「プロバイダの透明性と利用者のリスクアセスメント」 第1回クラウド利用者会議レポート

第1回クラウド利用者会議 レポート

2016年8月11日
CSAジャパン 諸角昌宏

第1回クラウド利用者会議は、クラウド事業者としてNTTコミュニケーションズ様をお招きし、クラウド利用者を中心とした13名にご参加いただき開催した(2016年4月21日開催)。ここでは、会議の概要について記述する。

まず、NTTコミュニケーションズ様が提供しているIaaSサービスについて説明していただいた。IaaSとしての様々なサービスに加えて、NTTコミュニケーションズ様の強みとして印象に残ったのは以下の2点であった。

  1. 日本発グローバルに展開
    日本にデータセンターを持つことを強みとするプロバイダが多い中、グローバルに展開、また、グローバルのデータセンターの面積が日本よりかなり大きい。
  2. 閉域ネットワークを利用したデータセンター間ネットワーク
    閉域ネットワークに基づいて、柔軟性およびセキュリティを考慮してグローバルのデータセンター間を閉域ネットワークで結んでいる。クラウド間通信の効率化および地点間のセキュリティを確保している。

さて、会議での議論は、レガシーアプリのクラウド化やそもそも何をクラウド化するかという観点から始まったが、プロバイダをどこまで信頼できるかという点に議論が移行し、最終的に主要な議論は、プロバイダの透明性と利用者のリスクアセスメントに絞られた。

  1. プロバイダの透明性
    クラウドを利用する場合に、セキュリティの責任範囲がどうなるかが問題になる。プロバイダの責任範囲は、最終的に約款に記述されている内容の範囲までとなるが、約款の内容とプロバイダの説明資料に食い違いがあったりするため、利用者が判断できないというのが現実である。プロバイダも、詳細にわたってセキュリティの責任範囲を説明しきれない。そのため最終的にはプロバイダが信頼できるかどうかで判断するしかない。
    一方、プロバイダの信頼性を判断するには、ほとんど情報が公開されていない。つまり、プロバイダの透明性が極端に低い状況では、利用者が判断するのは困難である。ここは、欧米と日本のプロバイダで大きな違いがある。欧米のプロバイダは、積極的に情報公開し、利用者がプロバイダのセキュリティレベルを判断できるようにしているが、日本のプロバイダは情報をほとんど公開しない。ちなみに、CSAのSTARレベル1では、プロバイダがCCM(Cloud Controls Matrix)あるいはCAIQ(CONSENSUS ASSESSMENTS INITIATIVE QUESTIONNAIRE)に従ってセルフアセスメントした結果を公開する場を提供している。ここの状況を見ると、グローバルでは80~100社が公開している(ただし、IaaSだけではなくSaaSプロバイダも含まれる)が、日本のプロバイダでここに情報公開しているところはない(ちなみに、CSAジャパンが仲介して日本語で公開できるサービスを提供している)。この日本のプロバイダの透明性の問題をクリアーしていくことが必要と思われる。
    なお、NTTコミュニケーションズでは、プロバイダ監査(立ち入り監査)を認めている。立ち入り監査を認めているプロバイダは欧米を含めても少ないので、透明性とは別の話になるが、非常に重要なことと考えられる。
  2. 利用者のリスクアセスメント
    仮にプロバイダが透明性をもって公開したとしても、利用者側でリスクアセスメントができていないと意味がない。利用者は、自分自身のリスクアセスメントをすべきで、欧米の企業はできているように思われる。たとえば、ドイツ系の企業では、情報源に対して質問票を送り回答を得る形でリスクアセスメントを行っている。最低限、情報公開はできているし、調査票ベースでノウハウもためている。また、リスクアセスメントは守るべき資産を重要度に応じて特定しレベル分けしていることがまず必要であるが、クラウドに移行する資産の分類をきちんと行っている日本の利用者は非常に少ないようである。
    このような状況で、仮にプロバイダが透明性の問題をクリアーしたとしても、利用者側が使えない(判断できない)ということになりかねない。
  3. プロバイダの透明性と利用者のリスクアセスメントを促進するには?
    まず、透明性の判断基準が必要で、どこまでの開示あるいは回答が必要なのかという標準的な基準が必要である。つまり、判断基準の標準ツール(ひな形)があれば、同じ基準で比較できるので、プロバイダも公開するようになり、透明性が高まるのではないか。利用者側は、自分自身のリスクアセスメントを進めるべきで、これはクラウドに限らずやっていかなければならない。コンプライアンスへの極端な依存から脱却すべきである。
    ただし、透明性とリスクアセスメントには、以下のような日本的な問題があることを理解しておく必要がある。

    • 透明性について
      透明性は記載が一杯書いてあるより、ルールを逸脱した結果の証跡性で議論すべきと考える。「主に日本型「やる事を公開」するのか?主に欧米型「やらない事」を公開するのか?」、の2通りがある。結果の例として、やる事を公開した場合、記述していない事はなんでも有りのルールとなる点に注意する必要がある。どちらのコミットメントで公開するか、利用企業側にとって防御が大いに異なると考えられる。
    • リスクアセスメントについて
      リスクアセスは、アセスの技法よりアセスした結果の有効性で議論すべきと考える。「期待する基準に到達しているかを視る「準拠性監査」にするのか?決議した指標に到達しているかを視る「妥当性監査≒絶対値監査」にするのか?」、の2通りがある。結果の例として、準拠性監査の視点でアセスした場合、PマークやISMS規格に到達する方向性が有るか否か、即ちPDCAが回っていれば到達とするので、規格を守る社員の逸脱をアセスするだけとなり、意図的に規格を無視する攻撃者に対しては有効性と効率性を大きく逸脱すると考えられる。

以上のような、日本企業のガバナンスの考え方の問題があり、文化の違いに対して、文化のグローバル化を行わないと難しいかもしれない。

今後のクラウドの利用に対するセキュリティ面の対応として透明性とリスクアセスメントが重要であることは明確である。それを踏まえて、日本でのビジネス向けクラウドをどうしていくのかを考える必要がある。

ということで、クラウド利用者会議として明確な指針を出すことはできなかったが、1つの考察とはなったものと考える。

以上

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*