クラウド利用者とクラウドプロバイダ:双方の言い分
CASBワーキンググループ ・リーダー
上田光一
CSAでは定期的に「クラウド利用者会議」という会合を開催している。これはクラウド利用者側の観点でクラウドに期待すること、あるいは課題などをディスカッションするもので、CSAジャパンの本ブログでも結果を議論の内容を紹介している。
先ごろ行われた会議で、どのようにクラウドプロバイダを選択すればよいかわからない、といったコメントがあった。プロバイダの公開情報や試用する中で業務への適合性は確認できるとしても、セキュリティの観点での差分が見えないというものである。
一方、プロバイダ側コメントとして、不確定の伝聞情報で大変恐縮ながら以下のようなコメントがあったとのことであった。
- プロバイダ側としてはセキュリティに関する情報なので非公開である
- 仮に公開したとしても普通のユーザでは適切な判断ができるか懸念がある
確かに利用者にとっては、クラウドを利用するに際してどのようにプロバイダのセキュリティレベルを判断すれば良いのかは課題である。利用者が自力で判断しようとするとき、プロバイダが公開しているセキュリティ情報を元にこれを行うことになるが、ここで欧米と日本で大きな違いがある。欧米のプロバイダの対応は、セキュリティ情報を積極的に公開することで利用者が判断できるようにする傾向が強い。いわゆる「透明性」を高めるということである。これは、また、セキュリティをビジネス上の差別化要因にできるという利点がある。
一方、日本のプロバイダはあまりセキュリティ情報を公開しない。どちらかというと、「セキュリティ情報を公開することはリスクを高める」という考えを持っている。取得している認証の情報を公開しているが、認証ではセキュリティの成熟度を把握することは難しい。このあたりは国内事情としてはやむを得ない印象を受ける一方で、米国はじめグローバルの事情とはかなり異なっている。
CSA本部のWebサイト、https://cloudsecurityalliance.org/では、以下のような情報を提供するページがある。
CSA Security, Trust & Assurance Registry (STAR) https://cloudsecurityalliance.org/star/#_registry
これはCSAが提唱する認証制度STARを一つの基準としつつ、STAR認証取得の有無に関わらずクラウドプロバイダ側が自社のセキュリティ対応状況を公開するページとなっている。クラウドプロバイダとしては、自社サービスの透明性と公正さをアピールする場にもなっている訳である。
一見して分かる通り米国プロバイダが圧倒的に多いのは当然としても、中国プロバイダも数多く登録されていることは興味深い。日本のプロバイダはごく僅かに留まっている。
一例としてクラウドストレージのBoxをとってみると、以下で詳細情報が得られる。https://cloudsecurityalliance.org/registry/box/
ここからCSAの提唱するクラウドプロバイダ向けセルフアセスメントのフレームワーク、CAIQ (Consensus Assessments Initiative Questionnaire) に従って、プロバイダ自身が(このケースではBox社が)自己評価をした結果が得られる。興味のある方はぜひご一読頂きたいが、なかなかの情報量である(しかも英語)。
そうなってくると、こうした情報が得られるとしても、それを利用者が正確に判断できるのか、いわゆる利用者のセキュリティ・リテラシが問題となる。
さてここでCASBである。
CASBの4つの柱のうち1つ目の柱である「可視性」、ここには「どのクラウドサービスを使っているか」という意味合いとともに「それはどんなクラウドサービスであるか」という観点がある。対象とするクラウドサービスがどのような種別のサービスを提供するのか、そしてどのようなセキュリティ機能を提供しているか、こういった情報を、CASBは提供する。そしてここで重要なのが、CASBはセキュリティ状況をシンプルにリスクスコアとして判定して提供してくれることということである。
例えばあるCASBでは、クラウドサービスのリスクスコアを9段階で評価してくれるため、信頼を寄せられる程度が簡単に判断できる。
ではそれはどのような基準でスコアリングを行っているのだろうか。
評価基準の大元としてよく使われるのが、CSAで策定しているCCM(Cloud Control Matrix)である。これはCSAジャパンで日本語版としてもリリースしているもので、下記からダウンロード可能である。
http://cloudsecurityalliance.jp/WG_PUB/CCM_WG/CSA_CCM_v.3.0.1-03-18-2016_ISO_J_Pub.pdf(注: なお、ここで公開している日本語CCMはControlの翻訳部分のみである。CCM全体のEXCEL版は、現在CSAジャパン会員のみが利用可能となっている。)
最新版のv3.0.1では、16ドメイン、133項目からなっていて、例えば以下のような項目がある。
- カテゴリ:データセンタセキュリティ
- 項目:コントロールされたアクセスポイント
- 説明:機微なデータ及び情報システムを保護するために、物理的なセキュリティ境界(フェンス、壁、柵、警備員、ゲート、電子的監視、物理的認証メカニズム、受付デスク、安全パトロールなど)を実装しなければならない。
例1)
- カテゴリ:暗号化と鍵管理
- 項目:権限付与
- 説明:鍵には識別可能な所有者が存在し(つまり鍵とアイデンティティが紐付いていること)、また(組織には)鍵管理ポリシーがなくてはならない。
例2)
- カテゴリ:脅威と脆弱性の管理
- 項目:脆弱性 / パッチ管理
- 説明:(長いので省略。ぜひCCMをご参照ください)
CASBベンダはこういった情報を前述のCAIQやクラウドプロバイダのWebサイトによる公開情報などから入手する。公開情報がない場合は、個別にクラウドプロバイダに問い合わせることもする。クラウドプロバイダから回答が得られない場合は、その状況を踏まえCASBベンダが独自に判定することになる。
またスコアリング項目は必ずしもCCMと完全一致という訳でなく、CASBベンダ自身による重みづけや独自観点も加味する形で算出されている。また重みづけについてはユーザによるカスタマイズ機能を提供しているCASBもある。
各クラウドプロバイダのセキュリティ対応状況も刻々変化する一方、クラウドプロバイダもサービスの数自体も増加していくので、CASBベンダはこういった状況にも追随して対応している。特定のクラウドサービスが登録されていない場合は、リクエストにより追加登録対応してもらえる。
CASBベンダはこのような取り組みを通して、クラウドプロバイダやサービスごとのセキュリティ対応状況データベースを日夜更新しており、今や登録サービス数30,000に迫るデータベースを保持するCASBベンダもある。
従来国産クラウドサービスについては対応サービスが限られる状況があったが、対応数も順調に増加しているようである。
組織によっては申請ベースでクラウド利用を個別に許可する運用を行っていることも多いと思うが、さらに個別に個々のクラウド利用審査のための調査が大変だ、という声を聞くこともある。クラウドを使いたいのに選択の判断情報がない、あるいは調査のための労力が無視できない。これをCASBのリスク判定で代替してしまう。これは一つの有効なCASB活用事例と言えそうである。
しかしながらそれ以上にこういったリスク評価基準の策定フェーズにおいては、企業のクラウド活用における根本命題、すなわち「企業としてどのような観点でクラウドを活用していくか」という点に向き合うこととなる。これは企業のクラウド活用戦略を立てる良い機会となるだろう。
CASBという存在の登場により、ユーザ企業、クラウドプロバイダの相互理解が進むこと、ひいてはユーザ企業におけるクラウド活用の進展、そして生産性向上とともに社会の発展つながる、こういった流れをCSAのCASB-WGとしても独自の立場から応援していきたいと考えている。