月別アーカイブ: 2016年8月

日本型クラウド利用について ~ 第2回クラウド利用者会議

第2回クラウド利用者会議 レポート

2016年8月22日
CSAジャパン 諸角昌宏

第2回クラウド利用者会議は、クラウド事業者としてユニアデックス株式会社様をお招きし、クラウド利用者を中心とした11名にご参加いただき8月4日(木)に開催した。ここでは、会議の概要について記述する。

まず、ユニアデックス様が提供しているU-Cloud IaaSサービスについて説明していただいた。U-Cloud IaaSでは、所有と利用を適材適所で組み合わせた、 ハイブリッド型の企業情報システムを提供している。これにより、どうしてもクラウドを自社で所有したい場合とクラウドサービスを利用する場合との両方の要件を満たしている。また、U-Cloud IaaSを特徴づけているのは、マネージド型クラウドで、AWS等のセルフサービス型クラウドと比較して以下の特徴を持っている。

  • 運用監視、セキュリティなどをオプションで提供している
  • 障害対応など、クラウドサービスチェックリストに基づく実証報告を行い、サービスレベルを高めている

これにより、企業基幹システムをクラウド化する場合に求められる要件である、 高いサービスレベル、強固なセキュリティ、きめ細やかな 導入支援/運用サービスを提供することが可能になっている。そのほか、マネージド型とセルフサービス型の比較は以下を参照していただきたい(ユニアデックス様資料より引用)。

uniadex

さて、会議ではマネージド型クラウドに対する様々な質問が上がった。運用監視について、SEが要件を聞いた上で構築を行うということがクラウド環境で本当に必要なのかどうか、また、利用者はそこまで支援してもらえないとクラウドが使えないのかとういう問題提起がなされた。また、クラウドサービスチェックリストに基づく報告に意味があるのかどうか、特に各種ガイドラインで示されている内容で十分なのかどうかが議論された。たとえば、FISCのガイドラインを見ると、リスクの管理すべき項目をチェックしているが実装のレベルは求められていない。したがって、準拠しているかどうかの粒度は違ってくる。そもそも、準拠しているかどうかという質問自体がおかしく、○×ではなく内容の説明が必要である。利用者は、中身の精査を行うことが必要で、利用者の企業の基準に合っているかどうかをきちんと判断することが必要である。

さて、今回の会議で大きなポイントとなったのは、日本においてはマネージド型クラウドが必要なのかどうか、また、マネージド型クラウドでないと日本の利用者はクラウドを利用することが難しいのかどうかという点である。つまり、マネージド型クラウドが日本独自のクラウド利用形態なのかどうかということである。

グローバルにクラウドの導入を行っている企業では、導入時に、海外がイニシアティブをとっているところではセルフサービス型、日本がイニシアティブをとっているところはマネージド型となっているケースが多いようである。そのようなケースを考えると、海外ではセルフサービス型クラウドが利用され、日本ではマネージド型クラウドが利用されているのはなぜかという話になってくる。その一つの状況が、企業におけるITのリテラシである。海外においてはIT部門に所属する人の70%以上が技術に詳しいエンジニアであるが、日本の場合はおそらく20%以下であろう日本においては、80%以上が外注に出している状況である。このような状況で、セルフサービス型を使った自前の実装・管理は成り立たないと言わざるを得ない。(注:ここに出ている数値は、客観的に統計データとして出ている数字ではなく、あくまで会議参加者が把握あるいは推測している内容である)。。

また、不正競争防止法があり、経営秘密に対する安全管理処置が必要になる。クラウド業者の選定に当たっては、全体としての安全措置が確保されている必要があるため、委託先の守秘義務の整備、ファシリティ対策、不正アクセス対策等を行っていくことが必要になるため、どうしてもマネージド型が必要になってくる。また、日本でAWSを使っている場合でも、ほとんどパートナーが面倒を見ており、日本の利用者が裸でクラウドを使うことはありえないとのことである。

以上のような状況ではあるが、今後この状況が変わっていく動きもある。それは、ビジネスのスタートアップ企業が増えてきている中で、ITサービスをオンプレで賄うことができなくなってきているためである。また、既存の企業においても、スタートアップ企業との競争に勝っていくためにはIT投資を抑えるための取り組みとITリテラシの向上の取り組みが進んできているということである。これらが組み合わさって、海外の企業の考え方や利用の仕方が促進されてきている傾向が見られる。

一方、マネージド型クラウドのベースにあるSIerという考え方は、日本独自というわけではなく、インド、韓国等でもSIer文化が出来上がっているとのことである。マネージド型クラウドは、決して日本独自のクラウド利用形態ということではなく、セルフサービス型クラウドとマネージド型クラウドでそれぞれ利点を生かしつつ共存していくということが言えると思われる。

以上

 

「プロバイダの透明性と利用者のリスクアセスメント」 第1回クラウド利用者会議レポート

第1回クラウド利用者会議 レポート

2016年8月11日
CSAジャパン 諸角昌宏

第1回クラウド利用者会議は、クラウド事業者としてNTTコミュニケーションズ様をお招きし、クラウド利用者を中心とした13名にご参加いただき開催した(2016年4月21日開催)。ここでは、会議の概要について記述する。

まず、NTTコミュニケーションズ様が提供しているIaaSサービスについて説明していただいた。IaaSとしての様々なサービスに加えて、NTTコミュニケーションズ様の強みとして印象に残ったのは以下の2点であった。

  1. 日本発グローバルに展開
    日本にデータセンターを持つことを強みとするプロバイダが多い中、グローバルに展開、また、グローバルのデータセンターの面積が日本よりかなり大きい。
  2. 閉域ネットワークを利用したデータセンター間ネットワーク
    閉域ネットワークに基づいて、柔軟性およびセキュリティを考慮してグローバルのデータセンター間を閉域ネットワークで結んでいる。クラウド間通信の効率化および地点間のセキュリティを確保している。

さて、会議での議論は、レガシーアプリのクラウド化やそもそも何をクラウド化するかという観点から始まったが、プロバイダをどこまで信頼できるかという点に議論が移行し、最終的に主要な議論は、プロバイダの透明性と利用者のリスクアセスメントに絞られた。

  1. プロバイダの透明性
    クラウドを利用する場合に、セキュリティの責任範囲がどうなるかが問題になる。プロバイダの責任範囲は、最終的に約款に記述されている内容の範囲までとなるが、約款の内容とプロバイダの説明資料に食い違いがあったりするため、利用者が判断できないというのが現実である。プロバイダも、詳細にわたってセキュリティの責任範囲を説明しきれない。そのため最終的にはプロバイダが信頼できるかどうかで判断するしかない。
    一方、プロバイダの信頼性を判断するには、ほとんど情報が公開されていない。つまり、プロバイダの透明性が極端に低い状況では、利用者が判断するのは困難である。ここは、欧米と日本のプロバイダで大きな違いがある。欧米のプロバイダは、積極的に情報公開し、利用者がプロバイダのセキュリティレベルを判断できるようにしているが、日本のプロバイダは情報をほとんど公開しない。ちなみに、CSAのSTARレベル1では、プロバイダがCCM(Cloud Controls Matrix)あるいはCAIQ(CONSENSUS ASSESSMENTS INITIATIVE QUESTIONNAIRE)に従ってセルフアセスメントした結果を公開する場を提供している。ここの状況を見ると、グローバルでは80~100社が公開している(ただし、IaaSだけではなくSaaSプロバイダも含まれる)が、日本のプロバイダでここに情報公開しているところはない(ちなみに、CSAジャパンが仲介して日本語で公開できるサービスを提供している)。この日本のプロバイダの透明性の問題をクリアーしていくことが必要と思われる。
    なお、NTTコミュニケーションズでは、プロバイダ監査(立ち入り監査)を認めている。立ち入り監査を認めているプロバイダは欧米を含めても少ないので、透明性とは別の話になるが、非常に重要なことと考えられる。
  2. 利用者のリスクアセスメント
    仮にプロバイダが透明性をもって公開したとしても、利用者側でリスクアセスメントができていないと意味がない。利用者は、自分自身のリスクアセスメントをすべきで、欧米の企業はできているように思われる。たとえば、ドイツ系の企業では、情報源に対して質問票を送り回答を得る形でリスクアセスメントを行っている。最低限、情報公開はできているし、調査票ベースでノウハウもためている。また、リスクアセスメントは守るべき資産を重要度に応じて特定しレベル分けしていることがまず必要であるが、クラウドに移行する資産の分類をきちんと行っている日本の利用者は非常に少ないようである。
    このような状況で、仮にプロバイダが透明性の問題をクリアーしたとしても、利用者側が使えない(判断できない)ということになりかねない。
  3. プロバイダの透明性と利用者のリスクアセスメントを促進するには?
    まず、透明性の判断基準が必要で、どこまでの開示あるいは回答が必要なのかという標準的な基準が必要である。つまり、判断基準の標準ツール(ひな形)があれば、同じ基準で比較できるので、プロバイダも公開するようになり、透明性が高まるのではないか。利用者側は、自分自身のリスクアセスメントを進めるべきで、これはクラウドに限らずやっていかなければならない。コンプライアンスへの極端な依存から脱却すべきである。
    ただし、透明性とリスクアセスメントには、以下のような日本的な問題があることを理解しておく必要がある。

    • 透明性について
      透明性は記載が一杯書いてあるより、ルールを逸脱した結果の証跡性で議論すべきと考える。「主に日本型「やる事を公開」するのか?主に欧米型「やらない事」を公開するのか?」、の2通りがある。結果の例として、やる事を公開した場合、記述していない事はなんでも有りのルールとなる点に注意する必要がある。どちらのコミットメントで公開するか、利用企業側にとって防御が大いに異なると考えられる。
    • リスクアセスメントについて
      リスクアセスは、アセスの技法よりアセスした結果の有効性で議論すべきと考える。「期待する基準に到達しているかを視る「準拠性監査」にするのか?決議した指標に到達しているかを視る「妥当性監査≒絶対値監査」にするのか?」、の2通りがある。結果の例として、準拠性監査の視点でアセスした場合、PマークやISMS規格に到達する方向性が有るか否か、即ちPDCAが回っていれば到達とするので、規格を守る社員の逸脱をアセスするだけとなり、意図的に規格を無視する攻撃者に対しては有効性と効率性を大きく逸脱すると考えられる。

以上のような、日本企業のガバナンスの考え方の問題があり、文化の違いに対して、文化のグローバル化を行わないと難しいかもしれない。

今後のクラウドの利用に対するセキュリティ面の対応として透明性とリスクアセスメントが重要であることは明確である。それを踏まえて、日本でのビジネス向けクラウドをどうしていくのかを考える必要がある。

ということで、クラウド利用者会議として明確な指針を出すことはできなかったが、1つの考察とはなったものと考える。

以上