月別アーカイブ: 2015年11月

CSA Japan Congress 2015 盛況裡に閉幕

一般社団法人日本クラウドセキュリティアライアンス 業務執行理事
勝見 勉

11月18日(水)、日本でのCongressとしては2回目の開催となるCSA Japan Congress 2015が開催されました。朝から空模様があやしく、午後からは雨になった中、140人の多数にご参加いただきました。運営スタッフ、講演者、プレス関係などを入れると170名を超え、ほぼ会場キャパシティ一杯になるという盛況でした。

今回の「目玉」は日本情報経済推進協会(JIPDEC)・情報セキュリティマネジメントセンター、高取敏夫参事による特別招待講演「ISMSをベースにしたクラウドセキュリティ~ISO27017の最新動向」です。クラウドに特化した初めての国際標準規格であるISO/IEC27017の正式リリースがもう間もなく、という時期に、この27017に基づく、ISMSのクラウド情報セキュリティに関するアドオン認証の創設という話題を中心にお話し頂きました。このクラウドセキュリティアドオン認証は、11月16日にJIPDECから発表されたばかりの、湯気がホカホカ立っているような情報で、世界に先駆けてクラウドのISMS認証を制度化するという画期的なものでした。受講者の多くもこの解説を目当てに参加されたものと思われます。27017そのものが日本の提案を基に日本主導で開発が進められたという意味でも、ISO/IECベースの国際標準化の歴史の中では画期的なことでした。クラウドサービスの開発では世界をリード、と言えない日本も、クラウドの最大の関心事であるセキュリティに関しては世界をリードする立場に立っていると言えます。その意味で世界最先端・最新の情報に接することができて、聴衆の皆様共々、感慨深いものがありました。

Japan Congress 2015のもう一つのテーマは、新しいクラウドセキュリティ技術でした。中でも特別テーマ講演にお招きしたヤフー株式会社上席研究員の五味秀仁氏からは、「FIDO-次世代認証方式とクラウド」というタイトルで、クラウドにおけるユーザ認証に親和性の高い、パスワードレスの認証スキームであるFIDO(Fast IDentity Online)について紹介と解説を頂きました。この他にスポンサー講演、ゲスト講演、パネルディスカッション等を通じて取り上げられた新しい技術トピックとしては、CASB(Cloud Access Security Broker)、SDP(Software Defined Perimeter)、コンテナ、トランスペアレントな暗号化、27018(クラウドにおける個人情報保護)が挙げられます。

クラウドはコンピューティングプラットフォームとして広く定着する方向を見せています。昨今のサイバーセキュリティ脅威や情報漏えいに対する管理・防御を考える時、専門家により安定的・トラブルレスの運転が期待でき、セキュリティ管理も充実しているクラウド環境は、ITに多くの予算と人材を割けない中小企業こそ、積極的に活用すべき社会的リソースと言えます。そしてそのセキュリティは、技術面からも、マネジメントシステムの面からも、ますます充実していくことが期待できます。今回のCongressは、こういった流れを明確に打ち出し、理解を深めるとともに、そのための最新トピックを盛りだくさんに提供する素晴らしい機会になったと言えると思います。

更に付け加えるならば、冒頭の日本クラウドセキュリティアライアンス会長・吉田眞東大名誉教授のご挨拶では、春に開催するSummitが発信の場と位置付けられるとすれば、秋に開催するCongressは「クラウドのセキュリティについて多面的に取り上げ、最新の情報を提供し、クラウドとセキュリティのベンダ、サービスプロバイダ、インテグレータ、ユーザ、関係機関が一堂に会し、クラウドを取り巻くセキュリティ課題を議論する 」場である、と整理されました。多士済々のスピーカと、パネルも含むプログラム構成はこれを十全に体現したと言え、充実した一日を、多くの関心高い人たちと共有できたと思います。

おわりに、最後まで熱心に聴講いただいた受講者の皆さまと、設営・運営スタッフ、そしてたいへんバリューの高いプレゼンを頂いた講演者の皆さまに、この場をお借りして感謝の意を表して、Congressレポートのブログのまとめにしたいと思います。どうもありがとうございました。

 

データセンターセキュリティ ~第17回CSA勉強会

日本クラウドセキュリティアライアンス 業務執行理事
諸角 昌宏

10月27日に行われた第17回CSA勉強会では、日本データセキュリティ協会が公開しているデータセンターセキュリティガイドブックの2015年版について、水戸和氏に講演していただきました。「データセンターセキュリティガイドブック」は、データセンターの利用者と事業者に対して「データセンターの適切なセキュリティ」とは何かを考え、共有する為の共通の知見を提供しているドキュメントということで、CSAジャパンとしても注目している内容になります。

さて、CSAジャパンとしては、そもそもクラウドセキュリティとデータセンターセキュリティがどのような関係になるかというところから始める必要がある。このあたりについては、CSAジャパンのメンバーである山崎氏がIT Leadersの記事でCSAガイダンスの内容として説明している(http://it.impressbm.co.jp/articles/-/11446)。これによると、「クラウドコンピューティングを進化さえるためには、サービスプロバイダや管理者は、仮想化技術を使ってサーバー資産を管理するだけでなく、データセンターそのものを進化させる必要がある」ということである。データセンターにおける物理セキュリティをクラウドセキュリティの一部としてきちんととらえていく必要がある。

それでは、データセンターセキュリティガイドブックの話に戻る。
まずデータセンターの位置づけであるが、現在ではデータセンターを社会基盤(重要インフラ)としてとらえる必要がある。ITインフラの流れが、かつての電子計算機センターの集中型からクライアント-サーバーによる分散の時代を経て、インターネットデータセンター/クラウドによる再集中の時代になってきている。その流れの中で、多くの利用者がデータセンターを利用し社会基盤化してきている。そのため、データセンターのセキュリティの重要度は非常に高まってきているということができる。
データセキュリティガイドブックでは、日本のデータセンターが機密データを預けることができるだけのセキュリティを実現しているかという観点で、セキュリティのベースとなるガイドブックを作成するという目的で作られている。したがって、内容的には「基準」ではなくデータセンターの利用者と事業者が「考え方」の共有を行うことができることを目指している。
データセンターのセキュリティと管理策は第3章に書かれている。ここでは、データセンターが提供するサービスに対する脅威の分析と、その脅威に対する管理策の考え方を示し、最後に実際に「架空」のデータセンターを基にしてセキュリティ管理策がどのように実装されるかを紹介している。これにより、利用者がデータセンターに存在する一般的な脅威とそれに対する管理策を、事例を通して理解することができるようになっている。
第4章では、データセンターに関連する様々な基準やガイドライン、および、認証制度をまとめている。これらの概要や関係の概要を説明するとともに、分野ごとの基準やガイドラインについても説明している。データセンターセキュリティガイドブックでは、共有可能なセキュリティのベースラインを提供できるようにしていくとのことである。

なお、データセキュリティガイドブックは、http://www.jdcc.or.jp/pdf/DC_Security_Guidebook_2015.pdf からダウンロードできる。

CSAのCCMでは、データセンターの運用において、物理セキュリティに対する項目を提供しており、また、様々な標準や法令とのマッピングを行っている。今後、データセキュリティガイドブックともうまく協調できる方法を考えていきたい。