ/プライバシーのリスク」と、とても濃いんです。

まず、アメリカでの、サイバー攻撃による医療情報流出の事例ですが、今月になって発覚したAnthemの8000万件の漏えい事件は衝撃的です。笹原さんもまずはこれを取り上げました。盗まれた情報には、名前、誕生日、医療ID、社会保障番号、住所、メールアドレス、雇用情報、収入データが含まれるとのこと。社会保障番号は実質個人番号ですから、それと名前、住所、生年月日が分れば、完璧になりすましされてしまいますね。この他にも数百万件に上る医療情報漏えいが、サイバー攻撃や盗難によって起きているようです。

また、年末世界的に注目を集めたソニー・ピクチャーズの情報漏えい事件では、セレブの情報などが関心を呼びましたが、従業員の保健情報も盗まれていて、被害に遭った従業員からの集団訴訟も起きているとか。またアメリカの集団訴訟は、賠償が決まれば全被害者が対象になるので、1件は少額でも莫大な金額になりやすいのだとか。この辺はさすがに、専門的で詳しいな、と脱帽でした。

健康医療のセキュリティ/プライバシー規制の話では、米国のHIPAAとHITECHを説明してくれました。HIPAAは1996年に成立していて、サイバーリスクが注目されるより前から、情報保護への対応は進められている、と指摘してくれました。連邦プライバシー法制がないなど、取り組み姿勢が強いとは思われていないアメリカが、割と早くから手を打っているのは意外で、さすがよく見ておられると、またまた感心させられました。

さて、こう書いていくと、何せ2時間の熱演なのでとても紙数が足りません。幸い、資料をCSAのwebで公開して下さったので、後は皆さん、直接資料から学んで下さい。そしてもっと知りたければ、「健康医療情報管理」ワーキンググループに参加されてはいかがでしょうか。
http://www.cloudsecurityalliance.jp/healthcare_wg.html

SLA-Readyがヨーロッパで発足

クラウドのSLAをガイドするSLA-Readyがヨーロッパで発足

2015年2月13日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

クラウドサービスの利用する場合、通常、SLA(Service Level Agreement)に基づく契約を行うことになります。CSAのガイダンスでは、「SLAが利用者に提示された時、サービスとプロバイダに対するサービスレベル、セキュリティ、ガバナンス、コンプライアンスおよび法的責任に対して期待される点が、契約上規定され、管理され、強制される」というように記述されています。したがって、利用者は、クラウドサービスを利用する前にプロバイダが提示するSLAを詳細に確認および理解し、クラウドサービスの利用上問題がないことを確認する必要があります。また、必要に応じてプロバイダと交渉しSLAの変更を行うことも必要になります。しかしながら、SLAを理解することは非常に難しいというのが現状です。特に、中小企業(SME)にとっては、クラウドサービスに対する専門家や知識の不足などから、SLAを理解することが難しい状況です。また、SLAの複雑で誤解を招く記述や、ワンクリックで合意しなければならないことが、中小企業のクラウドサービスの採用の足かせとなっています。

SLA-Readyは、SLAの共通の理解を働きかけ、SLAの標準化や透明性の確保を行っていくために設立されました。これにより、どのようなサービスを利用するかという企業の意思決定や信頼性についての情報を提供していくようです。

SLA-Readyは、ヨーロッパのクラウドマーケットの信頼性を構築することに貢献していくことになるようです。今後の動向に注力していきたいと思います。なお、CSAも、このコンソーシアムのメンバーですので、今後CSAがどのように関わっていくかも見ていきたいと思います。

SLA-Readyの情報は、http://www.sla-ready.eu/ で提供されていますので、今後の動向も含めて参照してください。

 

CSA勉強会の活用方法(第7回勉強会に参加して)

日本ヒューレット・パッカード株式会社
吉田 豊満

第7回CSA勉強会に参加してきました。第1回、第6回については都合が合わず参加できませんでしたが、これまでの出席回数としては良く参加できている(ハナマルです)と自負しています。参加することに意義があるかどうか分かりませんが、参加のたびに新しい発見や、今までにお会いすることのなかったような方々と、面会し会話できることはこれまた新たな意見や考えに触れることができ非常に有意義と思っています。

第7回の勉強会はテーマとしてはビックデータでした。ビックデータのセキュリティってデータベースのセキュリティじゃないのと思ってしまうのですが、それ以外にもビックデータを使用したセキュリティ分析があり、またまたビックデータの解析によって得た結果活用によってプライバシー侵害だとされてしまうという事は新たな発見でした。ビックデータについてはCSAーJC内のワーキンググループがあり、笹原さんが中心になって進められています。資料等は下記サイトを開いていただくと、参照できますので是非読んで頂ければと思います。
http://www.cloudsecurityalliance.jp/bigdata_wg.html
ビックデータの解析結果活用が脅威になってしまうという話ですが、ビックデータの解析精度が上がることによっていくらでもこんなことが発生してしまうのではと思いました。購買履歴を元にある人がこれからどんなものを購入するかといった予測をたてるのがビックデータ分析と思います。そして、この予測データを元に推奨商品を提案するというのがよくあるマーケティング活動だと思います。しかし、場合によっては、「こんなものを買うはずも無いのに勧められるのは迷惑である」といった文句を言う人も居ます。勧めるには勧めるだけの理由があるが本人は気づかないということもあります(ビックデータは知っているが、本人は知らない、憶えていないということでしょうか...)。例としてお話があったのは、娘が妊娠していることをしらなかった親が、娘宛に妊婦向けの商品案内をやたらと送ってくる、これは、娘を侮辱していないかと感じ取った事件です。しかし、実際には娘は妊娠していて、嘘ではなかったというのがオチのようです。迷惑と感じたときの受け取り方にもよるのですが、重大な問題を引き起こしてしまう可能性もあり、人によってはプライバシーを侵していると訴える人がでてもおかしくありません。

お勉強の話はこれぐらいにして、CSAの勉強会は1時間30分ぐらいで終了して、その後、勉強会にこられた方々で懇親会を行っています。缶ビールと乾き物で熱く語るというのがCSA勉強会後の懇親会スタイルです。普段私はIT系の方々との接点しかないのですが、この懇親会の場では弁護士の先生であるとか、元警視庁OBの方であるとか、今までお会いしたことの無い方々と面会してお話させていただく機会となっています。また、私のような常連メンバーも何名か居てセキュリティについて語るも良し、商売の話をしても良し、お遊びの話をしても良しで、楽しい仲間が増えていっているということを実感しています。

ぜひ皆さんもCSA勉強会を通じて新たな発見、新たな仲間を作っていっていただきたいと思います。次回の第8回勉強会のテーマは「金融向けクラウドの最新動向」とのことで、FISCベースのお話が聞けるようです。非常に興味あるテーマです。CSA勉強会には誰でも参加できますので奮って参加いただければと思います。
http://www.cloudsecurityalliance.jp/study.html