作成者別アーカイブ: 諸角昌宏

CASB (Cloud Access Security Broker)概要、ケーススタディー(第14回CSA勉強会)

CASB (Cloud Access Security Broker)概要、ケーススタディー(第14回CSA勉強会)

日本クラウドセキュリティアライアンス
諸角 昌宏

7月28日に行われた第14回CSA勉強会について報告します。テーマは、「CASB (Cloud Access Security Broker)概要、ケーススタディー」ということでした。クラウドセキュリティの新たな潮流であるCASBは、あらゆるクラウドサービスの安全な利用のためのテクノロジになります。今回、日本で真っ先にCASBソリューションを展開しているマクニカネットワークスさんのみなさまに、CASBとはなにか、どのように使われるものかについて、デモを交えて説明していただきました。

まず、ブローカーという言葉とクラウドセキュリティをどのように結び付けているのか、というのがCASBという言葉を最初に聞いた時の感覚でした。ユーザの代理でクラウドセキュリティを担保してくれるようなサービスであれば、それは望ましいことですが、果たしてそんなことが可能なのでしょうか。もし、サービスを使っている状況でセキュリティ侵害が発生したら、保証問題になってしまうのでしょうか。ということで、あまりビジネスモデルが思いつかない状況で今回の勉強会を聞きました。

さて、クラウドの利用者は、どのような基準でプロバイダやクラウドサービスを選べばよいのでしょうか。CSAのガイダンスでも言っているように、基本はプロバイダとの契約にどこまで要件等を落とし込めるかになります。しかしながら、プロバイダが提供している情報でどこまでプロバイダを選定することができるか、また、クラウドの場合、サービス自体がサプライチェーンとなっている場合も多く、それらを含めてすべて理解することはほぼ不可能です。そのように考えていくと、CASBが徐々に見えてきます。CASBは、最初にガートナーが定義したところによると、「1つ以上のクラウドベースサービス全体で、単一のポリシーを適用できる」とのことです。要は、クラウドサービス(群)とユーザの間にアクセスポイントを提供し、そこでセキュリティポリシーを強化していく技術であるということになります。特に、シャドーITのように、利用者側で使われているクラウドサービスがコントロールできないような環境において、CASBが仲介することでコントロールを可能にするテクノロジになります。

CASBは、ガートナーの予想では、今年の市場規模が$100M、2018年には$400Mに達するということで、既に10社を超えるCASBベンダーが存在しているようで、この3年間で最も注目されるテクノロジとのことです。また、別のデータとして、1企業が利用しているSaaSアプリケーションの平均が1.083個であるとのことです。これは、シャドーITを含めた数字になりますが、相当数のSaaSアプリが既に使われていることがわかります。
さて、CASBですが、以下の4つの柱からできています:

  1. 可視化
  2. コンプライアンス
  3. データセキュリティ
  4. 脅威防御

この4つの柱を見ていくと、CASBの活用事例が見えてきます。まず、クラウド利用の現状を把握します。いわゆるシャドーITの実態を可視化により把握できるようにします。次に、クラウドサービスを管理された状態にします。これにより、コンプライアンス要件を満たしていくようにします。また、既存のテクノロジ(DLP等)と連携し、データ保護、脅威防御を実現し、オフプレミスでのデータ活用を促進できるようにします。最後に、クラウドサービスのライフサイクル全体を支援することで、ビジネスの俊敏性を実現していくことになります。

勉強会では、さらにSkyHighのデモを交えて、具体的にCASBでどのようなことができるかを説明していただきました。2つのIT(シャドーITと許可されたIT(sanctioned IT))で、どのようにCASBが利用されるかというデモでした。

  1. シャドーIT
    シャドーITに対しては、CASBの持つ可視化機能によって、すべてのクラウド利用状況を把握することができるようになります。また、クラウドサービスのリスク判定を行い、リスクアセスメントポイントを設定しています。これは、SkyHighがCSAのCCMをベースに独自に調査を行ったもので、既に4,000以上のSaaSアプリケーションが登録されています。ユーザは、このポイントを基にリスクを判断し利用するかどうかを決定することができます。
  2. 許可されたIT
    ログ等を集め解析を行います。これにより、監査証跡、ポリシーの強化、コンプライアンス対応等を行うことができます。また、イベントに基づく検知や脅威防御を、DLP製品等と連携して行うことができます。

以上のように、クラウド利用において問題となるセキュリティ対策を、利用者とクラウドサービスの間に立って行うことができるということから、今後、期待されるテクノロジということができます。解決しなければならない問題、たとえば、CASB自体が単一障害点になったり、ボトルネックになったりする可能性や、モバイルを用いた外部ネットワークからのアクセスの対処などが考えられるようですが、解決が難しい問題ではないと考えられます。

最後に余談ですが、CASBとタイプしようとして、CSABとタイプしてしまうことが結構あり、職業病かなと思うところもあります。CSAB(CSA Broker)なんて存在が必要にならないよう、CSAも地に足を付けて頑張らなければと思います。

以上、概略ですが、勉強会の報告といたします。

以上

 

SDPと2015年度データ漏洩/侵害調査報告書の報告(第13回CSA勉強会)

SDPと2015年度データ漏洩/侵害調査報告書の報告(第13回CSA勉強会)

2015年7月1日
日本クラウドセキュリティアライアンス 諸角昌宏

6月29日に行われた第13回CSA勉強会について報告します。テーマは、「SDPと2015年度データ漏洩/侵害調査報告書」ということで、ベライゾンジャパンの皆様に講師をやっていただきました。SDPは、Software Defined Perimeterということで、5月のCSA Summit Japan 2015でJim Reavisが触れていたクラウドセキュリティの新しい潮流の1つです。ベライゾンは、SDP仕様書V1.0の作成を中心となって行っており、SDPに関しては事例も含めて先進的に進めている会社になります。また、ベライゾンはセキュリティの調査レポートを毎年出しており、今回は8回目として”2015 DATA BREACH INVESTIGATIONS REPORT”を公開しています。

それでは、まずSDPについて勉強会の内容を報告します。

そもそもSDPとは?ということですが、”Temporal Network”ということで「一時的なネットワーク」という表現をされています。つまり、伝統的な固定ネットワークではなく、ダイナミックに接続先が決まることで攻撃のターゲットが明確にならないようにして守っていくという手法になっています。個人的には別のスライドで使われていた” Secure Non Discoverable Network”、つまりデバイスやIDが認証されるまでネットワーク上で見ることができないという表現の方がわかり易い感じがしますが、いずれにしろ、サーバのどこにアクセスするかは認証して接続するまで決まらないことでネットワーク上のセキュリティを保つためのアーキテクチャということになります。以下のような特徴を持っています。

  • ネットワークベースの攻撃からアプリケーションを守るためのセキュリティ・フレームワーク
  • “Need-To-Know”という形で、ダイナミックなネットワーク構築に基づいた「必要な時」に接続するモデル
  • DNSやIPアドレスをあらかじめ見せない

また、SDPは既存の標準に基づいて設計されているため、非常に安定したものであるということが言えます。また、CSAがオープンスタンダードとして使用を公開しているため、誰でも利用することができます。

さて、実際にSDPがどのように動作するかということですが、簡単に言うと以下の流れになります:

  1. デバイス(ブラウザなど)から、SDP Controllerにアクセス
  2. デバイスの認証を実施
  3. ユーザ認証および使用するアプリケーションの認可を確認
  4. アプリケーション・サーバをダイナミックにプロビジョニング
  5. デバイスがアプリケーションを利用

勉強会では、SDPを用いたいくつかの事例について紹介されました。また、CSA Conferenceで行われたハッカソンについての説明もあり、世界中からの150億アタックに対して、一度も破られなかったということでした。また、勉強会参加者から、SDPのユーザーズガイドやインプリメンテーションガイドが欲しいという意見、SDP Controllerでのポリシー管理に対する質問等が出され、活発なディスカッションになりました。今後、CSAジャパンを中心として幅広い情報共有や実装に向けての議論を進めることが必要であることを感じました。

次に、2015年度データ漏洩/侵害調査報告書について報告します。

まず、ベライゾンが強調していたのは、実際のデータに基づいたレポートとなっている点です。一般的に、このようなレポートはアンケート結果に基づくものがほとんどで、データに基づいた調査結果であり非常に信頼性が高いということができるようです。2015年の情報漏洩データとして、2,122件の漏洩事故および79,790件のセキュリティインシデントを分析したとのことで、特に今回はJPCERTのデータとして日本でのデータを含めたレポートとなっているとのことです。

この中で、いくつか特徴的な点として感じた点を以下にあげます。

  • フィッシングメールへの対応フィッシングメールの添付ファイルをクリックする確率が11%ということで、10通送れば1通は開かれるという状況とのことで、攻撃者から見ると非常に効率的な攻め方のようです。対策として最も重要なのはトレーニングで、セキュリティ対策では人が最終的な検知装置であることを認識する必要があるとのことです。
  • 脆弱性脆弱性を突いた攻撃の97%は、わずか10個の脆弱性に対する攻撃だそうです。さらに、攻撃の99.9%が、CVEの公表から1年以上経過したものだそうです。脆弱性に関する情報をきちんと入手および管理することと、パッチ適用などの伝統的な対策をきちんと行うことが重要になります。
  • 情報漏洩情報漏洩の原因として、Webアプリケーションを狙った攻撃はかなり少なくなっていて、反対に人をターゲットにした攻撃が増えていて、全体の90%以上を占めているとのことです。
  • 業界業界別では、製造業、小売業に対する攻撃が目立っているとのことです。また、教育機関への攻撃も多いとのことです。

その他、実際のデータに基づく非常に詳細な分析が行われています。このレポートの日本語版も近々公開されるとのことですので、期待したいと思います。

以上、非常に概略になりますが、勉強会の報告といたします。

CSA Summit @サンフランシスコ の報告(第12回CSA勉強会)

2015年5月28日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

5月26日に行われた第12回CSA勉強会について書きます。テーマは、「CSA Summit報告会」ということで、4月にサンフランシスコで行われたCSA Summitの内容を笹原英司氏に説明していただいた。Summit Japanが開かれたのが5月で、時系列的に逆になってしまったが、大変興味深い内容であった。

まず、大きなトピックとして、以下の3つであった。

  • SDP(Software Defined Perimeter)
  • STAR Watch
  • ワーキンググループの報告
    SDPは、Summit中に3回目のハッカソンが行われ、安全な環境を提供するアーキテクチャとして、着実に進んでいるようである。STAR Watchは、STARのSaaS版であり、ベータ版の公開を開始している。また、CSAの活動の中心であるワーキンググループについては、各グループから詳細な報告があった。

さて、CSAの活動の特徴として今回目立ったのは、米国とEUの協調の橋渡しとしてCSAが寄与してきているということであった。つまり、グローバルな標準化に向けて、CSAが大きな役割を担ってきているということである。典型的なのは、スノーデン事件の影響で、米国とEUの関係がぎくしゃくしている状態で、その間を取り持つ形でCSAが機能しているということである。CSAヨーロッパがEUと米国の合意形成に寄与することで、国に対する影響力も強めているということである。また、中国では、中国政府の認証機関CEPREIと共同でSTAR認証の中国版を作成している。これは、6月中には発表される予定で、米国、EU、中国という主要市場でSTAR認証の制度が確立することになる。

また、クラウドセキュリティの世界では、今まではGoogle, AWS等のビッグプレーヤーがセキュリティの標準というものを作っていたが、最近の傾向としては、プラットフォーム上で新しいセキュリティを作っていく新しい企業やベンチャー企業が進出してきているということである。いわゆる、クラウドブローカの流れで、新興企業による新しい産業の創出(Open-Innovation)が起こっているということである。日本でも、FinTechを中心に新しい企業を支援する動きがあり、これが新たな潮流になってきているとのことである。笹原氏によると、ITの定義自体が、Information TechnologyからInnovation Technologyに代わってきているというなかなか面白い表現で、これはもしかするとヒットする用語になるかもしれないと思われた。また、笹原氏はセキュリティに対する今後の日本のかかわり方として、以下の2つのアプローチがあることを強調されていた。

  • 安全を担保するための情報共有を積極的に行っていくこと
  •  Innovationを起こして、産業を創出していくこと

その他、各ワーキンググループからの報告で特に印象に残ったのは以下の点である。

  1. STAR WG
    先ほども触れたSTARWatchがアナウンスされた。STAR認証をSaaS型で実現するもので、EXCELを埋めていく従来のやり方から一歩進んだ形になっている。日本側でも、この運用をどうするかを早急に検討する必要がある。ベータ版が公開されていることから、検討を開始したい。
    また、STARへの新たなマッピングとして、FedRAMP、27018、NIST Cyber Security Frameworkが追加されることになっている。
  2. IoT WG
    モバイルワーキンググループから独立して、活動を開始していて、CSAジャパンの活動もグローバルから評価されている。新しいドキュメントとして、”New Security Guidance for Early Adopter of the IoT”がリリースされている。IoT WGの最終的なターゲットは、企業向けIoTのセキュリティであり、特にプライバシーの保護をどのように進めるかが今後の研究テーマとなっているようである。
  3. CISC(Cyber Incident Sharing Center)
    これは、以前CloudCERTと呼ばれていたものある。ホワイトハウスが進めている情報共有の動きに合わせて活動を行っている。CSAの役割としては、民間、政府などと違ってニュートラルなポジションにいることを生かして、情報を集めるときに発生する利害関係をCSAが間に入ることで円滑に進めていくということである。
    CISCは、日本企業、特に米国の日系企業にはインパクトが大きく、米国の情報をどのように本国で対応していくかなど、法的な問題も含めて見ていく必要がある。

以上、CSA Summitの報告を簡単にまとめてみた。グローバルという観点で見た場合のCSAの重要度が感じられる内容で、CSAジャパンとしてもさらに活動を活発化していく必要があることを強く感じた。

 

CSA Japan Summit 2015 を終えて

2015年5月25日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

CSA Japan Summit 2015が、5月20日に開催された。今後のクラウドおよびクラウドセキュリティの動向をグローバルの視点を含めて聞くことのできた講演であった。

さて、全体を通じてまず感じたことは、クラウドに対する見方が大きく変わってきているということである。つまり、「クラウドを使っても大丈夫か」ではなく、「クラウドをどのようにビジネスに活用するか」というように変化していることである。以前のCSA勉強会で渥美俊英氏が述べていたように、もはやクラウドを技術的に考えるのではなくビジネス的に考えなければいけなくなっている。また、クラウドを使わずには、企業が生き残っていくことができないという段階に来ているということを改めて感じた。今回のCSA Japan Summit 2015は、クラウドを支えるべく技術的な動向、IoT等の新たな動向、金融機関における業務のクラウド化の紹介、また、法律の観点からの考察ということで幅広くこのクラウドに対する見方の変化についてカバーしていた。

以下、私なりに3つのポイントで今回のSummitをまとめてみる。

  1. クラウドの利用を支える新しい技術
    企業がクラウドを使っていく場合、もはや、「パブリックは危険」で「プライベートは高価」という概念を取り払う段階に来ているようである。パブリッククラウド環境にプライベートクラウドを構築するバーチャルプライベートクラウドを用いて、如何に安全にクラウドに移行するかを考えていくことが重要である。ソニー銀行の大久保光伸氏の講演では、銀行業務のかなりの部分をAWS VPCに移行させた事例を紹介していた。信頼が非常に重要な銀行業務においてクラウド化を実現した理由は、限られたIT予算内で「固定的ITコスト」を減らし「戦略的ITコスト」に振り向けることとのことであった。以前からクラウドに移行するメリットとして挙げられている理由ではあるが、銀行という業種の言葉として非常に重みを感じる。AWS VPCが信頼できるプラットフォームとして選ばれた理由は、ISO27001とFISCの安全対策基準に準拠しているということであった。どのような形でプロバイダを選定するかについて、吉井和明氏の講演では、「利用者側で、事業者側を管理することや責任を取ることはかなり難しい。利用者側ができることは、リスク軽減の考え方に基づいてクラウドの選択を行うことが重要である。経産省/金融庁等のガイドラインやCSA STARなどを使ってプロバイダの能力を判断することが最良の策である。」とのことであった。このように、バーチャルプライベートクラウドを積極的に利用していくこと、またそのためのセキュリティ対策をきちんと行うことが今後のビジネスにおいて重要になると思われる。
  2. クラウドセキュリティを支える新たなソリューション
    Jim Reavis氏の講演では、CSAにおいて以下の技術をもってバーチャルプライベートクラウドのセキュリティの研究を進め、安全なクラウドに向けての活動を行っているとのことであった:

    • 暗号化と鍵管理バーチャルプライベートクラウドにおいては、データおよび通信の暗号化は非常に重要である。CSAのSecurity as a Serviceワーキンググループでは、クラウドのセキュリティの研究において、特にこの分野にフォーカスしている。
    • CASB: Cloud Access Security Broker クラウドアクセスセキュリティブローカ (クラウドへの安全なアクセスを提供する業者) 。クラウドプロバイダのセキュリティ対策を補完し、利用者が必要とするクラウドセキュリティ対策をまさに代行して行うもので、非常に有効なクラウドのセキュリティ対策になる。
    • 仮想化バーチャルプライベートクラウドは、基本的に仮想化環境で動くことになる。仮想化のセキュリティに関しては、ガイダンスで扱っている内容であり、引き続き研究を進めていく。また、新たなコンテナ技術(Dockerなど)に対するセキュリティの研究も進めている。
    • SDP(Software Defined Perimeter) SDPは、認証ができるまでネットワークを非公開に保つことができ、ネットワークの高い安全性と信頼性を構築できるアーキテクチャとなっている。現在は、パイロットやユースケースの拡大の段階ではあるが、実用化に向けての研究を進めている。

      そのほか、プロバイダの認証としてのSTARプログラムを展開しプロバイダのレベルの透明性や認証を進め、利用者が安全なプロバイダを選定できる体制を整えている。また、利用者のリテラシーの向上に向け、クラウドの認定資格のCCSKを進めている。

      また、クラウドで重要となるID管理をSaaS化するIDaaSについて、江川淳一氏からお話があった。IDaaS自体は、4~5年前から米国で増えてきたサービスで、ID情報マスタをIDaaSで管理する。クラウドを利用する場合、オンプレミスよりID管理が面倒になる。また、利用者もクラウド事業者もどちらもID情報は預かりたくないというのが本音である。そうであれば、ID管理を専門に行っていて、信頼できるサービスを利用するというのが、セキュリティの観点からも有用になってくる。もちろん、IDaaS事業者には厳格なリスク評価が要求されるが、サプライチェーンをコントロールできる点を考えてみても有用なサービスになってくると思われる。

      もう1つ、夏目道生氏からはシャドーIT対策として、現状(利用状況)の把握、モニタリング、リスク評価、アナライズ、セキュリティ対策というサイクルでの対応が必要となるというお話があった。それを実現する製品としてSkyHighが紹介されていた。SkyHighは、Jim Reavis氏の講演でフォーカスされていたCSABを提供しており、クラウド環境での新たなセキュリティ対策として注目していきたい。バーチャルプライベートクラウドにより、機密性の高い業務をクラウド化することが十分現実味をおびてきている。一方、クラウドに対するセキュリティ技術自体も進化している。アンテナを高く張って、クラウドを安全に使う技術を習得し続ける必要がある。

  3. IoTの動向とセキュリティ
    今回のSummitにおけるメインテーマの1つがIoTであった。IoTは、最近流行りのバズワードと思われる点もあるが、森川博之氏によると、バズワードでは終わらないということであった。それは、データが集まれば、様々な産業が集まり、今までなかったもののデータが重要になり、これを扱うIoT自体が、産業セグメントを変えていくということである。特に、IoTが大きな影響を与える分野として、医療(医療に関しては、日本が世界で最大のデータを持っている)、土木系(地すべり対策としてセンサーを設置するなど)など、今までは経験と勘に頼っていたものに新たにデータが加わってくることで生産性の低い分野にチャンスを与えることになるということである。講演タイトルの「未来を創るIoT」において必要とされることについては、「フィールド志向」と「デザイン能力」とのことであった。IoTで最も重要なのはユーザ企業。現場で使っているものを理解する必要がある。自分で飛び込んでいって解決させていく「フィールド志向」が必要になる。また、従来必要とされた能力である「考える、試す」に対して、これから必要とされる能力は、「気づく(柔軟な発想)、伝える(説明の仕方によりインパクトが違ってくる)」ということで、この「デザイン能力」を意識的に磨いていくことが重要とのことである。

    また、IoTのセキュリティについて研究を行っている二木真明氏は、いろいろなデバイスがシステムとして動くようになった場合のシステムとしてのリスクとして、システム全体として障害を起こした場合の方がクリティカルになると述べていた。そのため、CSAジャパン IoTクラウドWGでは、システムの中のサービスにフォーカスして活動しているとのことである。このような状況でのセキュリティ対策として、サービス事業者はリスク評価を正しく行い、セキュリティ対策を講じることが必要ということであった。

    IoTについては、Jim Reavis氏も触れていたように、CSAとしても重要なテーマの1つとして研究を進めていくということであった。

最後に、クラウドセキュリティには直接関係しないが、飯塚久夫氏のTelecom-ISACの話は興味深かった。詳細には触れないが、「受動的な無責任を改めよ!大事なのは安全の確保であって、安心の確保ではない。日本では、自己の確立ではなく自我の確立に走っていた。また、安全・安心は誰かが与えてくれるという観念があり、リスク対応が不得手である。」ということで、リスク文化の転換が必要であるということを強調されていた。

クラウドセキュリティについて語ると、どうしてもクラウドにおけるリスク中心の話になりがちである。結果、利用者から「クラウドはやっぱり危険なんですね」という意見をいただくことが多い。クラウドセキュリティに関わるものとして、リスクを正しく伝えることは重要であるが、クラウドを安全に使うためのガイドをもっと出していかなければならない。うまく使えば、クラウドの方がセキュリティレベルは高いはずである。

その他、盛りだくさんだったSummitの内容については、後日公開される資料集を参照してください。

 

第11回CSA勉強会「NIST draft SP800-125a Security Recommendations for Hypervisor Deploymentの解読」

2015年5月1日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

4月28日に行われたCSA勉強会「NIST draft SP800-125a Security Recommendations for Hypervisor Deploymentの解読」に参加しました。講師は、株式会社 東芝 インダストリアルICTソリューション社の外山春彦氏です。

そもそもハイパーバイザの脅威とは何かということですが、ハイパーバイザに入れればなんでもできてしまうということとハードウエアリソースの共有による可用性の問題の2点があげられます。CAIの観点からいうと、VMの操作・情報漏えいに関わるCIとVMの可用性を妨害するAということになります。NIST SP800-125aでは、ハイパーバイザのセキュリティに関するベストプラクティスを集めた形でまとめられています。NIST SP800-125aは、2011年に出された125に次いで出される形になっていて、125では仮想化全体についてのハイレベルな記載になっていたのに対して、125aではハイパーバイザを体系的に捉えることと運用に焦点を当てたセキュリティの推奨事項を22項目にわたってまとめています。特に、以下の3つの観点でまとめられています。

  1. ハイパーバイザのアーキテクチャおよびその選択
  2. ハイパーバイザのベースラインに対する脅威
  3. セキュアブートをサポートしたアーキテクチャを前提

アーキテクチャの選択基準としては、ブートインテグリティ保証があることやCPUの仮想化機能を持っていることを前提としているなど、たぶんにIntelアーキテクチャ、特に最新のものを前提としているようです。これにより、仮想化機能の実現手段として、ハードウエアからの支援とソフトウエアの両面から行っていくことが推奨されます。ベースラインに対する脅威としては、境界面からの脅威があげられています。脅威源として、リソース、ゲストに加えて管理コンソールへの攻撃を注意する必要があります。ハイパーバイザ固有の攻撃としては、悪意のあるVM,通信のなりすまし、リソースの食いつぶし、特権インターフェースの利用の4点があげられます。したがって、ベースライン機能に対するセキュリティ推奨としては、実行のアイソレーション、デバイスエミュレーションとアクセス制御、VMの管理、アドミン管理が必要とのことでした。

最後にまとめとして挙げられたセキュリティの推奨事項として以下の3点がありました。

  1. ハイパーバイザプラットホーム選択
  2. ホスト上の複数VM(設定・状態)を管理する必要性
  3. ハイパーバイザホスト&ソフトの管理者設定

ハイパーバイザのリスクは、ENISAの「クラウドコンピューティング情報セキュリティに関わる利点、リスクおよび推奨事項」の中の「V5.ハイパーバイザの脆弱性」でまとめて記述されているような固有の脆弱性を持っています。また、CSAのガイダンスにおいては、ハイパーバイザのセキュリティ対策として、第13章「仮想化」で詳しく触れています。また、ハイパーバイザのセキュリティは、ハードウエアやソフトウエアの支援の下に実現していくことが大切であると感じました。Intelアーキテクチャのハードウエア支援や、VMWareのvShield機能などを利用して対策を取っていきたいと思います。SP800-125aは、まだドラフトですが、今後のハイパーバイザ/仮想化の基準として抑えていく必要がありそうです。

なお、本勉強会の詳細については、改めて公開される勉強会資料を参照してください。

以上

データベースは金庫になれるか ~ Oracle Cloud World

2015年4月13日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

4月9日にOracle Cloud Worldに行ってきました。オラクルとクラウドという言葉から斬新なアイデアがあるかということに惹かれたのもありますが、データベースのセキュリティでは進んでいると思われるOracleの最新動向を理解しようと思って行ってきました。
さて、「データベースは金庫になれるか」というのは、ずいぶん前から話題にはなっていました。企業において、ほとんどの機密データ、個人データがデータベースに入っている状況で、データベースさえ破られなければセキュリティは保たれるという、いわゆる金庫に貯金通帳、印鑑、登記簿などを保管して保護する方法と同様の考え方です。数年前に、DAM(Database Activity Monitor)などの技術が出てきて、これでデータベースを金庫にできるかと言われたものですが、現状は「破られるものは破られる」という感じになっています。最低限、事後対策としてアクセスログはきちんと取っておいてくださいというような、インシデントレスポンスが強調されているという状況になっています。
そこで、データベースのセキュリティ技術はどこまで行っているのかということで、Oracle Cloud Worldで聞いてきた概要を書いていきます。幸いなことに、Oracle Cloud Worldでは、セキュリティ・トラック的に、いくつかのセッションが組まれていて、結構勉強になりました。

それでは、Oracleのセキュリティコントロールから始めます。Defense in depthで、マルチレイヤーの予防/防御、検出、管理を行っていくということで、基本的なセキュリティのアプローチを取っています。その中で、以下の項目のように対応を取っています。

  1. データ暗号化
    認証されたアクセスのみを許可することで、バイパスされたデータアクセスの防止。また、2-tier鍵管理を採用して、鍵の管理にも十分な対策の実施。
  2. データリダクション
    機密データが取り出されることを防止するため、データベースへのアクセスの直前で機密データへのアクセスをコントロール。アプリケーションから取り出されることに対しても予防。
  3. 機密データのスプローリングの防止
    データマスキングとサブセッティングにより、本番とテスト環境でのデータの匿名化の実施。
  4. 特権ユーザのリスクの回避
    データに対するDBAのアクセスを制限。マルチファクタ認証の使用。レルムによる保護ゾーンの作成。
  5. 特権とロールの使用状況を確認
    リアルタイムで、どのような特権が使われているかを解析。
  6. ラベルベースのアクセスコントロール
    ラベルを使用したユーザおよびデータの分離。行レベルでのアクセスをコントロール。また、ユーザにもラベル付けし、アクセスできるデータを限定。
  7. Detective Control (発見的コントロール)
    データベース・ファイアウォールによるネットワーク・イベント、データ監査、イベントログなどをデータウエアハウスにし、アラート、レポート、ポリシー設定に利用。データベースアクティビティの監視(検出/ブロック)、SQL文法解析など。これにより、SQLインジェクションなどの攻撃を防止。
  8. リアルタイムでの監査、レポート、アラートの実施
    一元化されたセキュリティリポジトリによるリアルタイム化。
  9. 管理的なセキュリティコントロール
    データベース内の機密データの検出によるデータの保護。
  10. 構成管理
    データベース・ライフサイクル管理。

以上のように、外部からの攻撃、内部(特に管理者)の犯罪、開発環境のセキュリティ、クラウドでのデータ保護、監査、インシデント対応などに十分対応できるセキュリティ機能はそろっているように思えます。今回は、Oracleのセキュリティ機能を見てきましたが、他のデータベースやDAM製品等でも同様の機能を提供しているものと思われます。これらをきちんと採用していくことで、金庫に近いレベルのセキュリティ対策が可能になるものと思われます。もちろん、セキュリティ管理は技術的な面だけではありませんが、守るべきところを確実に守っていくということで、重要であると思われます。

 以上

 

第10回CSA勉強会「ISO/IEC27001:2013とISO/IEC27017の重要なポイントの解説」

2015年3月27日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

第10回CSA勉強会は、工学院大学の山﨑哲氏に、ISMSの基準となるISO/IEC27001:2013の改訂における重要ポイントと、クラウドサービス事業に大きな影響を与えるクラウドセキュリティの管理策体系であるISO/IEC27017(今年秋に正式発行予定)の要点について解説していただきました。
27001については、JIS規格が出されたのが2014年3月であり約1年を経過しているにも関わらず、2013についてほとんど勉強していませんでした。したがって、今回の勉強会は私にとって非常に有意義なものとなりました。また、27017に関しては、今年の10月に規格化されるようで、また、クラウドセキュリティに関わっているものとして、こちらも有意義な最新情報をいただくことができました。
非常に中身の濃い、ボリュームのある内容でしたので、ここでは概要と印象に残ったことについて書いていきます。かなり私見も入っていますし、間違い、勘違い、認識不足もあると思います。ぜひ、このブログにコメントを書き込んでいただいて、いろいろと教えていただければと思います。よろしくお願いします。

  1. ISO/IEC27001:2013の改訂のポイント
    27001の改訂内容として、主に以下の3点があげられます。

①      ISMSの意義として、経営陣の目的・目標を要求事項とし、経営陣の方針から管理策への展開が規定されています。また、CISO(トップマネージメント)の設置も規定され、情報セキュリティを統括することが求められています。
情報セキュリティ管理は、経営陣の支持のもとに進めるというのが大原則で、これにより経営とセキュリティ管理の一体化が図られることが必要ですが、なかなか実践できている企業は少ないと思われます。セキュリティ管理プロセスにおいても、まず最初に、acknowledgementということで、経営陣の認識および支持を取りつけることが必要ですが、実際には経営陣の支持を得ることが難しい(そのための方法もあまり確立されていない)というのが現状です。これを27001:2013では、CISOを中心とした経営陣による目的・目標の設定を規定することで、経営とセキュリティが一体となった取り組みができるようになりました。セキュリティについて経営陣主導の体制が整えられることで、望ましい状況になっていくことが期待できます。

②      マネージメントシステム企画の共通化、用語の共通化が行われています
27001:2013では、マネージメントシステム(MSS)企画を共通化することで、統合的なセキュリティの構築を行えるようにしています。すべてのMSS規格に共通の目次を持たせることで統一して扱えるようになっています。また、用語の統一も図られ、27000の用語集をもとに統一させています。
この中で、リスクに対する定義が改訂され、「リスクを、目的に対する不確かさの影響」とし、組織の状況の理解に基づいてリスクアセスメントを行う形になりました。これに伴い、リスク値の定義も変更され、今までの「リスク値 = 資産x脅威x脆弱性」が、「リスク値 = 結果x起こりやすさ」として定義されることになりました。「結果: 目的に影響を与える事象の結末」、「起こりやすさ:何かが起こる可能性」ということで、情報セキュリティの目的および計画策定に基づいたリスク判断ということになるようです。今までの定義に基づいてリスク値の説明を行ってきたものにとっては、新しい定義を腹に落とすことが必要になります。また、リスク対応も、今までの4つの手法から7つの手法に変更されており、この新しい定義の理解も必要になってきます。

③      分野別ISMSを確立するための国際規格となっています
27001:2013でもう1つの大きな点は、Sector specific control set standardということで、分野別のISMS体系にしたことです。これにより、一般的な27001と分野別の基準を合わせて、分野対応のISMS認証を行うようになりました。たとえば、後で述べますが、クラウドセキュリティに関しては、27001(generic)+27017でクラウドセキュリティ分野のISMS認証が取得できることになります。

このように、27001:2013では、「経営陣と管理者・従業員とのパイプ役となる情報セキュリティ目的・目標を設定する」ことで、「経営陣と管理者・従業員が、情報セキュリティ目的・目標を共有することでコミュニケーションギャップをなくす」ことができるように改訂されています。今までは、このギャップがさまざまなセキュリティ問題の根底にありましたが、この改訂でかなり解消されることが期待できますし、CISOの設置により、より明確な責任のもとセキュリティプロセスが運営できることが期待できます。特に、日本においては、CISOの設置と合わせて、より経営陣の支持を得たセキュリティプロセスが展開できるようになることが期待できます。

  1. 分野別ISMS規格”ISO/IEC27017”の意義と解説
    クラウドセキュリティにおいては、「クラウドの課題を解決するためには、基準(Criteria)に基づいて、クラウドの利用者と事業者の間で、(国際環境において)共通の理解を実現するための仕組みの確立が必要である」ということから規格化が行われています。今年の10月には、公開されるということです。また、CSAもこの規格の作成には非常に協力しているということです。今後、27017、CCM(Cloud Control Matrix)との関係等、CSA、ひいては、CSAジャパンも幅広く活動していく必要があります。ここでは、27017のいくつかのポイントをあげていきます。

①      27017の適用範囲(Scope)
Cloud Service Provider(事業者)、Cloud Service Customer(利用者側組織)、および、Cloud Service User(実際にクラウドを使う人)を適用範囲とし、Cloud Service Partner(開発者、ブローカー、監査)は、今のところ適用範囲とはしないということです。

②      27001の分野別標準及び分野別管理策となります
27017は、27002をベースとしたクラウドサービスの情報セキュリティコントロールとなります。したがって、章立ては27002と同じになります。また、Annexにクラウド特有のコントロールが追加されています。

③      クラウドコンピュー ティングの用語
用語については、SC38:ISO/IEC17788を用いるということで、NISTの定義などとは違ってきています。
特に、クラウドのモデルに関しては、NISTのサービスモデルと展開モデルとは違い、Cloud Service categoryとCloud Capability Typeを用いた分類となるようです。詳細は省きますが、CSAもNISTのモデルに基づいて定義していますので、今後ガイダンスを含めて影響を受けるものと思われます。

④      クラウド利用者、クラウド事業者双方の視点
27017の管理策であるImplementation guidanceがテーブル形式となっており、それぞれの項目に対して、利用者(CSC),事業者(CSP)のどちらあるいは両方が対応するかどうかがまとめられるようになっています。これにより、利用者、事業者双方の視点でガイダンスを見ていくことができるようになります。

以上、本当に簡単ですが、勉強会の内容の報告とさせていただきます。

CSAプレスリリース”CSAの新たな調査レポート:金融はクラウド戦略を模索中”-ハイブリッドクラウドが好まれ、データセキュリティとセキュリティ管理が最大の関心事-

2015年3月11日
日本クラウドセキュリティアライアンス事務局長
勝見 勉

CSAのFinancial Services WGの調査結果報告が公表され、そのアナウンスがありました。以下にプレスリリース全文の日本語訳を紹介します。

3月5日シアトル発表:金融機関の多くが徐々にクラウドに保存するようになっている。これが、CSAの新たな調査「金融部門でのクラウドの利用について」で判明した主な点です。調査対象は全世界の銀行、保険および投資機関です。調査に よれば、金融部門におけるクラウド利用が少しずつ一般的になってきている中で、確固たる、管理とセキュリティ対策の整った戦略を用意できているのは50% に満たず、それが主たる懸念事項になっています。

「この調査結果は金融サービス産業がクラウド利用をどのように進めているかに ついて、およびクラウドプロバイダがいかに的確にその関心事項と要求項目に対 応できるかについて考えるための洞察に富んでいます。」とCSAのCEO、Jim Reavisは語り、「この結果が、クラウドプロバイダと金融機関が、金融部門での セキュアなクラウドの利用を進めるためのガイダンスとして活用されることを期待しています。」と付け加えました。

調査結果によれば、61%がクラウド戦略を正規に整える段階にあり、39~47%がインハウスのIT、プライベートクラウド、パブリッククラウドの組み合わせを利用しようと考え、18%がプライベートクラウドの利用を考えています。大部分をパブリッククラウドにホストしてもらう予定だとした回答者はゼロでした。調査結果ではまた、顧客が電子的手段で取引をする度合いが高いほど、クラウドポリシーは緩くなっており、このタイプの金融機関では厳しいポリシーを適用しているのはたった3%でした。

CypherCloud社のクラウド戦略およびセキュリティ担当副社長であるDr. ChenxiWangは以下のように語っています。「回答は全体として金融サービス部門はクラウドサービスにとってたいへん活発な市場となっていることを示しています。この業界では多くの企業がクラウドのパワーを活用しようとしており、クラウドは確固たる位置を占めています。特に、回答者の要望リストのトップを占める監査の有効性とデータ保護対策に対応できるプロバイダーにとっては、成長の余地は大きくあります。」

「金融部門でのクラウドの利用について」調査報告には、米州、EMEA、APACの色々な規模と業態の企業から100を超える専門家の意見を収録しています。クラウドにおける情報保護のリーダーであるCypherCloud社がスポンサーとなったこの調査は、CSAのFinancial Servicesワーキンググループが実施し、金融部門ではいかに異なったクラウドソリューションが実施されているかの状況をマッピングする初めての試みとなりました。この調査のねらいは、金融業界における、クラウドサービスの提供と管理に関する主たる懸念事項を分析し、クラウドサービスの利用を促進することが必要であるということを知るところにあります。

金融サービス企業はまた、クラウドプロバイダーの透明性と監査における自由度を求めており(80%)、これはデータ暗号化の要望(57%)以上となっています。クラウドに移行する動機については、回答者の68%がインフラ能力の拡張性を挙げて第1位、僅差(63%)でプロビジョニング(コンピューティング機能の配備)時間の短縮が続きます。クラウドに移行する場合に利用するサービスや機能では、1位がCRMで46%、アプリケーション開発(45%)、email(41%)が続き、意外にもバックエンド(総務人事経理等)サービス(20%)やバーチャルデスク(14%)より高くなっています。

最後に、クラウドに移行するに際しての規制や法令順守に関する要求では、上位にデータ保護(75%)、コーポレートガバナンス=企業統治(68%)、PCI-DSS(54%)と国による規制(47%)が並びました。

調査ではまた、金融、政府、保険、セキュリティの各意思決定責任者がその組織の中でどのように行動するかについての洞察も得られました。それは最もセキュリティの高いクラウドサービスを組み合わせて標準的なものとして起用すること、どのようなポリシーが最も影響があるかについての判断、ユーザ教育において何が肝要かを把握することです。

報告書の本文は、https://cloudsecurityalliance.org/research/fswg/#_downloadsからアクセスできます。

調査へのフォローアップとして、CSAのFinancial Servicesワーキンググループでは、2015年の活動報告で、金融サービス部門でのクラウドコンピューティングのベストプラクティス(実践規範)に関する懸念と利点を取り上げる予定です。Financial Servicesワーキンググループのリーダは、BBVA社のイノベーション・エンジニアリング・ソフトウェア開発におけるITリスク・不正・セキュリティの責任者であるJuan Franciscoと、Caixa銀行のセキュリティマネージャであるMario Maawadです。ワーキンググループへの参加に関心のある企業や個人は、financila-services-leadership’@’cloudsecurityalliance.orgにご連絡ください(@の前後のクオーテーションを削除してください)。

CSA勉強会「金融向けクラウドの最新動向 ~事例、FISC、ベンダの動き」

2015年2月26日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

2月25日に行われたCSA勉強会「金融向けクラウドの最新動向 ~事例、FISC、ベンダの動き」に参加しました。講師は、株式会社電通国際情報サービス クラウドエバンジェリスト、社団法人クラウド利用促進機構 (CUPA)運営委員・総合アドバイザの渥美俊英氏です。

まず、クラウド利用の最近の動向として、昨年から金融機関のクラウド事例が次々と公開され大きなインパクトを与えているということでした。以前であれば、公開されることの無かった金融機関の業務システムの内容が、昨年からは具体的に事例公開されるようになったということは、驚くべきこととのことです。

金融機関のクラウド事例は以前からあり、数年前にはECOポイントをセールスフォースで実現しましたが、最近は本格的なパブリッククラウドであるAWS等が利用され、かつ、実際の業務システムをクラウド化するということで、ミッションクリティカルなシステムでもAWS等が利用されるという流れになってきています。

この流れを牽引しているAWSですが、AWS Summit 2014でソニー銀行やマネックス銀行のクラウド事例が、インテグレータではなくエンドユーザの目線で情報公開されたため、よりビジネスよりの詳細な内容が出てくることになりました。もはや、クラウドは、テクノロジの選択ではなく、ビジネスの選択であるということを印象づけることとなり、これからはインテグレータの提案の仕方も変わらざるを得ないということのようです。

また、FISCからセキュリティリファレンスおよびクラウド利用推進の報告書が公開され、金融機関に対するクラウド利用に向けた対応の指針となるとともに、他の業種へのリファレンスとして活用できるようになってきました。

IaaS市場の動向は、Magic Quadrant(勉強会資料には非掲載)によると、AWSの独走であったものが、昨年からMicroSoftが猛烈に追随してきているとのことです。また、IBMもSoftlayerの買収を経て追随してきており、Googleも来ているという状況です。また、国産クラウドも独自性を出して進めているという状況のようです。まさに、群雄割拠の状況になってきているようです。また、クラウド利用も以下のように変化してきています。

  1. オンプレの安価な代替
  2. ミドルウエア(DB等)の代替
  3. 運用保守の自動化
  4. クラウド流の開発プロセス基盤

このように、クラウド業界は、大きく動いており、しかも数カ月単位で変化している状況ですので、今後も注目していく必要があります。

詳細については、勉強会の資料が後日公開されますので、あらためてご連絡します。

また、リプレイ開催も以下のように行われるようですので、ご利用ください。http://www.cloudsecurityalliance.jp/study.html

 

「医療情報セキュリティセミナーin八王子」 レポート

2015年2月19日
日本クラウドセキュリティアライアンス事務局長
勝見 勉

医療情報セキュリティセミナーin八王子に行ってきました

CSAジャパンの代表理事である笹原英司さんは、ITセキュリティの専門家ですが、「医薬学博士」の学位を持っているというスゴイ人です。そしてまたその活躍の場も、古くは労働省とか、世界的リサーチファームとか、そして今は在日米国商工会議所のヘルスケアIT小委員会委員長であったりして、とにかく広い!! 更にはNPOヘルスケアクラウド研究会の理事でもあります。そしてわがCSAジャパンでは代表理事を引き受けるとともに、「健康医療情報管理」「ビッグデータ」「モバイルユーザ」の3つものワーキンググループのリーダーも引き受けてもらっています。

そんな笹原さんのリーチの広さを改めて知ったのが八王子におけるセミナーでした。会場は「コワーキングスペース8Beat八王子」という、起業家や市民活動の人や同好グループに活動の場を格安で提供している、コミュニティハウスみたいな場所で。集まった人たちも、IT周りでコミュニティ活動をしているCode for Hachiojiとかそういった仲間。濃くてアットホームな雰囲気の中で、笹原さんの2時間の熱演がありました。

講演タイトルは「健康医療分野の海外サイバーセキュリティ最新動向」。内容は「健康医療分野のサイバー攻撃に起因する海外の情報漏えい事例」「健康医療のセキュリティ/プライバシー規制とサイバーセキュリティの動向」「健康医療へのシビックテクノロジー適用とセキュリティ/プライバシーのリスク」と、とても濃いんです。

まず、アメリカでの、サイバー攻撃による医療情報流出の事例ですが、今月になって発覚したAnthemの8000万件の漏えい事件は衝撃的です。笹原さんもまずはこれを取り上げました。盗まれた情報には、名前、誕生日、医療ID、社会保障番号、住所、メールアドレス、雇用情報、収入データが含まれるとのこと。社会保障番号は実質個人番号ですから、それと名前、住所、生年月日が分れば、完璧になりすましされてしまいますね。この他にも数百万件に上る医療情報漏えいが、サイバー攻撃や盗難によって起きているようです。

また、年末世界的に注目を集めたソニー・ピクチャーズの情報漏えい事件では、セレブの情報などが関心を呼びましたが、従業員の保健情報も盗まれていて、被害に遭った従業員からの集団訴訟も起きているとか。またアメリカの集団訴訟は、賠償が決まれば全被害者が対象になるので、1件は少額でも莫大な金額になりやすいのだとか。この辺はさすがに、専門的で詳しいな、と脱帽でした。

健康医療のセキュリティ/プライバシー規制の話では、米国のHIPAAとHITECHを説明してくれました。HIPAAは1996年に成立していて、サイバーリスクが注目されるより前から、情報保護への対応は進められている、と指摘してくれました。連邦プライバシー法制がないなど、取り組み姿勢が強いとは思われていないアメリカが、割と早くから手を打っているのは意外で、さすがよく見ておられると、またまた感心させられました。

さて、こう書いていくと、何せ2時間の熱演なのでとても紙数が足りません。幸い、資料をCSAのwebで公開して下さったので、後は皆さん、直接資料から学んで下さい。そしてもっと知りたければ、「健康医療情報管理」ワーキンググループに参加されてはいかがでしょうか。
http://www.cloudsecurityalliance.jp/healthcare_wg.html