作成者別アーカイブ: 諸角昌宏

セキュリティとプライバシの、近くて遠くて近い関係

日本クラウドセキュリティアライアンス 業務執行理事
勝見 勉

数日前、ちょっと興味ある調査レポートを見つけたので、ご紹介します。タイトルは”How IT and Infosec Value Privacy”というもの。直接訳せば「プライバシにとってITと情報セキュリティはいかなる価値があるか」となります。ちょっと私の思いも加味して、このようなタイトルに変えてみました。

調査は、IAPP(International Association of Privacy Professionals)とTRUSTeが2015/12~2016/1に実施したもので、550人以上の専門家に対するアンケート調査結果をまとめたものです。専門家の内訳は、プライバシ関係が65%で、ITと情報セキュリティを合わせて35%の比率です。

ここで、この両者って、そんなに厳密に区別されているものなの?という疑問が、早くも湧くかもしれませんね。はい。多分この調査の主対象であるアメリカでは、あるいは多分ヨーロッパでも、両者はかなり別のものとして認識されているようです。調査内容を紹介していくと、ちょっと垣間見えてきます。でも、日本では、「プライバシ」と「個人情報」を余り区別して考えてないですよね。そして情報セキュリティと言えばほとんどの場合、個人情報漏洩対策がイコールのイメージになっている、っていう感じがしませんか?この辺からして、日本の感覚は違うのだと感じています。

ちょっと脱線ですが「個人情報」には「個人識別情報」と個人に関わる「機微情報」または「秘密情報」(まとめてほぼイコールプライバシ情報)とがあります。個人識別情報は、一般的には、個人と社会との接点で個人を識別するために必須の情報で、必要に応じて提供し、提供を受け、開示し、伝達し、記録されます。これを拒むと、社会生活はなかなか厳しいことになります。

一方で、個人識別情報といえども、他の情報と組み合わさることでプライバシ情報に転化します。ここが個人情報のややこしいところですが。例えば電車の定期券を買うのに、氏名住所生年月日などを提出します。個人識別ができないと定期券は発行できないからです。一方、氏名住所と、どこからどこまでの定期券かを組み合わせると、その本人の居住地域や勤務先の所在地がある程度推測できます。この辺からプライバシに関わる要素が出てくるので、電鉄会社は定期券の発行情報を、管理すべき情報として扱う必要が出てくる訳ですが。一方で、この両者が結び付くことで、落とした定期券が持ち主に戻ってきたりすることも可能になるので、やたら匿名化すればいいというものでもない、というところも、理解できると思います。

閑話休題。この調査はまず、「プライバシと情報セキュリティは重なる部分も別々の部分もある。ちょうど鎖の輪か、「ベン図」のように」と言っています。では両者は組織の中でどのように協業できるのか?ここから調査の問題意識は始まる訳です。(ところで日本では、両者が別のチームになっている組織ってかなりまれだろうとは思いますが。。。)

一番鍵となる質問「情報漏えい事故への対策として何が重要ですか?」に対しては、総合1位の答えは「プライバシチームとセキュリティチームの間のコミュニケーション」でした。第2位には「インシデントレスポンスへのプライバシチームの参加」となり、両者間の緊密な連携が最重要視されています。更には、情報漏洩対応専任チームの設置も重要度大となっています。プライバシとセキュリティが別のチームであったり、セキュリティ(インシデント)でなく「情報漏洩対応専任」チームの存在であったり、日本の実情とは大きくかけ離れた、先進的取り組みの実態を見る思いですね。

また、データを最小に保つことや、データの棚卸しとマッピング、つまりどんなデータがどこにあるかを把握しておくことも、対策チームに次いで高い重要度スコアを得ています。更に、社員に対する教育とトレーニングも重要視されています。教育とトレーニングを分けて考えるところも、示唆に富みますね。単に知識を注入する「教育」だけでは不十分で、それを実践に移せる、いざという時現場での対応に活かせるための「トレーニング」の大切さへの認知が浸透していることを伺わせます。

d

(*https://iapp.org/resources/article/infographic-how-it-and-infosec-value-privacy/ から引用)

さて、もう一つの興味深い分析をご紹介しましょう。「情報漏洩対策の強化に、事故経験と規制当局の関与のどちらがより影響がありますか?」…こちらの答えは意外にも、日本の事情と似た結果になりました。すなわち、事故経験よりも規制当局の関与の方が効果があるという結論になったのです。

事故を経験した結果では、対策重点は余り変わりませんでした。チーム間コミュニケーション、従業員や役員のトレーニング等々。一方、規制当局との何らかの接触を経験した場合は、プライバシ対策費を増加させたり、チームを増強したり、プライバシープログラムの充実を図ったりしています。当然にも規制当局との関係強化に動く一方、意外にも、個人のプライバシ資格取得や、外部の専門家の活用には余り積極的になっていない、との分析結果が紹介されています。

b

(* https://iapp.org/resources/article/how-it-and-infosec-value-privacy/ から引用)

より詳しい内容を知りたい方は、以下のサイトにアクセスしてみてください。フルレポートが載っています。また要約版サイトへのアクセスも載っています。

https://iapp.org/resources/article/how-it-and-infosec-value-privacy/

アメリカでは、プライバシ対策の認知は日本より浸透しているようです。そしてその面では、規制当局の存在や関係構築に対する意識も強いようです。日本はどのように成熟していくものやら。やっとプライバシーコミッショナーも置かれたところなので、これからなのかも知れません。

ドイツに学ぶ科学技術政策

日本クラウドセキュリティアライアンス 業務執行理事
諸角 昌宏

今年のCSA Japan Summit 2016(5月24日開催)では、テーマを「サイバーフィジカルセキュリティを支えるクラウドセキュリティ」とし、IoT、Industry4.0、およびそれらを支えるクラウドセキュリティについて、欧米の動向、日本の状況、CSAおよびCSAジャパンがどのように取り組んでいるかを幅広くお伝えすることになりました。Summitに向けて、Industry4.0、はたまたドイツで何故Industry4.0が始まり成功しているのかを知りたいと思ったところ、ちょうど、2月26日の「21世紀構想研究会」において永野博氏の「ドイツに学ぶ科学技術政策」という講演を聞くことができましたのでその内容をレポートする。

  1. ドイツとは
    まず、ドイツという国がどのような状況なのかについて、科学技術の観点から触れました。

    • ハイテク産業の輸出額が着実に伸びている。特に、ミドルテク(中規模の会社の技術)の伸びが非常に高い。これは、Industry4.0が中小企業の輸出を支援する政策、つまり、中小企業が負けないように新技術を支援しているところが大きい。
    • GDPに占める輸出の割合が、ドイツは日本の2.7倍。日本が14.6%なのに対して、ドイツは39.2%。
    • 近代的な大学として、教育と研究を一体的に推進している。これにより、国民国家に貢献できる人材育成を行い、大学が社会における知識生産の最大の拠点になるという新しいモデルを実現している。
    • 首相のリーダーシップ(メルケル首相)で、教育を支援している。研究、イノベーション、創造性のみがドイツの生活水準を維持できるという考え方を持っている。メルケル首相が注目されているが、その骨格を作ったのはシュレーダー首相で、ドイツが悪い時代であった1990年代に「アジェンダ2010」を作成し、2010年を目指した戦略を立てていた。これが、現在のメルケル政権下のドイツとなっている。
    • 研究・イノベーション協約が連邦と州政府で結ばれていて、健全な財政かつ研究/教育への投資が約束されている。
    • ハイテク戦略を2006年から進めている。IoTは、ドイツでは2005年から進められている。2012年になって新ハイテク戦略として「デジタルへ対応する経済と社会」というIndustry4.0イニシアチブとしてスタートし、これがドイツでの最優先課題となっている。最近IoTが騒がれているのに比べて、10年以上前からIoTを促進している。
    • 産学公連携のシステムは世界で傑出している。新しい政策の決定を、政治家と科学者が一緒になって行っている。自分たちが社会を作っているという意識が高い。
    • 国を挙げてPhDを養成している。
  2. 日本への示唆
    上記のようなドイツの状況を踏まえての日本に対する提言として、いくつか挙げられていたが、その中で印象に残るものを以下に記述する。

    • 知的なものへの敬意を示すことが必要ということで、研究/教育に対する充実した投資が必要。また、政策の作成に当たって、政治家と科学者が同じテーブルで協議していくように、自らが社会を作っているという意識ができるようにしていくことが必要。
    • 強いリーダーの存在が必要。ドイツでは、戦後の首相の数が8人で、強いリーダーシップのもと政策を行っている。
    • 社会全体が若手を信頼するという発想をもち、若者を大事にする教育をおこなう。
    • 若い人に外を見る環境、世界を見る能力を植え付けるようにする。
    • 生涯教育ができる体制が必要。IoTでは、産業構造の変化により今まで行っていた仕事自体が変わらなければならなくなる。これに対応できるように生涯教育を整備する必要がある。

以上のように、Industry4.0を着実に進めているドイツには、国として力強い背景があることがわかった。今後の日本を考える上で、多少なりとも参考になれば幸いである。

以上

 

欧州の社会課題解決型イノベーションと個人データ保護 ~第19回CSA勉強会

日本クラウドセキュリティアライアンス
諸角 昌宏

1月25日に行われた第19回CSA勉強会では、「欧州の社会課題解決型イノベーションと個人データ保護」ということで、笹原英司氏に講演していただいた。今回は、勉強会としては初めて「特定非営利活動法人横浜コミュニティデザイン・ラボ」との共同開催ということで、いつもとは違った交流を行うことができた。

ここでは、勉強会で解説された内容をいくつかトピック的に記述する。なお、内容について笹原氏にレビューしていただいた。

  1. EUにおけるeHealthの考え方
    EUにおいては、イノベーションのベネフィットと個人データ保護のリスクのバランスを図ることが政策目標となっている。EUでは、国境を超えたヘルスケアが日常的なため、複数の国で利用されることを前提としつつ、eHealthによるイノベーションの成果を社会課題解決のためのソリューションとしてパッケージ化して海外に輸出することによって、雇用創出や経済発展につなげようとする考え方が一般的だ。このようなEUの発想は、日本にとって参考になる点が多い。
  2. EUにおける個人データ保護
    EUの方が米国等に比べて、個人データの対象範囲が広く、かつ、厳しくなっている。ただし、あくまでもイノベーションと消費者保護のバランスを取りながら、時代の経済政策と共に変化している。 昨年(2015年)、新たに「EU保護規則」が合意された。従来の「指令」が「規則」に代わったことにより、すべてのEU加盟国に一律適用されるものとなった。ちなみに、「指令」の場合は、EUが定めた共通ルールに基づいて各国が具体的な対応策を決めることになる。これらの動きと同時並行で、IoTやBigDataのセキュリティ/プライバシー保護に関するルール作りも進んでいる。
  3. デンマークの医療
    デンマークは、電子政府/オープンデータ基盤を非常にうまく利用している。高い普及率の電子カルテシステムをベースに、ナショナルデータベースを構築・運用しており、これに基づいた分析データが様々に利用されている。これは、国民共通番号制に基づくデータの収集および利活用を、中央政府と地方政府、市民、企業が協働することで実現しており、その背景には、子どもの時からの教育重視の姿勢がある。デンマークの教育では、社会参加意識を非常に重視しており、市民参加を誘発するように教えられている。たとえば、デンマークで電子投票を行うと90%以上が投票するということである。また、ノーマライゼーションの原則があり、障害者と健常者が区別されることなく社会生活を共にするという意識が徹底されている。このような文化が根付いているデンマークでは、個人データの収集と利活用が全国民参加の上で実現できている。
  4. 日本におけるデジタルヘルスラボ・プロジェクト
    演者が関わっている活動の1つとして、デジタルヘルスラボ・プロジェクトがある。これは、デジタルハリウッド大学大学院と横浜市が協業して行っているもので、「デジタル」+「医療・健康」の分野で起業またはサービス開発を支援し、その「実装」を本気で追究している。通常、ビジネスモデルの検討で行き詰るのは、お金の問題等で実装ができないということが多い。このプロジェクトでは、実装を追求することで企業およびサービス開発を支援していくということである。医療系のサービス開発に際しては、個人情報保護やセキュリティ対策が常につきまとうので、早期から取組を始める必要がある。
  5. CSAは何をやっているか?
    EUとCSAの協業活動として、以下の2つを進めている。

    1. Cloud Security Alliance Privacy Level Agreement WG
      EUのレベルでの個人情報保護のチェックリストを作成し、米国のクラウドベンダーがEUでビジネスを行うためにどうすれば良いかを記述したドキュメントを公開している。これには、従来のセーフハーバー対策も含まれており、今後は「プライバシーシールド」への対応がテーマとなる。
    2. SLA-Ready
      EUの活動の一環として、中小企業向けの振興策としてのクラウド利用に対して、どのようなSLAであればセキュリティが担保できるかの検討を行っています。SLA-Readyについては、以下のCSAジャパンブログで触れているので、こちらを参照していただきたい。 http://cloudsecurityalliance.jp/newblog/2015/02/13/sla-ready%e3%81%8c%e3%83%a8%e3%83%bc%e3%83%ad%e3%83%83%e3%83%91%e3%81%a7%e7%99%ba%e8%b6%b3/

さて、上記のようなEUにおける個人情報の扱いを踏まえて、日本が今後どうなっていくのか。グローバルの視点に立って、我々も考えていく必要がある。また、「Privacy Level Agreement WG」や「SLA-Ready」の内容については、日本にも適用できる部分も大きいので、いろいろと検討を進めていきたい。

以上

CSAジャパン会員交流会 兼 2016年新年会

日本クラウドセキュリティアライアンス
諸角昌宏

1月21日に、約半年ぶりの会員交流会を開催しました。12月3日が法人設立記念日(ちなみに支部開設記念日は6月7日)なので、12月に忘年会を兼ねて、との企画もあったのですが、年末はお互いバタバタするので、少し落ち着ける新年会にしました。運営委員からの今年の決意表明とかもあって、「年忘れ」よりは前向きなコンテンツでできたのではないかと思います。 参加者は約30名、会場は日本ビジネスシステムズ株式会社様にご提供いただきました。新入会員の方や、普段なかなかご参加いただけない方も多く来て頂いて、盛り上がりました。今年も皆さんに盛りたてていただいて、さらなる発展・飛躍を目指したいと思います。

 会員交流会兼新年会で、みなさまからいただいたご挨拶を以下に記載します(敬称略)。参加者の一部になりますが、今年の決意表明が感じられる内容となっています。ぜひご一読ください。

今年も、どうぞよろしくお願いいたします。 

みなさまからのご挨拶

吉田眞 CSAジャパン会長

今年も元日が来たと思ったら早21日になり、去年の正月に聞いた川柳「元日や、すぐに来るぞ大晦日」を痛感しました。ともあれ、無事にCSA-JC新年会で皆様とお会いできたことを大変喜ばしく思います。

・CSA-JCも2013年12月発足から早2年2か月を経過し、皆様と事務局のご努力のおかげで会員数も少しずつですが増えてきました。この2年間に、景気が今一つということでビジネス側の煽りもあって、以下のような最近の特徴的な現象が見られます。

- クラウドの多様化(distributed cloudなど)と2サイクル目への突入、

-“兎に角なんでもIoT”, 作るときも、動くときも、使うときも、気を引くときにも、

- セキュリティ脅威の蔓延。

・セキュリティについては、日経BPの記事(注1)によれば「国・自治体・独立行政法人等のサイバーセキュリティ分野への政府予算が急進」し、2015年度当初の326億円から補正で520億円へ増額、さらに2016年度も当初予算は概算300億円とのことです。マイナンバー制度の運用不安対策が大きな要因となっているようですが、今後もセキュリティ対策(費用)の拡大はあっても縮小は無いでしょう。(注2)

一方で、ユーザ側からは「勧められるままに対策を何重にもやりすぎ」で「本当に有効なのか、もうやっていられない」という声も聞きます。不満・反省から新しい動きも起きるのではないでしょうか。システム・運用の対策への費用も必要ですが、現在最も重要なのは、これらを動かすセキュリティ人材の育成であって、是非これに予算を注いで欲しいところです。

・その中でCSA-JCは、ベンダ、プロバイダからユーザまでのエコシステムのオーケストレーションが重要な役割を担っています(これについてはCongress 2015の冒頭挨拶でお話ししました。(注3))今年はさらに、皆が集まる大きなテントを膨らませ広げていくだけでなく、これを支える柱や軸もしっかり見えるようにしていく必要があると考えます。風船のように膨らむだけで中は空っぽではと思われる恐れがありますから。

この柱や軸を強化する活動の例として、以下を挙げたいと思います。

- 日本としての「技術・アーキテクチャ」を見せる。(例えば、会員とCSA-JCが協力してホワイトペーパを作成・公開する等。) さらに、

- ユーザをさらに巻き込み一緒に活動して、ユーザに頼られる団体となる。(これは、現在事務局を中心に進められているところです。)

これらの“見える化活動”の中で、さらに情報と価値を発信・拡散し認知度を上げて、CSA-JCの趣旨に賛同してくれる仲間・サポータが増えること、そして、組織だけでなく参加する個々人が磨かれて人材育成もなされていくことを期待して、年頭のご挨拶とします。

注1: 「政府予算はサイバーセキュリティ分野が急伸」、日経BPガバメントテクノロジー、2016/01/18、http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/011400462/

注2: サイバーセキュリティ戦略本部:我が国のサイバーセキュリティ推進体制の更なる機能強化に関する方針、http://www.nisc.go.jp/active/kihon/pdf/cs_kyoka_hoshin.pdf

注3: CSA Japan Congress 2015 講演資料 開会挨拶

http://cloudsecurityalliance.jp/congress2015/kaikai_yoshida_20151118.pdf

勝見勉 CSAジャパン業務執行理事

昨年事務局長を諸角さんに譲ったので、今年は正直なところ、少し楽をしようと思っています。「フェードアウト」が中期戦略です。とは言え皆さんのお顔を拝見すると、ほとんど私がお誘いしてご入会いただいた方々なので、お役に立たなくては、と思ってしまいます。ただ、CSAは皆さんに使って頂いてナンボ、の存在です。こちらですべての期待値に予めおぜん立てをすることは、残念ながらとても手が回りません。そこで、必要な時に必要な形で使って頂きたいと思います。何でもリクエストを上げてください。できるだけ対応させていただきます。そして、CSAのバリューを上げる第一の道は、規模の拡大、知名度の向上です。これも皆さんのお力で、一緒に実現していきたいと思いますので、今年もぜひ、お力添えをよろしくお願いいたします。

羽田野尚登 株式会社日本環境認証機構 

現在、CCM-WG及びガイダンスWGで活動しています。WG活動の成果をCSA-Japanとして、積極的に発信・公開していきたいと考えています。また、CSAのWGは、新しい技術を修得できる良い機会ですので会員の特権として、ぜひ自ら参加して活用して下さい。

塚田栄作 あずさ監査法人 

財務諸表の監査のコンテンツにおいても情報セキュリティへの要求が高まっています。既に海外(特にUKやEU諸国)では経営者のセキュリティに対する取組む姿勢も評価すべき項目となっています。また、同時にコンプライアンスや不正への取組も然りです。日本でもMETIから”サイバーセキュリティ経営ガイドライン”も策定されました。今後は有価証券報告書等の中でも、会社によっては取組を開示すべき項目になっていくと思われます。CSAやWGからの情報を得るだけでなく、市場からの要望や監査の視点を鑑みながら、CSAジャパンに貢献したいと思います。

有本真由 小川綜合法律事務所

運営委員を務めております弁護士の有本真由と申します。CSAジャパンも今年3年目ということで、新たな発展の礎を築いていくことになろうかと思いますが、微力ながら私もそれに力を添えていくことができたらと考えております。引き続きどうぞ宜しくお願いいたします。

二木真明 アルテア・セキュリティ・コンサルティング 

昨年は、個人的に多忙だったこともあり、あまり積極的な活動ができませんでした。今年も引き続き、時間的に厳しい状況が続きそうですが、一方で、IoT関連でのグローバル側の動きを見るにつけ、CSAがIoT分野のセキュリティ検討のハブとなりつつあり、ジャパンとしてのキャッチアップ、リードできる分野の創出などの必要性を痛感している次第です。引き続き、IoTWGなどの場を通じて、グルーバル動向のキャッチアップや、日本としてのアウトプットとグローバルへのインプット、また国内外の関係団体との連携などを模索していきたいと思っておりますので、ご協力よろしくお願いします。

増田博史 日本ヒューレット・パッカード株式会社 

日本ヒューレット・パッカードでも、年末年始に、また新たにCCSK資格取得者が出ました!今後もますますクラウドセキュリティの促進に邁進してまいりますので、よろしくお願いいたします。

佐藤浩昭 日本サイトラインシステムズ株式会社 

日本サイトラインシステムズは、セキュリティ・コンプライアンス・モニタリング、及びキャパシティマネジメントやパフォーマンスモニタリングのソリューションを提供しております。クラウド、オンプレミス、双方のハイブリッドな環境もモニタリングします。ITシステム、製造プロセス、ビジネスデータなど、皆様のビジネスを支えるインフラやシステムのパフォーマンスを最適な状態に維持する事が可能となります。皆様のビジネスのお役に立てれば幸いです。

吉田豊満 日本ヒューレット・パッカード株式会社 

Cloud Securityの知識を広げる活動を通じてCCSKの資格取得者を増やしていきたいということと、会員増の支援をしていきたい。

谷本重和 日本ビジネスシステムズ株式会社

国内外の企業・組織においては、よりクラウド対するサイバーセキュリティへの関心が高まるかと考えております。そうしたビジネス側からの関心や要請に対して、クラウドセキュリティアライアンス(CSAジャパン)が、「勉強会」や「ワーキンググループ」活動を通じ、よりさらに、日本におけるクラウドセキュリティの推進役を担うことを願ってやみません。

上村竜也 CSAジャパン理事・運営委員

一般社団法人日本クラウドセキュリティアライアンスもセキュリティクラウドアライアンス・ジャパンチャプターの発足から数えてはや5年半経ちました。この間にクラウドを利用したサービスが続々と出てきています。最近ではAmazonのCloudDriveなど、容量無制限サービスなども出てきております。今やサービスの中でどこまでがローカルで動いており、どこからがクラウド上で動いているか、意識もしない状況となっています。またそれを後押しするかのように、ネットワークサービスも3Gや有線LANからLTE、4G、Wi-Fiへと利用が移行しつつあります。それによりコンピューティングの能力とそれに対するニーズは、この5年間に爆発的に増大しました。

こうして利便性が上がる中、昔からある詐欺や横領などはもとより、個人のアカウントを大々的に盗み取る偽サイトや、サービスそのものへの攻撃によるライフラインの操作、サイト書き換えやサービスの実行自体が出来なくなることは、メディアで絶えることなく報じられております。現状ですら安全とは言い切れない中、更に利用者からのニーズは増大し続けています。メリットは確かに増加しますが、一方で現状維持ではデメリットも同じように増加します。その意味合いからもクラウドセキュリティに対する意識の啓蒙と高度化は不可欠です。

これらの現状を前にして、私も理事として今年は大きく前進したいと考えております。特にバリューアップのためのマーケティング活動に力を活かしていきたい所存です。具体的には、

1)ワーキンググループの積極的参画とその結果の公開

2)クラウドセキュリティアライアンスならではのサイバー犯罪、サイバー攻撃の定点観測と統計情報の結果報告

3)CSSKやSTAR認証の一般化

に尽力したい次第です。

末筆ながら、皆様の継続的な参画、また新たなメンバーの積極的な参画がしやすい土俵作りに尽力していきたいと思います。

谷本茂明 千葉工業大学社会システム科学部プロジェクトマネジメント学科 

千葉工業大学の谷本です。CSAには、千葉工業大学社会システム科学部として、連携会員の資格で参加させていただいております。どうぞよろしくお願い致します。私自身は、情報セキュリティマネジメントの研究を進めており、CSAの活動としては、いつも勉強会に参加させていただいています。クラウドセキュリティに関わる最先端の話題に接することができ、とても感謝しています。今年もどうぞよろしくお願い致します。

 

最後に事務局として今年の抱負を述べさせていただきます。今年は、「コラボレーション」をテーマに活動していきたいと思います。会員企業・個人会員とのコラボレーション、関連団体とのコラボレーション、CSA本部とのコラボレーションを通して、日本・海外ともに突っ込んでいきたいと思います。皆様のご支援をよろしくお願いします。

以上

SaaS環境のクラウドセキュリティについて ~第18回CSA勉強会

日本クラウドセキュリティアライアンス 業務執行理事
諸角 昌宏

12月16日に行われた第18回CSA勉強会では、SaaS環境のクラウドセキュリティについてということで、セールスフォース・ドットコムの高橋悟史氏に講演していただいた。関心の高いテーマということで、多数の申込者があり、また、質疑も活発に行われて有意義な勉強会になった。また、SaaSだけではなくPaaSにも焦点を当てたクラウドセキュリティということで、非常に幅広くカバーしていただいた。

ここでは、大きく4つの点(プラットフォームセキュリティ、信頼性、セキュリティ管理機能、透明性)で勉強会の概要を説明する。

  1. プラットフォームセキュリティ
    セールスフォース・ドットコムでは、インフラ、ネットワーク、アプリケーションのすべての層においてセキュリティ対策を施している。インフラ、ネットワークでは、セールスフォース・ドットコムがセキュリティ対応をできるように24時間365日で管理を行っている。
    アプリケーションにおいては、シングルコードによる高い品質を維持し常に最新のものを使用することでセキュリティレベルを高めている。
    また、信頼を確保するために、年間数千億円の投資を行っており、外部の監査も定期的に受けている。
  2. 信頼性
    セールスフォース・ドットコムが一番強調しているのは信頼性である。稼働率はともかく、今まで一度もセキュリティ侵害を受けたことがないということはすごいことである。
    また、データのミラーリングやグローバルのデータセンターを用いたバックアップサイトを運用することでデータの可用性を高めている。
    バックアップサイトを日本に作る計画も進んでおり、これにより法域の問題やデータセンターへの立ち入り監査の問題に対応できるようになる。
    さらに、大規模マルチテナントであることから、作業できる要員の集中化を実現している。データセンターの運用に携われるのは信頼のおける人間のみとしており、プロバイダの人的な問題にも対応している。
  3. セキュリティ管理機能
    二要素認証、シングルサインオン(SAML2.0およびOpenID Connectに対応)、および、IDプロビジョニングによるID管理の安全化を行っている。
    データの暗号化については、鍵管理がサーバ側になっているが、SalesForce Shieldというオプションの暗号化機能を使うとサーバ内に鍵を保存することなく、必要なときにのみ鍵が生成されることになる。クラウドにおける鍵管理の原則は、利用者側で鍵を管理することであるが、それを実現するための1つの方法となっている。また、HSMによる厳重な鍵管理も行われており、非常に高度な暗号化と鍵管理を実現している。
    マルチテナントデータベースのセキュリティ対策として、テナント(利用者)ごとのテーブル構造が分からないようにしている。これは、メタデータによりテナントごとのマッピングを行うことで、自分のデータは自分しか見えないようにしている。これにより、データベース管理者がテーブルごとデータを抜き出したとしてもデータが漏洩することにならないようなセキュリティ対策が施されている。
    ネットワークについては、TLS1.2+AES256に対応した安全な通信を行っている。また、PCIDSS 3.1へのコンプライアンスとして、来年にはTLS1.0の接続をシャットアウトする予定とのことである。これは、利用者によっては問題になる場合もあるが、より安全なネットワーク環境の提供を行うということで進めている。
    データセンターの運用として、データセンター内にサーバにログイン可能な環境はなく、すべてリモートで運用を行っている。これにより、データセンター内で問題が起こらないように対策を取っている。また、データベースまでアクセスできる要員は少数の従業員のみとしている。
    さらに、社内にEthical Hackingチーム(redチームと呼ばれる)があり、ハッキングおよびペネトレーションの調査等を行っている。これは、独立した組織として活動しており、問題を見つけた場合にはすぐに対応を指示できるようにしている。
  4. 透明性
    http://trust.salesforce.comというウエブページに情報を公開し、稼働状況やメンテナンスのスケジュール等を公開し顧客が見える形で情報を提供している。また、もし顧客から要請があれば包み隠さず情報を提供する体制になっている。また、レギュレーションについても、要請があれば提供できる体制になっている。
    バージョンアップなどについては、顧客に事前情報提供を徹底し、できるだけ顧客に影響が出ないようにしている。

セールスフォース・ドットコムのセキュリティということで、非常に深く対策が取られていることがわかった。その上で、透明性を高めて利用者に対する説明責任を果たしている。このように、クラウドプロバイダとしての方向性を決めていくようなセキュリティ対策となっていると思われる。

CSAのガイダンスで述べているように、IaaSと違いSaaS/PaaSに関しては、プロバイダのセキュリティ対策に依存しなければならないところが多い。しかしながら、説明責任は利用者側に残る(セキュリティ対策はプロバイダ側に移動したとしても説明責任は利用者側に残る)ことに基づき、利用者のリスク管理の一部としてプロバイダのセキュリティレベルをきちんと確認しておくことが重要になる。セールスフォース・ドットコムのセキュリティ対策は、プロバイダが行うべきセキュリティ対策として、利用者が確認しておくべきことの指針になるものと思われる。

なお、勉強会の資料は2週間後を目途に一般公開される予定なので、詳細についてはそちらを参照してください。

CSA Japan Congress 2015 盛況裡に閉幕

一般社団法人日本クラウドセキュリティアライアンス 業務執行理事
勝見 勉

11月18日(水)、日本でのCongressとしては2回目の開催となるCSA Japan Congress 2015が開催されました。朝から空模様があやしく、午後からは雨になった中、140人の多数にご参加いただきました。運営スタッフ、講演者、プレス関係などを入れると170名を超え、ほぼ会場キャパシティ一杯になるという盛況でした。

今回の「目玉」は日本情報経済推進協会(JIPDEC)・情報セキュリティマネジメントセンター、高取敏夫参事による特別招待講演「ISMSをベースにしたクラウドセキュリティ~ISO27017の最新動向」です。クラウドに特化した初めての国際標準規格であるISO/IEC27017の正式リリースがもう間もなく、という時期に、この27017に基づく、ISMSのクラウド情報セキュリティに関するアドオン認証の創設という話題を中心にお話し頂きました。このクラウドセキュリティアドオン認証は、11月16日にJIPDECから発表されたばかりの、湯気がホカホカ立っているような情報で、世界に先駆けてクラウドのISMS認証を制度化するという画期的なものでした。受講者の多くもこの解説を目当てに参加されたものと思われます。27017そのものが日本の提案を基に日本主導で開発が進められたという意味でも、ISO/IECベースの国際標準化の歴史の中では画期的なことでした。クラウドサービスの開発では世界をリード、と言えない日本も、クラウドの最大の関心事であるセキュリティに関しては世界をリードする立場に立っていると言えます。その意味で世界最先端・最新の情報に接することができて、聴衆の皆様共々、感慨深いものがありました。

Japan Congress 2015のもう一つのテーマは、新しいクラウドセキュリティ技術でした。中でも特別テーマ講演にお招きしたヤフー株式会社上席研究員の五味秀仁氏からは、「FIDO-次世代認証方式とクラウド」というタイトルで、クラウドにおけるユーザ認証に親和性の高い、パスワードレスの認証スキームであるFIDO(Fast IDentity Online)について紹介と解説を頂きました。この他にスポンサー講演、ゲスト講演、パネルディスカッション等を通じて取り上げられた新しい技術トピックとしては、CASB(Cloud Access Security Broker)、SDP(Software Defined Perimeter)、コンテナ、トランスペアレントな暗号化、27018(クラウドにおける個人情報保護)が挙げられます。

クラウドはコンピューティングプラットフォームとして広く定着する方向を見せています。昨今のサイバーセキュリティ脅威や情報漏えいに対する管理・防御を考える時、専門家により安定的・トラブルレスの運転が期待でき、セキュリティ管理も充実しているクラウド環境は、ITに多くの予算と人材を割けない中小企業こそ、積極的に活用すべき社会的リソースと言えます。そしてそのセキュリティは、技術面からも、マネジメントシステムの面からも、ますます充実していくことが期待できます。今回のCongressは、こういった流れを明確に打ち出し、理解を深めるとともに、そのための最新トピックを盛りだくさんに提供する素晴らしい機会になったと言えると思います。

更に付け加えるならば、冒頭の日本クラウドセキュリティアライアンス会長・吉田眞東大名誉教授のご挨拶では、春に開催するSummitが発信の場と位置付けられるとすれば、秋に開催するCongressは「クラウドのセキュリティについて多面的に取り上げ、最新の情報を提供し、クラウドとセキュリティのベンダ、サービスプロバイダ、インテグレータ、ユーザ、関係機関が一堂に会し、クラウドを取り巻くセキュリティ課題を議論する 」場である、と整理されました。多士済々のスピーカと、パネルも含むプログラム構成はこれを十全に体現したと言え、充実した一日を、多くの関心高い人たちと共有できたと思います。

おわりに、最後まで熱心に聴講いただいた受講者の皆さまと、設営・運営スタッフ、そしてたいへんバリューの高いプレゼンを頂いた講演者の皆さまに、この場をお借りして感謝の意を表して、Congressレポートのブログのまとめにしたいと思います。どうもありがとうございました。

 

データセンターセキュリティ ~第17回CSA勉強会

日本クラウドセキュリティアライアンス 業務執行理事
諸角 昌宏

10月27日に行われた第17回CSA勉強会では、日本データセキュリティ協会が公開しているデータセンターセキュリティガイドブックの2015年版について、水戸和氏に講演していただきました。「データセンターセキュリティガイドブック」は、データセンターの利用者と事業者に対して「データセンターの適切なセキュリティ」とは何かを考え、共有する為の共通の知見を提供しているドキュメントということで、CSAジャパンとしても注目している内容になります。

さて、CSAジャパンとしては、そもそもクラウドセキュリティとデータセンターセキュリティがどのような関係になるかというところから始める必要がある。このあたりについては、CSAジャパンのメンバーである山崎氏がIT Leadersの記事でCSAガイダンスの内容として説明している(http://it.impressbm.co.jp/articles/-/11446)。これによると、「クラウドコンピューティングを進化さえるためには、サービスプロバイダや管理者は、仮想化技術を使ってサーバー資産を管理するだけでなく、データセンターそのものを進化させる必要がある」ということである。データセンターにおける物理セキュリティをクラウドセキュリティの一部としてきちんととらえていく必要がある。

それでは、データセンターセキュリティガイドブックの話に戻る。
まずデータセンターの位置づけであるが、現在ではデータセンターを社会基盤(重要インフラ)としてとらえる必要がある。ITインフラの流れが、かつての電子計算機センターの集中型からクライアント-サーバーによる分散の時代を経て、インターネットデータセンター/クラウドによる再集中の時代になってきている。その流れの中で、多くの利用者がデータセンターを利用し社会基盤化してきている。そのため、データセンターのセキュリティの重要度は非常に高まってきているということができる。
データセキュリティガイドブックでは、日本のデータセンターが機密データを預けることができるだけのセキュリティを実現しているかという観点で、セキュリティのベースとなるガイドブックを作成するという目的で作られている。したがって、内容的には「基準」ではなくデータセンターの利用者と事業者が「考え方」の共有を行うことができることを目指している。
データセンターのセキュリティと管理策は第3章に書かれている。ここでは、データセンターが提供するサービスに対する脅威の分析と、その脅威に対する管理策の考え方を示し、最後に実際に「架空」のデータセンターを基にしてセキュリティ管理策がどのように実装されるかを紹介している。これにより、利用者がデータセンターに存在する一般的な脅威とそれに対する管理策を、事例を通して理解することができるようになっている。
第4章では、データセンターに関連する様々な基準やガイドライン、および、認証制度をまとめている。これらの概要や関係の概要を説明するとともに、分野ごとの基準やガイドラインについても説明している。データセンターセキュリティガイドブックでは、共有可能なセキュリティのベースラインを提供できるようにしていくとのことである。

なお、データセキュリティガイドブックは、http://www.jdcc.or.jp/pdf/DC_Security_Guidebook_2015.pdf からダウンロードできる。

CSAのCCMでは、データセンターの運用において、物理セキュリティに対する項目を提供しており、また、様々な標準や法令とのマッピングを行っている。今後、データセキュリティガイドブックともうまく協調できる方法を考えていきたい。

IAMの最新動向 ~第16回CSA勉強会

日本クラウドセキュリティアライアンス
業務執行理事 諸角昌宏

9月25日に行われた第16回CSA勉強会では、ID管理に焦点を当ててエクスジェンネットワークス株式会社 江川淳一氏と日本ビジネスシステムズ株式会社 宮川晃一氏に講演していただきました。非常にわかり易くまとまった内容で、最新のID管理の背景、状況、そして、今後の動向について説明していただきました。ここでは、その要点をピックアップして書いていくが、ID管理の奥の深さに対してうまく伝えられるかどうか、いささか心もとない。2週間後くらいに一般公開される本勉強会の資料をぜひご覧いただいて、理解を深めていただきたい。

  1. ID管理とクラウド
    クラウド利用の拡大に伴い、クラウド上に機密情報を置くことが増えている。そのため企業のセキュリティ・ポリシーも変化してきている。今までは、ファイアウォールの中でのポリシーであったが、クラウド利用により機密情報がファイアウォールの外に出ていることを前提としたポリシー設定およびセキュリティ対策が必要となる。このような状況においてID管理として必要となるのが連携(フェデレーション)技術で、機密情報の一部を社内(オンプレミス)に残してセキュリティを守り、必要最低限の情報のみをクラウドに移行するという方法である。ID管理としてIdP(Identity Provider)とRP(Relying Party)を置き、IdをIdPで一括管理していく。このIdPをオンプレミスに置くかあるいは信頼できるクラウド事業者に置くことで、ID情報の機密を守っていくことになる。
  2. プロビジョニングの必要性
    個人ベースであれば、ID情報の登録、変更は容易に行えるが、企業となると一括して事前登録や変更が行えることが必要になる。また、共有を必要とするシステム(スケジューリングや営業支援など)では、属性情報などを事前に配布しておくことが必要である。また、IDライフサイクル管理や内部統制対策としての統一したID管理としてプロビジョニングが必要になる。
  3. 認証基盤システム
    以上のように、企業としてはID管理の基盤を必要とする。その理由は以下の4点である:
    – ユーザ利便性の向上
    – 管理効率の向上
    – 管理品質の確保
    – セキュリティリスクの低減

    では、実際にどのような基盤を用意するかであるが、以下の3つの要素に基づいたシステムを構成する必要がある:
    – ID情報マスターDB
    – IDM(IDライフサイクル管理、フェデレーション)
    – SSO(シングルサインオン)

  4. IDaaS
    IDaaS(ID as a Service)は、SaaSに対するSSOを実現する専業のIDaaSのサービスとして展開されている。特に欧米では、社内のADとの双方向連携(オンプレ->IDaaS, IDaaS->オンプレ)を行い、ID管理を含めてSSOを実現している。 さて、問題はIDaaSが日本で普及するかということであるが、欧米と違いID管理のところをどのように実現するかという問題がある。日本では、人事が所有している源泉のID情報をもとにID管理を行う必要があり、全体的なワークフローあるいはCSVでのやり取りを含んだ日本型IDaaSが必要になる。EXGEN社では、extic(EXGEN Trusted Identity Service)により、この日本のエンタープライズクラウド市場で要求されるIDaaS構成への対応を進めているとのことである。
  5. 情報共有機会の増大に対する認証方式
    最後に、まったく違う企業間での情報共有(サブライチェーン、Industry4.0など)に対する認証をどのようにしていくかという問題がある。他社のIDまで管理することは実際には難しく、IDを発行することなしに認証を行うフェデレーション技術が重要になってくる。今まで述べてきたように、フェデレーションはクラウド環境では非常に有効なソリューションであるが、情報共有においても非常に有効である。簡単に言うと、IdPさえ立ててしまえば、それに基づいて認証し情報共有ができることになるからである。

以上のように、フェデレーションを中心としたID管理および認証基盤は今後益々重要になってくる。また、IDaaSの利用も拡大していくであろう。IDaaSについては、どのように信頼できるプロバイダを選定していくかが鍵になり、サービス契約をどうしていくか、また、リスクをどこまで取っていくことができるかを総合的に評価し利用していくことが必要である。

次に、JNSAのアイデンティティ管理WGの活動について、簡単に説明する。

まずWGの目的であるが、「アイデンティティ管理における、様々な課題をWG討議の中で検討し、必要性の啓蒙および導入指針の提示による普及促進、市場活性化を目的に活動している」ということで、クラウド環境での適用も含め非常に幅広く活動を行っている。メンバーも43名ということで、WGとしては多くの方が参加している。今までの成果物には、 「クラウド環境におけるアイデンティティ管理ガイドライン」という書籍を出版し、また、「エンタープライズロール管理解説書」をウエブページから公開している。

2015年として、6つのテーマを掲げており、特に「IDの融合と分離の課題検討」を進めている。また、「ID管理チェックリスト作成」を新たに開始している。これに対しては、CSAジャパンも協業しており、一緒に活動していきたい。

JNSAのアイデンティティ管理WGでは、非常に深い議論・検討が進められているので、興味のある人はぜひ参加して貢献していただきたい。

以上、この分野は非常に奥が深くまた変化も激しいので、CSAジャパンとしても継続して勉強会等を通して情報を発信していきたいと考えている。

IoTがもたらすさまざまな影響

日本クラウドセキュリティアライアンス
業務執行理事 諸角昌宏

IoTの活用がいろいろなところで語られているが、その実態はどうなのであろうか。IoTが、単なるバズワードで終わらないということは、5月に行われた「CSA Japan Summit 2015」において森川博之氏の講演でも触れられていた。森川氏によると、「データが集まれば、様々な産業が集まり、今までなかったもののデータが重要になり、これを扱うIoT自体が、産業セグメントを変えていく。特に、IoTが大きな影響を与える分野として、医療(医療に関しては、日本が世界で最大のデータを持っている)、土木系(地すべり対策としてセンサーを設置するなど)など、今までは経験と勘に頼っていたものに新たにデータが加わってくることで生産性の低い分野にチャンスを与えることになる」ということである(参照:CSAジャパンブログ)。産業セグメントを変えていくという新たな潮流をIoTが担うということで、1つの大きな変革になるということである。

9月18日に行われた「ID & IT Management Conference 2015」では、「IoT活用がもたらす産業・社会変革」というタイトルで東京大学先端科学技術研究センター特任教授 稲田修一 氏が講演を行ったが、新たなIoTの見方があって大変興味深かった。

稲田氏によると、まず、IoTの前にOT(Operational Technology)があるということである。OTは、企業間にまたがるバリューチェーンの最適化を図ることであり、いわゆるIndustry4.0の中核をなす考え方である。この最適化を行うには、企業間をまたがるデータ共有が必要であり、これがIoTにつながっていくということになる。さて、この企業間をまたがったデータ共有というものが日本でどのようになっているかというと、非常にお寒い状況のようである。まず、データの利用に対する考え方が間違っている。データは、ビジネスにおける課題の発見と解決のために使われなければならないところを、データをどのように活用するかというところに目が行っている。これは、多分に経営者の問題であり、データの利用を担当者に丸投げしているため、まったく新しいアイデアが出てこない。まさに、オペレーションとイノベーションの区別がついていない。まず、経営者が戦略・方針を示し、そのうえでデータを活用していくということが日本には求められるということである。

稲田氏は、もう1点、IoTが果たす役割について述べていた。それは、IoTが一般のインターネットと違い安全を必要とする点が重要であるということである。医療や自動車など、IoTが利用されるところでは、多くの部分で命に関わってくる。このような環境では、今までのソフトウエアのやり方を根本的に変える必要がある。バグが直接命に関わることになるので、今までのように利用者にバグ出しさせるとか、バグなのか仕様なのかがはっきりしない、はたまた、再現できないバグは修正できない(再現っていったい???)というようなことは許されなくなる。ソフトウエア関係者が良く使う「Best Effort」の対応などということは全く通用しない、保証「Guarantee」のある世界をIoTが作っていくことになる。つまり、IoTをきっかけにインターネットやソフトウエアの世界が大きく変わっていく可能性を秘めている。

IoTは、これからもさまざまな世界を切り開いていくことが期待できる。その中で、IoTをどのようにクラウドセキュリティに結び付けていくか。CSAジャパンのIoTワーキンググループでもいろいろと議論を進めているので、興味のある方はぜひご参加ください。

以上

クラウド環境での暗号化/鍵管理 - Salesforce.comのアプローチ

日本クラウドセキュリティアライアンス
業務執行理事 諸角昌宏

クラウド環境では、データの転送時、データの保存時にデータを暗号化することがクラウドセキュリティのための推奨事項になっていて、CSAのガイダンスでも推奨されている。暗号化せずにクラウドに置かれているデータは、公開されているデータと見做される場合もある。また、暗号化と対になるのが暗号鍵の管理になる。暗号鍵を適切に管理/保管することも非常に重要になる。クラウド環境における鍵の管理について、CSAのガイダンスではユーザ側で管理することを強く推奨している。これは、プロバイダが鍵管理を行った場合に、鍵が漏れてしまうことによるデータ漏洩や、プロバイダの管理者が鍵を不正使用することによるデータ漏洩の危険を避けるためである。しかしながら、IaaSではユーザが鍵管理を行うことができる可能性が高いが、PaaS/SaaSにおいてはユーザが鍵管理を行うことは難しくなる。クラウド上のアプリケーションがデータを処理するためには、暗号化されたデータを復号する必要があり、そのための鍵が必要になるからである。このような状況では、プロバイダ側の鍵管理の状況を明確に把握し、必要に応じて強固な鍵管理を要請することが必要になってくる。

このような状況の中で、この問題を解決する可能性のある方法をSalesForce.comがリリースしたので、これについて紹介する。

SalesForce.comは、SalesForce Shieldという名前で、提供するクラウド環境のセキュリティを強化したソリューションを出してきている。SalesForce Shieldは、以下の3つの機能からなっている:

  • Event Monitoring
  • Field Audit Trail
  • Platform Encryption

この中で、暗号化/鍵管理にあたるところが、Platform Encryptionになる。なお、Platform Encryptionの特徴は以下になるようである:

  • データ保存時の暗号化(encrypted at rest)
  • 法律/コンプライアンスへの対応
  • 追加のハードウエア不要
  • 鍵のライフサイクル全般に渡っての管理
  • 鍵管理を完全にユーザがコントロール可能

さて、Platform Encryptionでは、どのようにして鍵をユーザがコントロールできるようになっているのだろうか?詳細は、ホワイトペーパーが以下のURLで公開されているので、一読いただければと思う(ダウンロードするには、登録が必要になる)。

https://www.salesforce.com/assets/pdf/misc/Platform_Encryption_Architecture_White_Paper.pdf

ここでは、その概要について記述する。

SalesForce.comでは、いわゆるSplit KeyあるいはKey Segmentationという方法を用いて実現している。これは、暗号鍵をどこかに保存しておく代わりに、論理的あるいは物理的に分離されたHSM (Hardware Security Module)からオンデマンドで引き出す形をとっている。ここでは、SalesFormce.com側が管理する鍵(master secret)とユーザ側が管理する(tenant secret)という2つの鍵を用いる。master secretは、SalesForce.com固有のHSMから作成され、SalesForce.comの内部システムに安全に保管される。また、ユーザ用に作成されるtenant secretは、ユーザがオンデマンドで作成し、ユーザのデータベースに保管する。これらの2つの鍵を用いて、初めて暗号鍵を引き出して使用できるようになる。したがって、暗号鍵がどこかに保存されるという必要もなくなるし、ユーザ側でtenant secretを完全にコントロールし、作成、削除等が行えるようになる。これにより、SaaS環境でのユーザ側での鍵管理を、実質的に実現できるようになっている。

鍵管理は、CCM(Cloud Control Matrix)のEKM-04において「鍵は(当該クラウドプロバイダの)クラウド内に保管するのではなく、クラウドの利用者または信頼できる鍵管理プロバイダが保管しなければならない。」と言っており、プロバイダではなく利用者あるいは信頼できる鍵管理プロバイダが保管することを推奨している。このような状況の中で、特定の鍵の保管なしに利用者が管理できることを実現していることは、今後注視していきたい。

以上