第1回クラウド利用者会議　レポート

2016年8月11日
CSAジャパン　諸角昌宏

第1回クラウド利用者会議は、クラウド事業者としてNTTコミュニケーションズ様をお招きし、クラウド利用者を中心とした13名にご参加いただき開催した（2016年4月21日開催）。ここでは、会議の概要について記述する。

まず、NTTコミュニケーションズ様が提供しているIaaSサービスについて説明していただいた。IaaSとしての様々なサービスに加えて、NTTコミュニケーションズ様の強みとして印象に残ったのは以下の2点であった。

1. 日本発グローバルに展開
   日本にデータセンターを持つことを強みとするプロバイダが多い中、グローバルに展開、また、グローバルのデータセンターの面積が日本よりかなり大きい。
2. 閉域ネットワークを利用したデータセンター間ネットワーク
   閉域ネットワークに基づいて、柔軟性およびセキュリティを考慮してグローバルのデータセンター間を閉域ネットワークで結んでいる。クラウド間通信の効率化および地点間のセキュリティを確保している。

さて、会議での議論は、レガシーアプリのクラウド化やそもそも何をクラウド化するかという観点から始まったが、プロバイダをどこまで信頼できるかという点に議論が移行し、最終的に主要な議論は、プロバイダの透明性と利用者のリスクアセスメントに絞られた。

1. プロバイダの透明性
   クラウドを利用する場合に、セキュリティの責任範囲がどうなるかが問題になる。プロバイダの責任範囲は、最終的に約款に記述されている内容の範囲までとなるが、約款の内容とプロバイダの説明資料に食い違いがあったりするため、利用者が判断できないというのが現実である。プロバイダも、詳細にわたってセキュリティの責任範囲を説明しきれない。そのため最終的にはプロバイダが信頼できるかどうかで判断するしかない。
   一方、プロバイダの信頼性を判断するには、ほとんど情報が公開されていない。つまり、プロバイダの透明性が極端に低い状況では、利用者が判断するのは困難である。ここは、欧米と日本のプロバイダで大きな違いがある。欧米のプロバイダは、積極的に情報公開し、利用者がプロバイダのセキュリティレベルを判断できるようにしているが、日本のプロバイダは情報をほとんど公開しない。ちなみに、CSAのSTARレベル1では、プロバイダがCCM（Cloud Controls Matrix）あるいはCAIQ（CONSENSUS ASSESSMENTS INITIATIVE QUESTIONNAIRE）に従ってセルフアセスメントした結果を公開する場を提供している。ここの状況を見ると、グローバルでは80~100社が公開している（ただし、IaaSだけではなくSaaSプロバイダも含まれる）が、日本のプロバイダでここに情報公開しているところはない（ちなみに、CSAジャパンが仲介して日本語で公開できるサービスを提供している）。この日本のプロバイダの透明性の問題をクリアーしていくことが必要と思われる。
   なお、NTTコミュニケーションズでは、プロバイダ監査（立ち入り監査）を認めている。立ち入り監査を認めているプロバイダは欧米を含めても少ないので、透明性とは別の話になるが、非常に重要なことと考えられる。
2. 利用者のリスクアセスメント
   仮にプロバイダが透明性をもって公開したとしても、利用者側でリスクアセスメントができていないと意味がない。利用者は、自分自身のリスクアセスメントをすべきで、欧米の企業はできているように思われる。たとえば、ドイツ系の企業では、情報源に対して質問票を送り回答を得る形でリスクアセスメントを行っている。最低限、情報公開はできているし、調査票ベースでノウハウもためている。また、リスクアセスメントは守るべき資産を重要度に応じて特定しレベル分けしていることがまず必要であるが、クラウドに移行する資産の分類をきちんと行っている日本の利用者は非常に少ないようである。
   このような状況で、仮にプロバイダが透明性の問題をクリアーしたとしても、利用者側が使えない（判断できない）ということになりかねない。
3. プロバイダの透明性と利用者のリスクアセスメントを促進するには？
   まず、透明性の判断基準が必要で、どこまでの開示あるいは回答が必要なのかという標準的な基準が必要である。つまり、判断基準の標準ツール（ひな形）があれば、同じ基準で比較できるので、プロバイダも公開するようになり、透明性が高まるのではないか。利用者側は、自分自身のリスクアセスメントを進めるべきで、これはクラウドに限らずやっていかなければならない。コンプライアンスへの極端な依存から脱却すべきである。
   ただし、透明性とリスクアセスメントには、以下のような日本的な問題があることを理解しておく必要がある。
   • 透明性について
     透明性は記載が一杯書いてあるより、ルールを逸脱した結果の証跡性で議論すべきと考える。「主に日本型「やる事を公開」するのか？主に欧米型「やらない事」を公開するのか？」、の2通りがある。結果の例として、やる事を公開した場合、記述していない事はなんでも有りのルールとなる点に注意する必要がある。どちらのコミットメントで公開するか、利用企業側にとって防御が大いに異なると考えられる。
   • リスクアセスメントについて
     リスクアセスは、アセスの技法よりアセスした結果の有効性で議論すべきと考える。「期待する基準に到達しているかを視る「準拠性監査」にするのか？決議した指標に到達しているかを視る「妥当性監査≒絶対値監査」にするのか？」、の2通りがある。結果の例として、準拠性監査の視点でアセスした場合、PマークやISMS規格に到達する方向性が有るか否か、即ちPDCAが回っていれば到達とするので、規格を守る社員の逸脱をアセスするだけとなり、意図的に規格を無視する攻撃者に対しては有効性と効率性を大きく逸脱すると考えられる。

以上のような、日本企業のガバナンスの考え方の問題があり、文化の違いに対して、文化のグローバル化を行わないと難しいかもしれない。

今後のクラウドの利用に対するセキュリティ面の対応として透明性とリスクアセスメントが重要であることは明確である。それを踏まえて、日本でのビジネス向けクラウドをどうしていくのかを考える必要がある。

ということで、クラウド利用者会議として明確な指針を出すことはできなかったが、1つの考察とはなったものと考える。

以上

日本クラウドセキュリティアライアンス　業務執行理事
勝見　勉

数日前、ちょっと興味ある調査レポートを見つけたので、ご紹介します。タイトルは”How IT and Infosec Value Privacy”というもの。直接訳せば「プライバシにとってITと情報セキュリティはいかなる価値があるか」となります。ちょっと私の思いも加味して、このようなタイトルに変えてみました。

調査は、IAPP(International Association of Privacy Professionals)とTRUSTeが2015/12~2016/1に実施したもので、550人以上の専門家に対するアンケート調査結果をまとめたものです。専門家の内訳は、プライバシ関係が65%で、ITと情報セキュリティを合わせて35%の比率です。

ここで、この両者って、そんなに厳密に区別されているものなの？という疑問が、早くも湧くかもしれませんね。はい。多分この調査の主対象であるアメリカでは、あるいは多分ヨーロッパでも、両者はかなり別のものとして認識されているようです。調査内容を紹介していくと、ちょっと垣間見えてきます。でも、日本では、「プライバシ」と「個人情報」を余り区別して考えてないですよね。そして情報セキュリティと言えばほとんどの場合、個人情報漏洩対策がイコールのイメージになっている、っていう感じがしませんか？この辺からして、日本の感覚は違うのだと感じています。

ちょっと脱線ですが「個人情報」には「個人識別情報」と個人に関わる「機微情報」または「秘密情報」（まとめてほぼイコールプライバシ情報）とがあります。個人識別情報は、一般的には、個人と社会との接点で個人を識別するために必須の情報で、必要に応じて提供し、提供を受け、開示し、伝達し、記録されます。これを拒むと、社会生活はなかなか厳しいことになります。

一方で、個人識別情報といえども、他の情報と組み合わさることでプライバシ情報に転化します。ここが個人情報のややこしいところですが。例えば電車の定期券を買うのに、氏名住所生年月日などを提出します。個人識別ができないと定期券は発行できないからです。一方、氏名住所と、どこからどこまでの定期券かを組み合わせると、その本人の居住地域や勤務先の所在地がある程度推測できます。この辺からプライバシに関わる要素が出てくるので、電鉄会社は定期券の発行情報を、管理すべき情報として扱う必要が出てくる訳ですが。一方で、この両者が結び付くことで、落とした定期券が持ち主に戻ってきたりすることも可能になるので、やたら匿名化すればいいというものでもない、というところも、理解できると思います。

閑話休題。この調査はまず、「プライバシと情報セキュリティは重なる部分も別々の部分もある。ちょうど鎖の輪か、「ベン図」のように」と言っています。では両者は組織の中でどのように協業できるのか？ここから調査の問題意識は始まる訳です。（ところで日本では、両者が別のチームになっている組織ってかなりまれだろうとは思いますが。。。）

一番鍵となる質問「情報漏えい事故への対策として何が重要ですか？」に対しては、総合1位の答えは「プライバシチームとセキュリティチームの間のコミュニケーション」でした。第2位には「インシデントレスポンスへのプライバシチームの参加」となり、両者間の緊密な連携が最重要視されています。更には、情報漏洩対応専任チームの設置も重要度大となっています。プライバシとセキュリティが別のチームであったり、セキュリティ（インシデント）でなく「情報漏洩対応専任」チームの存在であったり、日本の実情とは大きくかけ離れた、先進的取り組みの実態を見る思いですね。

また、データを最小に保つことや、データの棚卸しとマッピング、つまりどんなデータがどこにあるかを把握しておくことも、対策チームに次いで高い重要度スコアを得ています。更に、社員に対する教育とトレーニングも重要視されています。教育とトレーニングを分けて考えるところも、示唆に富みますね。単に知識を注入する「教育」だけでは不十分で、それを実践に移せる、いざという時現場での対応に活かせるための「トレーニング」の大切さへの認知が浸透していることを伺わせます。

（＊https://iapp.org/resources/article/infographic-how-it-and-infosec-value-privacy/ から引用）

さて、もう一つの興味深い分析をご紹介しましょう。「情報漏洩対策の強化に、事故経験と規制当局の関与のどちらがより影響がありますか？」…こちらの答えは意外にも、日本の事情と似た結果になりました。すなわち、事故経験よりも規制当局の関与の方が効果があるという結論になったのです。

事故を経験した結果では、対策重点は余り変わりませんでした。チーム間コミュニケーション、従業員や役員のトレーニング等々。一方、規制当局との何らかの接触を経験した場合は、プライバシ対策費を増加させたり、チームを増強したり、プライバシープログラムの充実を図ったりしています。当然にも規制当局との関係強化に動く一方、意外にも、個人のプライバシ資格取得や、外部の専門家の活用には余り積極的になっていない、との分析結果が紹介されています。

（*　https://iapp.org/resources/article/how-it-and-infosec-value-privacy/　から引用）

より詳しい内容を知りたい方は、以下のサイトにアクセスしてみてください。フルレポートが載っています。また要約版サイトへのアクセスも載っています。

https://iapp.org/resources/article/how-it-and-infosec-value-privacy/

アメリカでは、プライバシ対策の認知は日本より浸透しているようです。そしてその面では、規制当局の存在や関係構築に対する意識も強いようです。日本はどのように成熟していくものやら。やっとプライバシーコミッショナーも置かれたところなので、これからなのかも知れません。

日本クラウドセキュリティアライアンス　業務執行理事
諸角　昌宏

10月27日に行われた第17回CSA勉強会では、日本データセキュリティ協会が公開しているデータセンターセキュリティガイドブックの2015年版について、水戸和氏に講演していただきました。「データセンターセキュリティガイドブック」は、データセンターの利用者と事業者に対して「データセンターの適切なセキュリティ」とは何かを考え、共有する為の共通の知見を提供しているドキュメントということで、CSAジャパンとしても注目している内容になります。

さて、CSAジャパンとしては、そもそもクラウドセキュリティとデータセンターセキュリティがどのような関係になるかというところから始める必要がある。このあたりについては、CSAジャパンのメンバーである山崎氏がIT Leadersの記事でCSAガイダンスの内容として説明している（http://it.impressbm.co.jp/articles/-/11446）。これによると、「クラウドコンピューティングを進化さえるためには、サービスプロバイダや管理者は、仮想化技術を使ってサーバー資産を管理するだけでなく、データセンターそのものを進化させる必要がある」ということである。データセンターにおける物理セキュリティをクラウドセキュリティの一部としてきちんととらえていく必要がある。

それでは、データセンターセキュリティガイドブックの話に戻る。
まずデータセンターの位置づけであるが、現在ではデータセンターを社会基盤(重要インフラ)としてとらえる必要がある。ITインフラの流れが、かつての電子計算機センターの集中型からクライアント-サーバーによる分散の時代を経て、インターネットデータセンター/クラウドによる再集中の時代になってきている。その流れの中で、多くの利用者がデータセンターを利用し社会基盤化してきている。そのため、データセンターのセキュリティの重要度は非常に高まってきているということができる。
データセキュリティガイドブックでは、日本のデータセンターが機密データを預けることができるだけのセキュリティを実現しているかという観点で、セキュリティのベースとなるガイドブックを作成するという目的で作られている。したがって、内容的には「基準」ではなくデータセンターの利用者と事業者が「考え方」の共有を行うことができることを目指している。
データセンターのセキュリティと管理策は第3章に書かれている。ここでは、データセンターが提供するサービスに対する脅威の分析と、その脅威に対する管理策の考え方を示し、最後に実際に「架空」のデータセンターを基にしてセキュリティ管理策がどのように実装されるかを紹介している。これにより、利用者がデータセンターに存在する一般的な脅威とそれに対する管理策を、事例を通して理解することができるようになっている。
第4章では、データセンターに関連する様々な基準やガイドライン、および、認証制度をまとめている。これらの概要や関係の概要を説明するとともに、分野ごとの基準やガイドラインについても説明している。データセンターセキュリティガイドブックでは、共有可能なセキュリティのベースラインを提供できるようにしていくとのことである。

なお、データセキュリティガイドブックは、http://www.jdcc.or.jp/pdf/DC_Security_Guidebook_2015.pdf　からダウンロードできる。

CSAのCCMでは、データセンターの運用において、物理セキュリティに対する項目を提供しており、また、様々な標準や法令とのマッピングを行っている。今後、データセキュリティガイドブックともうまく協調できる方法を考えていきたい。

日本クラウドセキュリティアライアンス
業務執行理事　諸角昌宏

9月25日に行われた第16回CSA勉強会では、ID管理に焦点を当ててエクスジェンネットワークス株式会社　江川淳一氏と日本ビジネスシステムズ株式会社　宮川晃一氏に講演していただきました。非常にわかり易くまとまった内容で、最新のID管理の背景、状況、そして、今後の動向について説明していただきました。ここでは、その要点をピックアップして書いていくが、ID管理の奥の深さに対してうまく伝えられるかどうか、いささか心もとない。2週間後くらいに一般公開される本勉強会の資料をぜひご覧いただいて、理解を深めていただきたい。

1. ID管理とクラウド
   クラウド利用の拡大に伴い、クラウド上に機密情報を置くことが増えている。そのため企業のセキュリティ・ポリシーも変化してきている。今までは、ファイアウォールの中でのポリシーであったが、クラウド利用により機密情報がファイアウォールの外に出ていることを前提としたポリシー設定およびセキュリティ対策が必要となる。このような状況においてID管理として必要となるのが連携（フェデレーション）技術で、機密情報の一部を社内（オンプレミス）に残してセキュリティを守り、必要最低限の情報のみをクラウドに移行するという方法である。ID管理としてIdP（Identity Provider）とRP(Relying Party)を置き、IdをIdPで一括管理していく。このIdPをオンプレミスに置くかあるいは信頼できるクラウド事業者に置くことで、ID情報の機密を守っていくことになる。
2. プロビジョニングの必要性
   個人ベースであれば、ID情報の登録、変更は容易に行えるが、企業となると一括して事前登録や変更が行えることが必要になる。また、共有を必要とするシステム（スケジューリングや営業支援など）では、属性情報などを事前に配布しておくことが必要である。また、IDライフサイクル管理や内部統制対策としての統一したID管理としてプロビジョニングが必要になる。
3. 認証基盤システム
   以上のように、企業としてはID管理の基盤を必要とする。その理由は以下の4点である：
   – ユーザ利便性の向上
   – 管理効率の向上
   – 管理品質の確保
   – セキュリティリスクの低減

   では、実際にどのような基盤を用意するかであるが、以下の3つの要素に基づいたシステムを構成する必要がある：
   – ID情報マスターDB
   – IDM（IDライフサイクル管理、フェデレーション）
   – SSO（シングルサインオン）

4. IDaaS
   IDaaS（ID as a Service）は、SaaSに対するSSOを実現する専業のIDaaSのサービスとして展開されている。特に欧米では、社内のADとの双方向連携（オンプレ->IDaaS,　IDaaS->オンプレ）を行い、ID管理を含めてSSOを実現している。 さて、問題はIDaaSが日本で普及するかということであるが、欧米と違いID管理のところをどのように実現するかという問題がある。日本では、人事が所有している源泉のID情報をもとにID管理を行う必要があり、全体的なワークフローあるいはCSVでのやり取りを含んだ日本型IDaaSが必要になる。EXGEN社では、extic（EXGEN Trusted Identity Service）により、この日本のエンタープライズクラウド市場で要求されるIDaaS構成への対応を進めているとのことである。
5. 情報共有機会の増大に対する認証方式
   最後に、まったく違う企業間での情報共有（サブライチェーン、Industry4.0など）に対する認証をどのようにしていくかという問題がある。他社のIDまで管理することは実際には難しく、IDを発行することなしに認証を行うフェデレーション技術が重要になってくる。今まで述べてきたように、フェデレーションはクラウド環境では非常に有効なソリューションであるが、情報共有においても非常に有効である。簡単に言うと、IdPさえ立ててしまえば、それに基づいて認証し情報共有ができることになるからである。

以上のように、フェデレーションを中心としたID管理および認証基盤は今後益々重要になってくる。また、IDaaSの利用も拡大していくであろう。IDaaSについては、どのように信頼できるプロバイダを選定していくかが鍵になり、サービス契約をどうしていくか、また、リスクをどこまで取っていくことができるかを総合的に評価し利用していくことが必要である。

次に、JNSAのアイデンティティ管理WGの活動について、簡単に説明する。

まずWGの目的であるが、「アイデンティティ管理における、様々な課題をＷＧ討議の中で検討し、必要性の啓蒙および導入指針の提示による普及促進、市場活性化を目的に活動している」ということで、クラウド環境での適用も含め非常に幅広く活動を行っている。メンバーも43名ということで、WGとしては多くの方が参加している。今までの成果物には、　「クラウド環境におけるアイデンティティ管理ガイドライン」という書籍を出版し、また、「エンタープライズロール管理解説書」をウエブページから公開している。

2015年として、6つのテーマを掲げており、特に「IDの融合と分離の課題検討」を進めている。また、「ID管理チェックリスト作成」を新たに開始している。これに対しては、CSAジャパンも協業しており、一緒に活動していきたい。

JNSAのアイデンティティ管理WGでは、非常に深い議論・検討が進められているので、興味のある人はぜひ参加して貢献していただきたい。

以上、この分野は非常に奥が深くまた変化も激しいので、CSAジャパンとしても継続して勉強会等を通して情報を発信していきたいと考えている。