カテゴリー別アーカイブ: クラウドセキュリティ

クラウドセキュリティ専門家はもはや不要か？～二方向への分化という視点

2026年4月6日
諸角　昌宏

本ブログは、CSAジャパンとしての正式な見解ではなく、あくまで筆者の個人的な意見としてまとめたものである。しかしながら、この問題はクラウドセキュリティに関わる人に幅広く関係することとして、このCSAジャパン・ブログに掲載させていただく。皆さんの屈託のない意見をいただければ幸いである。

以前のブログ「クラウドセキュリティは不要か？ ~ クラウドセキュリティは情報セキュリティの一部として整理すべきか」では、クラウドセキュリティが情報セキュリティに単純に吸収されて完結するのではなく、「情報セキュリティの基盤の上に専門的な理解が積み重なる」という構造を示した。今回はその続きとして、積み重なった専門的な理解はどこへ向かっているのか、そしてその先に、「クラウドセキュリティ専門家」という職種は存在し続けるのだろうか、という観点で考えてみたい。

結論から言えば、クラウドセキュリティ専門家は不要になる方向にあると考えている。ただしそれは、クラウドセキュリティの知識が当たり前になってきたからである。したがって、「不要か否か」という問いは、少し乱暴かもしれない。大切なのは「なぜ」「どのように」不要になっていくか、という点ではないだろうか。突然消えるわけではなく、独立した専門領域としての輪郭が、二方向からじわじわと溶けていく。それが今クラウドセキュリティに起きていることだと思う。以下、この2つの方向について考えてみる。

第一の方向：上位概念への統合

たとえば、アイデンティティセキュリティを語るとき、その実装基盤はクラウドである。AIセキュリティを語るとき、そのワークロードはクラウド上にある。ゼロトラストを語るとき、その実装環境はクラウドである。クラウドセキュリティの知識は、こうした上位概念の議論の中に自然と溶け込んでいく。この状況において、専門家の肩書きで言えば、「クラウドセキュリティ専門家」という看板を掲げる人は少なくなり、「AIセキュリティエンジニア」「ゼロトラストアーキテクト」「IDセキュリティアーキテクト」といった肩書きを持つ人が増えていくだろう。クラウドの知識はその人たちの中に前提として組み込まれているが、看板には出てこない。これが一つ目の力である。上から押し下げる力、と言えるかもしれない。

第二の方向：基盤層への沈降

もう一つの力は、下から押し上げてくる力である。クラウドセキュリティの考え方が広まるにつれ、その知識はインフラエンジニア、DevSecOpsエンジニア、SRE（Site Reliability Engineering）といった職種の当然の素養になっていく。ネットワークセキュリティの知識がネットワークエンジニアの前提になっているのと同じである。「クラウドセキュリティを専門とする」という言い方が成り立つためには、その知識がある程度希少である必要がある。しかし知識が現場に浸透し、エンジニアリングの常識になっていくと、その希少性は自然と薄れていく。クラウドネイティブ開発の普及、Infrastructure as Codeの標準化、プラットフォームエンジニアリングの成熟。こうした流れが、クラウドセキュリティの知識を現場に定着させ、専門家が個別に関わらなくても機能する状態へと少しずつ近づいていると考える。

二方向から挟まれる構造

以上の2つの方向の力が同時に働いているのが今のクラウドセキュリティの状況と考える。上からはAI・アイデンティティ・ゼロトラストの専門家として吸収され、下からはインフラ・DevSecOpsエンジニアとして吸収されていく。「クラウドセキュリティ専門家」という独立した専門家像が成り立つ空間が、二方向からゆっくりと埋まっていくというのが、「不要」という意味合いになってくると思われる。

では、何が残るのか

クラウドセキュリティの知識が消えるわけではない。ゼロトラストアーキテクトもAIセキュリティエンジニアも、クラウドセキュリティの理解なしには成り立たない。CCMもISO/IEC 27017もなくなるわけではなく、監査やコンプライアンスの場面で参照され続けるであろう。ただ、その位置づけが変わる。クラウドセキュリティの知識はセキュリティ専門家全般の前提条件になっていくと考えられる。

ただ、一点付け加えたいことがある。前回のブログで「情報セキュリティの基盤の上に専門的な理解が積み重なる」と示したが、そうであれば、その積み重なった知識を次の世代や隣接領域の専門家に伝えていく仕事は、確かに残る。クラウドセキュリティ専門家の役割は「実装の最前線」から「知識の伝承と標準化」へと移っていくと考えられる。CSAのような組織が担ってきたのも、まさにその仕事である。

まとめ

専門家が必要なくなるのは、その知識が当たり前になるからである。概念が整理され、方法論が体系化され、標準や規制に組み込まれ、実装が現場の常識になっていく。ネットワークセキュリティがそうなったように、クラウドセキュリティも今その道を歩んでいる。この観点から、クラウドセキュリティ専門家に残される役割は、大きく二つあると考える。

一つ目は、「次のフロンティアへの参画」である。AIセキュリティ、アイデンティティセキュリティ、エージェントセキュリティといった領域は、まだ答えが出ていない問いに満ちている。クラウドセキュリティで積み上げた知識や経験は、こうした新たな領域を切り拓く上で確かな土台になる。クラウドセキュリティ専門家こそ、次のフロンティアで力を発揮できる存在である。

二つ目は、「知識の伝承と標準化」である。情報セキュリティの基盤の上に積み重なった専門的な知識を次の世代や隣接領域の専門家に伝えていく仕事は、確かに残る。概念が定着し当たり前になっていくからこそ、それを体系化し、標準として整理し、教育として伝えていく役割が必要になる。CSAのような組織が担ってきたのも、まさにその仕事である。

CSAは、既にこの方向に向かっている。最新のCSAのブローシャーにはこう書かれている。「forward-looking cybersecurity topics, including AI, cloud, and Zero Trust」。AIもゼロトラストも、クラウドと並列で挙げられている。クラウドセキュリティはCSAの原点であるが、CSAの活動はそこにとどまらない。クラウドセキュリティが当たり前になりつつある今、CSAは次の「まだ当たり前でない問い」に取り組みながら、その知識を体系化し社会に届ける役割を担っている。また、クラウドセキュリティで培った知識は、次のフロンティアへの確かな土台であり、次の世代へ受け継ぐべき財産でもある。

以上

クラウドセキュリティは不要か？ ~ クラウドセキュリティは情報セキュリティの一部として整理すべきか

6件の返信

2026年3月23日
諸角　昌宏

クラウドが企業のインフラとして本格的に普及し始めた2000年代後半、セキュリティは最大の懸念事項として繰り返し取り上げられた。「データをどこに置くかわからない」「自分でコントロールできない」。そうした不安を背景に、CSAの設立（2009年）、ISO/IEC 27017の策定（2015年）、各CSPによるセキュリティフレームワークの整備など、クラウドセキュリティのベストプラクティスを積み上げるための取り組みが業界全体で重ねられてきた。
そうした積み重ねを経た今、「クラウドセキュリティは情報セキュリティの一部として整理すればよい」という意見を耳にするようになった。ある意味では成熟の証とも言える。ただ、この意見には「概ね妥当だが、そのまま受け入れるには少し注意が必要」と筆者は考えている。クラウド環境ではリスクの発生メカニズムが変わり、責任の所在が分断され、従来の情報セキュリティだけでは見落としが生まれやすい構造がある。「一部である」ことは正しい。しかし「だから特別な考慮は不要」とはならないと考える。本ブログでは、その理由を整理し、具体的にどのようなリスクを念頭に置くべきかを示していきたいと考えている。

命題の構造

「クラウドセキュリティは情報セキュリティの一部として整理すればよい」という主張には、以下の2つの前提が埋め込まれていると考えられる。

前提①　クラウドセキュリティの原則は情報セキュリティと共通している
前提②　共通しているなら、情報セキュリティとして一括して扱えばよい

前提①は「概ね妥当」と言えそうである。CIAの三要素（機密性・完全性・可用性）はクラウドにも適用される。リスク評価・インシデントレスポンスの考え方も情報セキュリティの原則がそのまま使える。その意味では「一部である」という捉え方に一定の合理性がある。
ただし、前提②は必ずしも自明ではないように思われる。「同じ原則が適用できる」ことと「同じ対策で十分である」こととは、少し異なる話ではないだろうか。では、なぜ同じ対策では十分でないのか。その理由を考えるには、クラウド環境におけるリスクの性格を少し丁寧に見ておく必要がある。

クラウド環境でリスクはどう変わるか

ここで、「同じ対策では不十分」という感覚の背景には、クラウド環境がリスクの発生メカニズムを変えているという事実がある。ここで少し立ち止まって、「クラウド固有のリスク」という言葉自体を問い直してみたい。設定ミス・過剰権限・データの不適切な公開・認証の不備など、これらはいずれもクラウド以前から存在していたリスクであり、クラウドが新たに生み出したものではない。より実態に近い言い方は「クラウドで特に考慮が必要なリスク」であると言える。リスクの種類が固有なのではなく、リスクの顕在化しやすさ・影響規模・発生メカニズムが、クラウド環境において特殊な形をとる、ということだと考える。以下に、同じリスクがクラウドで増幅されやすい4つの構造的な理由を上げる。

スケール：APIひとつの設定ミスが数百万件規模のデータに即時影響しうる
速度：IaCの導入などによりミスが複製・展開される速度が人間の確認速度を超えやすい
境界の曖昧さ：「内側は安全」という境界が流動的で自明でなくなっている
責任の分断：CSPと利用者の責任分断により「誰が対処するか」が見えにくくなる

こうした増幅のメカニズムを理解すると、「情報セキュリティの一部として扱えば十分か」という問いへの答えが少し見えてくる。この点について、国際規格の体系はひとつの示唆を与えてくれる。

ISO/IEC 27001と27017が示す規格上のヒント

ISO/IEC 27001の改訂の歴史と、27017との関係を辿ると、「情報セキュリティの一部ではあるが、専門的な深さは別途必要」という考え方が、規格の構造としても反映されてきたように見える。

規格	クラウドセキュリティの扱い
ISO/IEC 27001:2013	クラウドを独立して扱っていない。供給者関係（A.15）の中にクラウド利用が包含される形にとどまり、クラウド固有の考慮事項は規定されていない。
ISO/IEC 27001:2022	新たに「A.5.23 クラウドサービスの利用における情報セキュリティ」を独立した管理策として追加。クラウドサービスの取得・利用・管理・終了のライフサイクル全体にわたるポリシーとプロセスの確立を求めている。ただし「何をすべきか」の入口レベルの規定にとどまっている。
ISO/IEC 27017	27001の補完規格（ガイダンス規格）。クラウド固有のセキュリティ管理策を実装レベルで規定。CSPとCSCそれぞれの責任を明示し、仮想環境の分離・管理者権限の制限・クラウド環境の監視・データ削除の確認など、27001では扱われないクラウド固有の管理策を追加している。

27001:2022でA.5.23が独立した管理策として追加されたことは、ISO/IECがクラウドを「供給者関係の延長」として扱うだけでは不十分と判断した結果と見ることができる。同時に、A.5.23が「入口レベル」にとどまることで、27017との役割分担がより明確になったとも言えそうだ。27001:2022が「クラウドを使う組織が最低限押さえるべきこと」を示し、27017が「実装レベルの詳細なコントロール」を補うという二層構造となっている。加えて27017の特徴として、CSPとCSC双方に対して異なる管理策を定めている点が挙げられる。これは27001:2022にはない視点であり、「クラウドにおけるセキュリティ責任は一者に帰属しない」という責任共有モデルの考え方を、規格レベルで反映したものと捉えることができる。

27001:2013の時点では「27001だけでは不十分だから27017が生まれた」という話であったが、27001:2022でA.5.23が追加された。しかしながら、27001本体がクラウドを取り込んだにもかかわらず、それでも27017は廃止されず、補完規格として併存し続けている。つまり「27001にクラウドが入れば27017は不要になる」とはならなかった。これは「入口レベルの要求事項」と「実装レベルの詳細なコントロール」は、同一のフレームワークでは代替できないということを示していると考えられる。

ベンダーニュートラルな概念はまだ必要か

AWS、Azure、GCPといったCSPは、自社サービスに特化した詳細なセキュリティ文書を継続的に更新している。また、CSAガイダンスは、V4まではクラウドセキュリティの概念を中心とした内容であったが、V5ではより具体的な実装レベルの内容にシフトしている。こうした状況の中で、ベンダーニュートラルにクラウドセキュリティの概念を説明することに、まだ意味はあるのだろうか。筆者は、意味はあると考えるが、「誰にとっての意味か」は以前より明確に問われるようになってきているように感じる。

立場	ベンダーニュートラルな概念の必要性
実装担当者（単一CSP）	CSPの文書で実装が回る場面は多い。ただし、概念の裏付けなく手順だけを習得している場合、「設定は文書通りにやったはずなのになぜ問題が起きたか」という状況につながる可能性がある。
実装担当者（マルチクラウド）	マルチクラウドの横断的リスク管理にはCSP固有の知識だけでは不十分と考えられる。ベンダーニュートラルな概念が明示的に求められる場面と言える。
設計・アーキテクト	CSPの選定・評価・責任境界の設計は、特定CSPの操作知識よりも概念的な基盤が判断の軸になる。
セキュリティ評価・監査	複数CSPを横断して評価するには、共通の基準軸が必要になる。
経営・ガバナンス層	投資判断・リスク許容・規制対応は、概念レベルの理解が前提になる。

CSAガイダンス v5が具体策にシフトした背景には、CSPの文書との競合というより、「概念だけでは実務で参照されにくくなった」という現実への対応があると思われる。ただし逆説的に、具体策の詳細が増すほど、その具体策をどのCSPに、どの優先順位で適用するかを判断するための概念的基盤の価値は相対的に高まるものと考えられる。

まとめ

ここまでの内容を振り返ると、「クラウドセキュリティは情報セキュリティの一部として整理すればよい」という考え方には、一定の合理性があることがわかる。クラウドセキュリティの原則は情報セキュリティと共通しており、CIA三要素やリスク評価の考え方はクラウド環境にもそのまま適用できる。

ただし、「原則が共通している」ことと「同じ対策で十分である」こととは、少し異なる話ではないかと考える。クラウド環境では、同じリスクがスケール・速度・責任の分断・境界の曖昧さという4つの構造的な特性によって増幅されやすい。この点を踏まえると、「情報セキュリティの一部ではあるが、クラウド特有の深さは別途必要」というのが、この問いへのひとつの答えではないかと考える。 ISO/IEC 27001:2022がA.5.23としてクラウドを独立コントロールに加えたこと、27017がCSPとCSC双方への管理策を別途定めていること、そしてベンダーニュートラルな概念が設計・評価・ガバナンスの立場では依然として必要とされていること。これらはいずれも、クラウドセキュリティが「情報セキュリティに吸収されて完結する」のではなく、「情報セキュリティの基盤の上に専門的な理解が積み重なる」という構造を示唆しているのではないかと考えられる。

付録：クラウドで特に考慮が必要なリスク

以下は「クラウドで特に考慮が必要なリスク」をまとめたものである。ISO/IEC 27017が定めるクラウド固有の管理策領域を骨格にしつつ、実務・インシデント事例・規制の観点を加えて整理した。各リスクはクラウド固有というよりも、オンプレミスでも存在するリスクがクラウドの構造的特性（スケール・速度・責任分断・動的変化）によって増幅・複雑化したものとして捉えるとわかりやすい。

データセキュリティ領域

データの所在地・主権（Data Residency / Sovereignty）
- 意図せぬリージョンへのデータ複製・分散リスク、SaaSでは制御できないリスク
- CSPのレプリケーション設定により意図せず越境移転が発生するリスク
- 国ごとのデータローカライゼーション規制（ロシア、中国P等）との抵触
- マルチリージョン構成時の法的管轄の競合
データの残存性（Data Remanence）
- クラウドストレージ削除後、実際にデータが消去されたかを確認できない
- スナップショット・バックアップの削除漏れ
- CSPが同一物理メディアを別テナントに再割り当てする際のデータ残存
- ログ・一時ファイルへ機微データ等が意図せず記録されるケース
暗号化鍵管理
- CSP管理の鍵を使う場合、CSPによるデータアクセスを完全には排除できない
- BYOK（Bring Your Own Key）とHYOK（Hold Your Own Key）の選択とトレードオフ
- 鍵のローテーション失敗による大規模な復号不能リスク
- HSM（Hardware Security Module）のクラウド実装における信頼性評価
データ分類とラベリング
- 複数クラウドサービス間でのデータ分類ポリシーの一貫性維持が困難
- 非構造化データ（S3オブジェクト等）への分類適用の難しさ
- 開発環境への本番データのコピーにおける漏洩のリスク

インフラ・プラットフォーム領域

ハイパーバイザーセキュリティ
- VMエスケープ攻撃
- サイドチャネル攻撃によるテナント間情報漏洩
- ハイパーバイザー自体の脆弱性は利用者側で対処不能
コンテナセキュリティ
- コンテナイメージの脆弱なベースイメージへの依存
- コンテナランタイムの脆弱性によるホスト侵害
- Kubernetesのデフォルト設定の甘さ（etcdのピア認証がデフォルト無効、保存データの暗号化が非デフォルト）
- コンテナ間のネットワーク分離不備によるラテラルムーブメント
- 特権コンテナの不適切な使用
サーバーレスセキュリティ
- 関数の実行環境が短命なためフォレンジックが困難
- イベントインジェクション（悪意あるイベントソースによるファンクション・トリガー）
- 依存パッケージの脆弱性管理が見えにくい
- タイムアウト設定の不備によるDoS
ストレージセキュリティ
- オブジェクトストレージの公開設定ミス（S3バケット等）
- 署名付きURL（Pre-signed URL）の有効期限管理不備
- ブロックストレージのスナップショット共有設定ミス
- バックアップストレージへのランサムウェア感染の波及
ネットワークセキュリティ
- クラウドリソースのネットワークアクセス制御設定ミスによる意図しない公開
- VPCピアリングの推移的ルーティングの設計誤解によるリスク
- パブリックIPアドレスの意図しない割り当て
- クラウドネイティブなDDoS攻撃（コスト増大を狙った攻撃）
- サービスエンドポイントの設定漏れによるインターネット経由のアクセスのリスク

IAM・アクセス管理領域

IAMポリシーの複雑性
- ポリシーの組み合わせによる意図しない権限の継承
- インラインポリシーと管理ポリシーの混在による可視化困難
- 条件付きポリシー（IP制限等）の設定ミス
- リソースベースポリシーとIDベースポリシーの競合
過剰権限
- 「とりあえず管理者権限」による最小権限原則の形骸化
- 使われていないロール・ユーザーの放置
- 長期アクセス鍵の放置（ローテーションなし）
- クロスアカウントロールの過剰な信頼関係設定
認証情報の露出
- ハードコードされたAPIキー
- EC2インスタンスメタデータエンドポイント経由の認証情報窃取
- CI/CDパイプラインへのシークレットのハードコード
- ログへの認証情報の誤出力
フェデレーション・シングルサインオン
- IdPの侵害によるクラウド環境全体への影響波及
- SAMLレスポンスの署名検証不備
- OAuthのオープンリダイレクト悪用
- JWTの署名アルゴリズム混乱攻撃

アプリケーション・DevSecOps領域

CI/CDパイプラインのセキュリティ
- パイプラインへの悪意あるコードの注入
- ビルド環境の汚染によるサプライチェーン攻撃
- アーティファクトリポジトリへの不正アクセス
- デプロイ権限の過剰付与
IaC（Infrastructure as Code）
- TerraformやCloudFormationの設定ミスが大量環境に一括展開される
- IaCテンプレートへのシークレットの埋め込み
- ドリフト（実環境とIaC定義のずれ）による設定管理の崩壊
- モジュール・プロバイダの脆弱性（サプライチェーンリスク）
APIセキュリティ
- クラウドサービス間通信のAPIキー管理不備
- APIゲートウェイの認証バイパス
- レートリミットの不備によるDoS
- GraphQLの過剰なデータ露出

可視性・運用領域

ログ・モニタリング
- CloudTrail・Audit Logのデフォルト無効による証跡の欠如
- ログの保存コストを理由にした無効化・期間短縮
- マルチクラウド環境でのログの集約困難
- 攻撃者によるCloudTrailの無効化（検知回避）
- ログの改ざん防止設定の欠如
設定管理の継続的監視
- リソースの動的な増減による設定管理対象の常時変化
- 管理されていないクラウドリソースの把握困難
- 設定変更の速度がレビューの速度を超える問題
- CSPのサービス仕様変更による既存設定の無効化
インシデントレスポンスの困難性
- 揮発性環境（コンテナ・サーバーレス）でのフォレンジック証拠の消失
- CSPへの証拠保全要請の手続き的複雑さ
- マルチリージョン・マルチクラウドでの攻撃経路の追跡困難
- メモリフォレンジックがクラウド環境では原則不可能

法的・コンプライアンス領域

責任共有モデルの誤解
- CSPと利用者の責任境界をサービスモデルごとに正確に把握していない
- 「CSPが対応してくれると思っていた」という認識齟齬
- 契約上の責任と技術的な責任の乖離
クロスボーダー規制
- GDPRのSCC（標準契約条項）要件を満たさないデータ移転
- 各国当局によるCSPへのデータ開示要求への対応義務（CLOUD法）
- 規制ごとに異なる「個人データ」の定義の適用困難
監査・証拠保全
- マルチテナント環境での監査証跡の独立性確保
- 米国をはじめとする訴訟制度における電子証拠開示（eDiscovery）でのクラウドデータの収集手続き
- CSPのSOC2レポートの評価能力の欠如（読めても解釈できない問題）

その他のリスク

マルチクラウド固有のリスク
- クラウド間のID連携の複雑性
- セキュリティポリシーの一貫した適用が困難
- 最も弱いクラウド環境が全体の侵入口になる
AIワークロードのリスク
- クラウド上のLLM基盤へのプロンプトインジェクション経由のデータ抽出
- 学習データへの不正アクセスによるモデル汚染
- 推論APIの過剰公開

以上

2024: クラウドセキュリティ・ティーンエイジャーにとって重要な年

コメントをどうぞ

2024: クラウドセキュリティ・ティーンエイジャーにとって重要な年（2024: A Critical Year for the Cloud Security Teenager）

本ブログは、2024年のスタートに当たって、CSA本部のCEO　Jim Reavis　のメッセージとして以下のブログに掲載された内容の日本語訳になります。本ブログは、Jim Reavis の許可のもとに公開していますが、本ブログの内容とCSA本部のブログとに相違があった場合には、CSA本部のブログの内容が優先されます。

https://cloudsecurityalliance.org/blog/2023/12/29/2024-a-critical-year-for-the-cloud-security-teenager/

Blog Article Published: 12/29/2023
Written by Jim Reavis, Co-founder and Chief Executive Officer, CSA.

2024年、クラウドセキュリティアライアンスは15周年を迎えます。この間、私たちは世の中の様々な変化、技術シーンの移り変わり、そしていくつかのクラウドセキュリティベンチャーの誕生と消滅を見てきました。これほどダイナミックな世界では、企業もかつてのような長寿ではありません。テクノロジーの移り変わりを通してベストプラクティスのリーダーシップに焦点を当てた非営利組織として、私たちはまさに10代の若者のように感じています。私は、「次はどうなるのですか」と尋ねるスタッフやその他の人々に、CSAは100年間ミッションを継続する構造になっていると話すのが好きです。

クラウドの歴史（A Quick History of the Cloud）

2024年は非常に興味深い年になるでしょう。私はこのブログを使って、今年私たちが取り組んでいくこと、私たちが対応し対処しようとしている主なトレンドを書いていきたいと思います。私にとって、これを説明する良い方法は、クラウドの歴史を世代別に簡単に説明することです。

クラウド0、あるいはプリクラウドとは、コンピューティングの歴史の中で、クラウドにつながるいくつかの発展を意識したものです。メインフレームコンピュータとその仮想マシンおよびタイムシェア機能が良い例です。1980年代のIntel 80836プロセッサは、PCに仮想マシン機能をもたらしました。より最近の歴史では、アプリケーションサービスプロバイダ（ASP）が、他人のコンピューターで仕事ができる素晴らしい例であり、SaaSの先駆けでした。

クラウド1.0は、私たちが今日使っているクラウドコンピューティングの最初のバージョンと認識しているもので、本質的には、前述の仮想マシンやストレージといった従来のITサービスを、革新的な新しいビジネスモデルで提供するものでした。私たちは、この初期にCSAに着手し、2007年に計画を立て、最終的に2009年のRSAで発表しました。

クラウド2.0は、クラウドネイティブと呼ばれる、クラウド特有の技術やフレームワークの出現を表しています。コンテナ、サーバーレス機能、DevOpsなどのほか、Cloud Security Posture Management（CSPM）などのクラウドネイティブセキュリティソリューションが挙げられます。

クラウド2.0の始まりの時期についてはいろいろな意見があります。長い間開発が進められていたクラウドネイティブが主流になったのは2016年頃で、これが始まりと私は考えています。2020年には、パンデミックによって在宅勤務が急増し、バーチャルで仕事をし、バーチャルで考えるということに対して、従来のセキュリティアーキテクチャや戦略がいかに破綻しているかが露呈しました。クラウドへの移行が加速し、cloud sprawl（クラウドの無秩序）を保護する戦略としてゼロトラストが再発見され台頭してきました。

クラウド3.0は2022年に始まりました。サイバーセキュリティの景気後退がこの歳の中頃に見られ、IPOが中止され、資金が枯渇し始めました。生成AIと大規模言語モデル（LLM）は、2022年後半にLLMプロンプトをクラウドサービスとしてリリースし注目を集め始めました。

私は、クラウドとAIに赤ちゃんが生まれ、それをChatGPTと名付けたと冗談を言うのが好きです。私にとっては、クラウド3.0は生成AIとクラウドネイティブの融合であり、今後何年にもわたって私たちが使うことになるクラウドのバージョンになることを約束するものです。私たちの業界により具体的に言えば、すべてのベンダーと企業のセキュリティチームは、クラウドセキュリティを新たに作り出すための自動化、拡張、ブレークスルーの創出に生成AIを活用しようとする「コパイロット化」の段階を迎えています。

2024年に何が起こるか（What’s Coming in 2024）

クラウドセキュリティアライアンスは、明日の問題を今日解決するために最善を尽くすよう努めています。そのため、これらのトレンドを理解し、業界に適切なサポートを提供できるようにしたいと考えています。以下に、2024年に向けての私たちの着目点を概説したいと思います。

AI Safety Initiativeについてはすでにご存知でしょう。我々のグローバルなフットプリントを活用して、クラウドのために行ってきたAIに関する研究、教育、認証機能のすべてを提供することを期待しています。重要なことは、私たちはAIを次の光り輝くものとして移行しようとしているのではなく、AIがクラウドに到来し、クラウドを変革しつつあるということです。フロンティアであるLLMやハイパースケーラー、そして事実上すべてのSaaSソリューションがAIを提供することで、究極のセキュリティ責任共有シナリオが生まれつつあります。

私がサイバーセキュリティの同僚に印象づけられることが1つあるとすれば、悪意のある行為者によるAIの採用（AIのコードスキャンを考えてみましょう）は、大きな課題を生み出すということです。AIの採用については慎重を期すことができるかもしれませんが、悪意のある行為者とそれに必要な対策とが交差するところではそうはいきません。

CSAは2023年末に、幅広いゼロトラストの知識を証明する業界初の資格、Certificate of Competence in Zero Trust（CCZT）を導入しました。これは、2024年に私たちにとって大きな重点分野となります。戦略として、ゼロトラストはあらゆるタイプのコンピュートシステムのセキュリティを強化するために使用され、全体として最も一般的な戦略になると考えています。私は以前、ゼロトラストを次のバージョンのインターネットのセキュリティ設計図と見ていると述べました。私たちは、これまで明らかにしてきたベストプラクティスを基に、AI向けの具体的なゼロトラストのユースケースなど、新たな分野でイノベーションを起こすつもりです。

CSAのSecurity, Trust, Assurance and Risk (STAR)プログラムは、クラウドプロバイダの保証表明の世界最大のリポジトリを提供しています。STAR は、最も人気のある調査成果物であるクラウド・コントロール・マトリックス（CCM）で構成されています。

STARは2011年に発行されたにもかかわらず、2023年に最も成長した成果物です。多くの企業のベンダー管理の中心的存在であり、多くの国や業界で標準となっています。私たちは、IT GRCの近代化の最前線にいることを確認するために、いくつかのプロジェクトを進行中です。AIの保証および保証のためのAIの活用の両方が取り上げられています。管理策の継続的なモニタリングは重要です。業界、国、テクノロジーセグメントによって使用されている多くのコンプライアンスフレームワークを調和させることが重要です。

歴史のあるCertificate of Cloud Security Knowledge (CCSK)プログラムが2024年半ばにバージョン5に更新されることをお知らせできることを大変嬉しく思います。クラウドセキュリティプロフェッショナルのための業界標準であるこのプログラムは、テクノロジーとプラクティスの適切なバランスを備え、クラウド3.0がサイバーセキュリティにとって何を意味するかを示す生きた見本となります。私たちは、CCSK v5の立ち上げにおいて、既存の資格保有者に最も簡単なパスを提供することをお約束します。皆様のご愛顧に感謝いたします。

これらは2024年における主な優先事項ですが、CSAらしく、私たちは野心的で、コミュニティに対応し、皆さんにとって重要な問題を幅広くカバーすることに重点を置いていきます。私たちと交わる機会はたくさんあります。CSAのバーチャルイベントや直接参加できるイベントにぜひお越しください。支部に参加しましょう。リサーチワーキンググループに参加しましょう。オンラインコミュニティ「circle」に登録しましょう。年寄りの私は、私たちの業界が文字通り一つの部屋に収まることができた頃を覚えています。幸いなことに、それはもはや不可能であり、我々は世界のビジネスの多くで重要な役割を果たしています。2024年、この責任をしっかり果たしていきましょう。

以上

クラウドネイティブにおける新しい責任共有モデルとセキュリティの考え方

コメントをどうぞ

クラウドネイティブにおける新しい責任共有モデルとセキュリティの考え方

2023年3月29日
CSAジャパン　クラウドセキュリティ自動化WG　諸角昌宏

クラウドの責任共有モデルは、サービスモデル（IaaS, PaaS, SaaS）に基づいて説明されてきた。しかしながら、新たに登場してきたコンテナ、サーバーレス等を用いたクラウドネイティブの環境における責任共有モデルを考えた場合、既存のサービスモデルに基づいた考え方ではカバーしきれないのではないかという懸念がある。CSA Silicon Valley Chapterでは、クラウドネイティブにおける新しい責任共有モデルの考え方を説明した” The Evolution of Cloud Computing and the Updated Shared Responsibility”というブログを2021年2月に公開した。これはCSAジャパンにより日本語化され「クラウドコンピューティングの進化と新たな責任共有モデル」として公開されている。
ここでは、上記資料で説明されている新しい責任共有モデルに対して、CSAが公開した以下の資料におけるセキュリティの考え方を対応させることで、クラウドネイティブの責任共有モデルの考え方とそのセキュリティの考え方について統合して理解できるようにしたい。

なお、このクラウドネイティブの責任共有モデルは、標準として定められているものではなく、あくまで現段階における1つの考え方として提供されているものであるということは注意していただきたい。今後、NISTやISOにおいて、標準としてのクラウドネイティブの責任共有モデルが定義された際は、その標準に基づいて改めて考えていく必要がある。

クラウドネイティブにおける新しい責任共有モデルの概要
ここでは、まずクラウドネイティブにおける新しい責任共有モデルについて、「クラウドコンピューティングの進化と新たな責任共有モデル」の下図を用いて説明する。なお、ここで記述されているモデルをここからは便宜上「CNCFモデル」と呼ぶことにする。また、ここでは要点だけ説明するので詳細は上記資料を参照していただきたい。なお、下図は上記資料では英語で表記されているが、分かりやすくするため日本語に翻訳して表記している。
図1　CNCFモデル（「クラウドコンピューティングの進化と新たな責任共有モデル」より引用、作成）

図の左で「CNCFレイヤー」と記載されているのはCloud Native Computing Frameworkとして、既存のサービスモデルのレイヤーに新たに追加されたクラウドネイティブのレイヤーである。これらのレイヤーは以下の内容になる。

プロビジョニングサービスプレーン
このレイヤーは、コントロールプレーンにあたる。ここでは、Kubernetesで説明されているが、Dockerコントロールプレーンでも同様に扱うことができる。プロビジョニングサービスプレーンでは、コンテナの稼働や停止等の運用や、コンテナの配置、デプロイ時のコンテナ入れ替えや仮想ネットワークの提供等を行う。
セキュリティの観点からは、コンテナのセキュリティを実装されるために必要となる機能およびアーキテクチャを提供するレイヤーとなる。
このレイヤーは、IaaSを除くすべてのモデル（K8s-aaS, CaaS, FaaS, NoCode, SaaS）においてプロバイダの責任となる。IaaSにおいては、このレイヤーにあたるKubernetesやDockerを利用者がインストール・設定・運用・管理を行うため、利用者側の責任となる。
マネージドサービスランタイム
このレイヤーは、データプレーンにあたる。コンテナが稼働する実行環境、もしくはサーバーインスタンスそのもので、コンテナランタイムを管理する。コントロールプレーンが提供する機能を実際にコンテナランタイムに対して実施するレイヤーとなる。
サーバーレスの観点では、コントロールプレーンとデータプレーンの両方をプロバイダが管理することで、利用者はコンテナクラスタや仮想マシンなどのインフラストラクチャを管理しなくてもクラウドネイティブサービスに簡単に移行できるようになる。したがって、このマネージドサービスランタイムのレイヤーまでをプロバイダが管理するモデル（CaaS, FaaS, NoCode）がサーバーレスのモデルということになり、K8s-aaSはサーバーレスではないことになる（注：SaaSはアプリケーションを含むクラウド全体をプロバイダが管理するので、サーバーレスのカテゴリーからは除くこととする）。
アプリケーションビルドとパッケージ化
このレイヤーは、コンテナイメージの作成、コンテナ環境への移動・実施といういわゆるビルドチェーンを管理する。クラウドネイティブの観点では、このレイヤーを利用者が管理する（CaaS）のか、あるいはプロバイダが管理する（FaaS, NoCode）のかということになり、サーバーレスの責任共有を考える上では重要なレイヤーとなる。後ほどサーバーレスの章で説明する「コンテナイメージベースのサーバーレス」（CaaS）と「機能ベース（ファンクションベース）のサーバーレス」（FaaS, NoCode）として、それぞれの責任を明確にすることが必要となる。
アプリケーション定義と開発
このレイヤーは、アプリケーションのコードロジックを定義・開発する。アプリケーションの仕様と構成からコードを生成する際に、利用者が自身でコードロジックを作成する（FaaS）のか、あるいは、プロバイダが利用者の作成した仕様と構成からコードを生成する(No-Code)に分類される。クラウドネイティブの観点からは、この2つのモデルの差はあまりなく、FaaSの場合には利用者がビジネスロジックを直接コード化する（Python等を用いる）のに対して、No-Codeの場合にはプロバイダが提供するGUI等を用いてドラグ&ドロップなどによってコードロジックを作成する。No-Codeに対してLow-Codeという方法もありこれはGUIだけでなく一部のコードロジックについては直接作成する。
セキュリティの観点では、このレイヤーは基本的に利用者が管理を行うが、No-Codeの場合にはGUIを提供する部分がプロバイダの責任となる。責任共有の観点からはあまり区別する必要は無いと思われる。

コンテナセキュリティ
ここでは、CSAが公開している「安全なアプリケーションコンテナアーキテクチャ実装のためのベストプラクティス」に基づいてコンテナセキュリティについて説明する。この資料では、コンテナのセキュリティについてアプリケーションの開発者および運用者の観点で書かれているので、上記のモデルのK8s-aaSを対象として考えるのが分かりやすい。つまり、この資料の登場人物である「開発者」を利用者、「運用者」をプロバイダと読み替えることで、K8s-aaSの責任共有モデルとして表現できる。
- CNCFレイヤーとコンテナセキュリティ
  まず、本資料で記述しているコンテナセキュリティの構成要素をCNCFレイヤーに対応付けると以下になる。
  - プロビジョニングサービスプレーン
    プロビジョニングサービスプレーンを構成しているのは、プラットフォーム管理、コンテナ管理で、運用者がこれらの機能を提供している。
  - マネージドサービスランタイム
    プロビジョニングサービスプレーンで提供されている機能を用いて、開発者がコンテナランタイムの管理を実施する。
  - アプリケーションビルドとパッケージ化、アプリケーション定義と開発
    この2つのレイヤーは、アプリケーションの設計、開発、ビルド、実行を行うもので、開発者が管理する。
- コンテナセキュリティの内容
  ここでは、コンテナセキュリティについて、主なポイントとなる点を説明する。詳細については上記資料を参照していただきたい。
  - 開発者のアプリケーションセキュリティ
    - 開発環境全体（開発、品質保証、テスト、本番）のコードプロモーションのセキュリティ対策として、コンテナイメージに署名し信頼の起点（root of trust）を確立する。
    - 開発プロセスの一部として脆弱性スキャンを行う。
    - イメージの中には必要なコンポーネントのみを入れる。
    - アプリケーションにログ機能、フォレンジック機能を含める。
    - アプリケーションにシークレット管理機能を取り込む。
    - コンテナイメージの暗号化、保存データの暗号化を行う。
  - 運用者のアプリケーションセキュリティ
    - ビルドチェーンの完全性を確保するため、デジタル署名を使用し検証するための機能を提供する。
    - 署名され承認されたイメージだけを使用許可するための機能を組み込む。
  - 運用者のホストセキュリティ（ホストセキュリティは開発者は無し）
    - 通信の暗号化を行う。
    - コンテナを特権モードで実行しない。
    - 基本的に、コンテナランタイムにホストファイルシステムへのアクセスを許可しない。
    - 限定的なcapability設定でコンテナを起動する。ユーザが必要な機能以外を使用できないようにする。
  - 開発者のプラットフォームセキュリティ
    - コンテナで実行されるアプリケーションのバージョン管理を行う。
  - 運用者のプラットフォームセキュリティ
    - ログの送信、集中管理の基盤を提供する。
    - コンテナのライフサイクル（起動から破棄まで）のイベントを開発者に通知できるようにする。これにより、開発者は適切な対応が取れるようになる。
    - リソースの消費を監視し、最適化する。
  - 開発者のコンテナセキュリティ
    - ホストとコンテナ間の通信の機密性（暗号化）および双方向TLS等の相互認証メカニズムを使用する。
    - ネットワーク監視機能を使用する。
    - コンテナのフォレンジック機能、ログ機能を、アプリケーションにログ機能を含める。
    - データのバックアップとして、データの保存場所の特定、バックアップの定期的な実施、また、コンテナが消滅する前にバックアップされることを確認する。
  - 運用者のコンテナセキュリティ
    - ホストとコンテナ間の通信の機密性（暗号化）および双方向TLS等の相互認証メカニズムを提供する。
    - コンテナのフォレンジック機能、ログ機能を提供する。
    - コンテナのトラストチェーンの維持。OS およびコンテナイメージの完全性検証、脆弱性検査を実施する。
    - コンテナのリソース管理、ボリューム監視を行う。
    - 通信トラフィックの分離を行う。
    - シークレット管理機能を提供する。
    - データのバックアップとして、データの保存場所の特定、バックアップの定期的な実施、また、コンテナが消滅する前にバックアップされることを確認する。

以上のようなポイントを考慮してコンテナのセキュリティを考えていくことが必要である。

サーバーレスセキュリティ
サーバーレスは、CNCFモデルではCaaS, FaaS, No-Codeの各モデルが対象となる。サーバーレスのセキュリティとしてCSAが公開している資料は、「安全なサーバーレスアーキテクチャを設計するには」であり、ここではこの資料とCaaS, FaaS, No-Codeの各モデルをマップして説明する。サーバーレスセキュリティの基本的な考え方は、クラウド利用者（注：「安全なサーバーレスアーキテクチャを設計するには」では「アプリケーションオーナー」と表記）がデータの保護およびアプリケーションの保護のみの責任を持つ。一方、クラウドプロバイダ（注：「安全なサーバーレスアーキテクチャを設計するには」では「サーバーレスプラットフォームプロバイダ」と表記）がサーバーの立ち上げ、OSのパッチ適用、アップデート、シャットダウンなどのサーバーやそのセキュリティの管理の責任を持つ。これにより、アプリケーションオーナーはインフラの管理を気にせずにアプリケーションに集中することができる。「安全なサーバーレスアーキテクチャを設計するには」では、サーバーレスを2つの名称に分けて表現しており、1つは「コンテナイメージベースのサーバーレス」で、もう1つが「機能ベース（ファンクションベース）サーバーレス」である。この２つの名称をCNCFモデルに当てはめると以下のようになる。
- コンテナイメージベースのサーバーレス：　CaaS
- 機能ベースのサーバーレス：　FaaS, No-Code

機能ベースのサーバーレスにFaaS, No-Codeの2つのモデルを当てはめているが、FaaS, No-Codeの違いは「アプリケーション定義と開発」レイヤーにおける責任の一部の違いであり、サーバーレスのセキュリティを考える上では同じものとして扱うことで問題ないと考える。

これをCNCFレイヤーとサーバーレスのセキュリティを対応付けると以下になる。

アプリケーションビルドとパッケージ化
コンテナイメージベースのサーバーレス（CaaS）ではアプリケーションオーナー（利用者）の責任となるが、機能ベースのサーバーレス（FaaS, No-Code）ではサーバーレスプラットフォームプロバイダ（プロバイダ）の責任となる。
アプリケーション定義と開発
コンテナイメージベースのサーバーレス（CaaS）、機能ベースのサーバーレス（FaaS, No-Code）のどちらにおいても利用者の責任となる。

この責任の考え方については、「安全なサーバーレスアーキテクチャを設計するには」で表現されている以下の２つの図が分かりやすい。「コンテナイメージベースのサーバーレス（注：この図では「イメージベースのサーバーレスの責任共有モデル」と表現）」（左図）では、コンテナイメージの責任がアプリケーションオーナー、つまりクラウド利用者となっているのに対して、「機能ベースのサーバーレス(注：この図では機能ベースのサーバーレス(FaaS)の責任共有モデル」と表現)」（右図）では、このコンテナイメージの責任がサービスプロバイダとなっている。この違いは、CNCFモデルにおける「アプリケーションビルドとパッケージ化」レイヤーの責任の違いとなる。

図2　「安全なサーバーレスアーキテクチャを設計するには」より引用

なお、これらをAWS、Azure、Googleのサービスに照らし合わせると以下になる。

コンテナイメージベースのサーバーレス（CaaS）
AWS Fargate、Azure Container Instances（ACI）、GoogleCloudRunなど
機能ベースのサーバーレス（FaaS, No-Code）
FaaS: AWS Lambda、Azure Functions、Google CloudFunctions
No-Code: Azure Power Apps、Google AppSheet、AWSHoneycode

これをCNCFレイヤーとサーバーレスのセキュリティを対応付けると以下になる。

アプリケーションビルドとパッケージ化
コンテナイメージベースのサーバーレス（CaaS）ではアプリケーションオーナーの責任となるが、機能ベースのサーバーレス（FaaS, No-Code）ではプロバイダの責任となる。
アプリケーション定義と開発
コンテナイメージベースのサーバーレス（CaaS）、機能ベースのサーバーレス（FaaS, No-Code）のどちらにおいてもアプリケーションオーナーの責任となる。

「アプリケーションビルドとパッケージ化」におけるセキュリティは、「2. コンテナセキュリティ」で説明した内容となるのでそちらを参照していただきたい。あくまで、これがアプリケーションオーナーの責任になるかプロバイダの責任になるかの違いである。
「アプリケーション定義と開発」におけるセキュリティについて、「安全なサーバーレスアーキテクチャを設計するには」では、アプリケーションオーナー（つまり、利用者）のセキュリティとして、ワークロードへの脅威の観点で以下の3点を挙げている。

セットアップフェーズの脅威
アプリケーションオーナーがワークロードを準備し、コード、イメージ、CI/CD作業、デプロイに関する脅威のことを言う。最小特権原則を維持していない呼び出し、およびセキュアでない構成管理の問題となる。
サーバーレスにおいてはワークロードが小さな呼び出し可能なユニットに分割され、それぞれにセキュリティを管理する一連のパラメータ（ユーザの認証情報/アクセス件、呼び出し可能なユニットの認証情報/アクセス権、モニタリングなど）が設定される。これらに対して、最小権限の原則を維持することが必要である。また、この分割が増えることで、サプライチェーンの脆弱性の問題が起こる。ベースイメージの脆弱性、リポジトリに対する不正アクセス、ビルド/デプロイツールに対する攻撃などへの対応が必要である。
デプロイフェーズの脅威
アプリケーションオーナーによるワークロードのデプロイフェーズでの脅威のことを言う。
サーバーレスでは、様々なリソースからの膨大なイベントを利用する。イベントの一部として呼び出し可能なユニットに渡される情報はデータインジェクションの脅威となる。また、呼び出し可能なユニットが必要とするトークン、シークレットなどはグローバルコンテキストを必要とし、このグローバルコンテキストのリークが発生する脅威がある。
また、サーバーレスで使用するコンピュートリソースは従量課金であるため、適切な感じと処理を行わないとリソースの枯渇等の問題が発生する。
サーバーレスのワークロードは、データと制御パスの一部をサービスプロバイダにオフロードするため、開発とテストをクラウド上で行う必要がある。デバッグなどが制限される可能性もある。したがって、エラーメッセージが重要になる。
サービス事業者による脅威
サービスプロバイダが使用するコンポーネントスタック全体および関連サービスの脅威が含まれる。
まず重要なのがマルチテナントを維持するための隔離の問題である。サーバーレスでは、プロバイダが分離を確立する必要がある。また、インスタンスの起動／終了のオーバーヘッドを削減するために呼び出し可能なユニットの再利用を行う場合があるため、呼び出し可能なユニットの呼び出し間の漏洩および残留データの漏洩というサーバーレス固有の脅威もある。
また、責任共有の問題として、サーバーレスではコードの設計、ランタイムのセキュリティの責任をアプリケーションオーナーが持つが、その中で機能ベースのサーバーレスの場合、プロバイダが提供する呼び出し可能なユニットの脆弱性が発生する可能性がある。コードの設計やイベントシステムのセキュリティだけでなく両者の相互作用についても考える必要がある。

以上が、アプリケーションオーナーのワークロードへの脅威の観点でのサーバーレスのセキュリティとなるが、「安全なサーバーレスアーキテクチャを設計するには」ではKubernetesのセキュリティからアプリケーションのセキュリティまでを詳細に記述している。Kubernetesのセキュリティは、「2. コンテナセキュリティ」でも記述されている部分になるが、より詳しくKubernetesの機能に基づいて記述しているので、参照していただきたい。

まとめ
以上、CNCFモデルをベースに、CSAが公開しているコンテナおよびサーバーレスのセキュリティに関する資料を参照しながら説明してきた。コンテナのセキュリティについては整理されてきているが、サーバーレスについてはまだ適切なセキュリティが明確になっていない。今後、様々な形で情報が提供されてくるので、それを見ていきながらサーバーレスとしてまとまった形でのセキュリティについて説明できるようにしていきたい。

以上

コンフィデンシャルコンピューティングとクラウドデータセキュリティ

コメントをどうぞ

CSAジャパン理事　諸角昌宏
2023/2/5

本ブログは、最近注目を集めているコンフィデンシャルコンピューティングについて、クラウドのデータセキュリティの観点から説明する。特に、クラウド環境での暗号化の基本である利用者鍵管理との関係について触れる。

コンフィデンシャルコンピューティングとクラウドデータセキュリティ
コンフィデンシャルコンピューティングの詳細については、様々な資料や情報が出ているのでそちらを参照していただくとして、ここではクラウドのデータセキュリティの観点からコンフィデンシャルコンピューティングを説明する。

コンフィデンシャルコンピューティングを推進しているConfidential Computing Consortium（CCC）では、「ハードウェアベースの信頼できる実行環境Trusted Execution Environment（TEE）で計算を実行することで使用中のデータを保護する」と定義している。そうすると、コンフィデンシャルコンピューティングによって、利用者はデータがどのように保護されているかを気にしなくてもすむようになる。

これを、クラウドにおけるデータセキュリティの観点で説明すると以下のようになる。
クラウド（だけではないが）でのデータセキュリティを考える場合、以下の3つのデータの状態を考慮する必要がある。
- 保存中のデータ（Data At Rest）
- 移動中のデータ（Data In MotionあるいはData In Transit）
- 使用中のデータ（Data In Use）

データを保護するためには暗号化が重要な技術となる。暗号化することで、マルチテナント環境における隔離を超えたアクセスや不正アクセスに対してデータを保護することができる（情報を保護するといった方が正しいが、ここではデータと情報を特に区別しない）。これらの3つの状態において、保存中と移動中のデータに対しては暗号化を行うことができるが、使用中のデータには暗号化を行うことができない。それは、アプリケーションが暗号化されたデータを処理することができないためで、アプリケーションが処理を行うためには暗号化されたデータは必ず復号する必要がある。クラウドにおいてはこれが特に問題となる。クラウド上のアプリケーションは仮想マシンなどの仮想環境で動作しているのがほとんどであるため、ハイパーバイザや仮想マシンを狙った攻撃により、暗号化されていない使用中のデータが狙われる可能性がある。コンフィデンシャルコンピューティングでは、この使用中のデータを保護するため、プロセッサ上の隔離された環境でプログラムを実行し、データに不正アクセスしたり書き換えたりすることができないようにしている。これにより、使用中のデータを保護することが可能になる。

このように、コンフィデンシャルコンピューティングにより、データの3つの状態のすべてにおいてデータを保護することが可能になる。すでにAWS, Azure, Google等で採用されているように、コンフィデンシャルコンピューティングを提供することはクラウドサービスプロバイダにとって重要なこととなると思われる。

コンフィデンシャルコンピューティングと利用者鍵管理
クラウドにおけるデータ保護としてもう1つ考慮する必要があるのが鍵の管理である。これは、データの暗号化に使用される鍵の管理方法の問題で、クラウドにおいては利用者が鍵を管理することが必要である。それは、プロバイダが鍵を保持した場合、クラウド側のインサイダー（管理者）による情報侵害などの問題を引き起こすからである。一方、利用者が鍵を保持した場合、アプリケーションがそのデータを処理できないという問題が発生する。特にSaaS環境においてはこの問題に直面する。そこで用いられているのが、「利用者鍵管理」という方法で、プロバイダが暗号化エンジンを管理するのに対して、利用者が自身の鍵を管理できるようにする仕組みである。BYOKやHYOKという言葉を耳にすることも多いだろう。この詳細については、以下のブログを参照していただきたい。
https://cloudsecurityalliance.jp/newblog/2022/02/09/%e3%83%87%e3%83%bc%e3%82%bf%e3%81%ae%e6%9a%97%e5%8f%b7%e5%8c%96%e3%81%ab%e3%81%8a%e3%81%91%e3%82%8b%e5%88%a9%e7%94%a8%e8%80%85%e9%8d%b5%e7%ae%a1%e7%90%86%e3%81%ab%e3%81%a4%e3%81%84%e3%81%a6/

利用者鍵管理では、一時的にせよプロバイダが鍵を保持することになる（一時的というのは、実装の仕方は様々なのでこの言い方を取る）。また、その鍵を使用して復号し、アプリケーションが処理を行うことになる。したがって、使用中のデータに対する保護はできない。
一方、コンフィデンシャルコンピューティングでは、使用中のデータの保護はできるが、アプリケーションが処理した後のデータの保存時の暗号化を行うことはできない、というか、暗号化はプロバイダが管理する鍵を用いて行うしかない。そうすると、コンフィデンシャルコンピューティングを利用したとしても、引き続き利用者鍵管理は必要となると考えられる。
まとめ
使用中のデータの保護と保存時のデータの暗号化を両立させる方法としては、完全準同型暗号が解となる。完全準同型暗号については、先のブログに記載しているのでそちらを参照していただきたい。しかしながら、完全準同型暗号が一般的に利用されるようになるまでにはまだ時間がかかりそうである。
コンフィデンシャルコンピューティングは、使用中のデータの保護として非常に重要な技術であり、引き続き理解を深めていく必要がある。また、利用者鍵管理も引き続き必要となるし、特に、ISMAP等の要求事項となっているので、こちらの理解も深めていく必要がある。

以上

MS、アマゾン、グーグルらがクラウドデータの保護など目指す「Trusted Cloud Principles」について

2件の返信

Microsoft、Amazon、Googleらが、「Trusted Cloud Principles」という新たな業界イニシアチブを発表しました。これから関わってくる可能性が高いと思われるので、その内容について翻訳してみました。なお、ここの翻訳は、あくまで個人的に行ったものであり、正式な形で翻訳の承認を取ったものではないことに注意してください。ここの訳はおかしいよというところがありましたらご指摘ください。
原文は、こちらです。

Trusted Cloud Principles(信頼できるクラウドの原則)

原則

世界中の組織は、イノベーションを推進し、セキュリティを向上させ、新しいデジタル経済で競争力を維持するためにクラウドテクノロジーを採用しています。クラウドサービスプロバイダとして、国境を越えて利用されるサービスとインフラストラクチャを運用することにより、あらゆる規模の企業、公共部門のエンティティ、非営利団体を含むこれらの組織をサポートします。

Trusted Cloud Initiativeは、イノベーション、セキュリティ、プライバシを妨げる国際的な抵触法を解決し、クラウドにデータを保存および処理する組織の基本的な保護を確立および確保するために、世界中の政府と組んでいくことを目指しています。このイニシアチブを通じて、私たちは政府と協力してデータの自由な流れを確保し、公共の安全を促進し、クラウド内のプライバシとデータセキュリティを保護することを約束します。

このイニシアチブは、社内の人権影響評価を実施するなど、この分野で各企業が行った既存の取り組みに基づいています。これは、企業が取り組むベースラインとして機能します。

クラウドプロバイダとして、以下を主張します；

グローバルクラウドサービスを使用する個人および組織の安全性、セキュリティ、プライバシ、および経済的活力を保護することへの世界中の政府の関心を認識します。
国際人権法がプライバシの権利を大事にしていることを認識します。
利用者の信頼と、利用者のデータの管理とセキュリティの重要性を認識します。これには、利用者がクラウドで所有するデータの保護と、その信頼を確立、維持、強化する製品とポリシーの作成の両方が含まれます。
国際的に認められた法の支配と人権基準を遵守する透明なプロセスを通じて、政府がデータを要求できるようにする法律をサポートします。
データアクセス、プライバシ、および主権に関連する抵触法を解決するための国際的な法的枠組みをサポートします。
データアクセス、プライバシ、および主権に関連する抵触法を解決するための国際的な法的枠組みをサポートします。
クラウド利用者の安全性、プライバシ、セキュリティ、およびデータの所有権を保護する、国内および国際レベルでの改善された規則と規制をサポートします。
政府のデータ要求に関する集計統計を詳述する透明性レポートを定期的に公開することの重要性を認識します。

私たちの目的を達成するために、私たちは世界中の技術部門、公益団体、および政策立案者と協力し、特にデータセンタとクラウドインフラストラクチャを運用または運用する予定の国で、法律とポリシーが実質的に次の原則に沿っていることを確実にします。

政府は、狭い例外を除いて、最初に利用者を関与させる必要があります。政府は、例外的な状況を除いて、クラウドサービスプロバイダではなく、企業の利用者から直接データを手に入れようとする必要があります。

利用者は通知を受ける権利を持っている必要があります。政府がクラウドサービスプロバイダから直接利用者データにアクセスしようとする場合、そのクラウドサービスプロバイダの利用者は、データへの政府アクセスの通知を事前に通知を受ける権利を有する必要があります。その通知は、例外的な状況においてのみ遅らせることができます。

クラウドプロバイダーは、利用者の利益を保護する権利を持っている必要があります。関連するデータ保護当局への通知を含め、クラウドサービスプロバイダーが利用者のデータに対する政府のアクセス要求に異議を申し立てる明確なプロセスが必要です。

政府は法の抵触に対処する必要があります。政府は、ある国でのクラウドサービスプロバイダーの法令遵守が別の国での法律違反にならないように、相互の対立を提起し解決するメカニズムを作成する必要があります。

政府は国境を越えたデータの流れをサポートする必要があります。政府は、イノベーション、効率、セキュリティのエンジンとして国境を越えたデータの流れをサポートし、データの常駐要件を回避する必要があります。

クラウドコンピューティングの進化と新たな責任共有モデル

5件の返信

本ブログは、Vishwas Manral, Founder and CEO at NanoSec, CSA Silicon Valley Chapter　のブログ（The Evolution of Cloud Computing and the Updated Shared Responsibility、https://cloudsecurityalliance.org/blog/2021/02/04/the-evolution-of-cloud-computing-and-the-updated-shared-responsibility/）の日本語版で、著者の許可のもとに翻訳し公開するものです。原文と日本語版の内容に相違があった場合には、原文が優先されます。

クラウドコンピューティングは、過去10年間変化し続けてきた。このブログは、コンテナ、機能、ローコード、ノーコードの成長によるクラウド状況の変化の結果として、今までのサービスモデルがもはや十分ではないということの理由について説明する。

このブログでは、さまざまなパラダイムの責任共有モデルについても説明し、将来の方向性について検討する。

サービスモデル（SaaS, PaaS, IaaS）の背景

米国国立標準技術研究所（NIST）は、2011年に、3つのサービスモデル、4つの配備モデル、5つの主な特性で構成されるクラウドコンピューティングの定義を提供した（NIST Special Publication800-145）。

このドキュメントは、特にクラウドサービスとクラウド配備戦略を比較する際に、その標準とガイドラインを提供する手段として機能し、クラウドコンピューティングの最適な使用法のベースラインを提供することを目的とした。

3つのサービスモデルは、SaaS（Software-as-a-Service）、PaaS（Platform-as-a-Service）、IaaS（Infrastructure-as-a-service）である。これはすでに過去のことであり、モデルは新しいプラットフォームを包含するように進化する必要がある。

重要な変化の推進力としてのイノベーションとソフトウェア開発

市場に新しく差別化された価値をもたらすことは今や競争上の必要性であり、反復可能な方法でより迅速にイノベーションを実現するために最も組織化された企業が市場のリーダーとなる。企業におけるクラウドコンピューティングの配備は、成熟し、変化を遂げており、新しい価値をもたらし、ソフトウェアが変化の原動力となっている。

このことは、インフラストラクチャ層、サービス層、アプリケーション層に当てはまる。ここでは、急増するコンテナ、Kubernetes（K8s）の台頭、エッジコンピューティングの出現、サーバーレスアーキテクチャの幅広い採用を見ることができる。開発者に提供されるすべてのサービスが、より早く市場に価値をもたらすことを可能にしている。

新しいアーキテクチャを2011年のSaaS-PaaS-IaaSフレームワークに適合させようとすることは、丸い穴に四角いペグを適合させるようなものだ。

新しいサービスモデル

中核となるのは、*クラウド*責任共有モデルが、クラウドプロバイダ（Amazon Web Services、Microsoft Azure、Google Cloud Platform、あるいはより総称的にプラットフォームプロバイダ）とクラウド利用者またはアプリケーション所有者（エンタープライズおよびスタートアップ）の間の責任の明確な境界を提供する。

次の図は、さまざまなサービスモデル間における責任の違いを示している。

いくつかの重要なポイント：

徐々により多くの責任がプラットフォームプロバイダによって引き受けられ、アプリケーション所有者をアプリケーションロジック以外の責任から解放している。

右に移動していくと、プラットフォームプロバイダがより多くの責任を負うため、運用コストとオーバーヘッドが削減される。

NoCode/SaaSのようなプラットフォームになると、開発者の責任自体が縮小する。筋金入りのプログラマではない開発者という新しいレベルの台頭につながっている。

IaaS、PaaS、SaaSに加えて、それ以降に進化した新しいサービスモデルを以下に定義する。

Managed K8s as a Service (K8s-aaS)

Managed Kubernetesは、ほとんどのクラウドプロバイダによって提供されるサービスとして最も広く使用されているManaged Service Control Plane as a service（CPaaS）である。ここでは、Kubernetesコントロールプレーンはプラットフォームプロバイダによって管理され、アプリケーション所有者がオプションで提供するコントロールプレーン（別名K8sマスターノード）構成を使用する。データプレーンのライフサイクルとその管理は、アプリケーションの所有者が行う。

これは、アプリケーションにデータプレーンからの特定のニーズがある場合、追加の運用オーバーヘッドよりもコスト最適なスケールアウトが大きな考慮事項である場合、あるいはアプリケーションがマルチクラウドに移植可能なアプリケーションであることが必要な場合に最適である。

例としては、Amazon Elastic Kubernetes Service（EKS）、Azure Kubernetes Service（AKS）、Google Kubernetes Engine（GKE）がある。AWS Elastic Compute Service（ECS）は、Kubernetes以外のマネージドコントロールプレーンサービスの例である。

Container-as-a-Service (CaaS)

CaaSの場合、アプリケーションの所有者がアプリケーションコンテナを提供し、プラットフォームプロバイダがコントロールプレーンとデータプレーンの両方を管理する。つまり、アプリケーションユーザは、CPaaSによって提供されるすべての機能に加えて、サーバー（VM）、ホストOSのスケーリングとパッチ適用、サーバーの起動と停止を管理する必要がなくなる。

これらのサービスは、アプリケーションの所有者が多くのサーバー管理の責任から解放されるため、サーバレスとも呼ばれる。このサービスは、イベントドリブンアーキテクチャではなく、アプリケーションの所有者がスケールアウトのコストをあまり気にしない場合に最適である。

Containers-as-a-Service（CaaS）ソリューションの例としては、Amazon Web Services（AWS）Fargate（ECSFargateとEKSFargateの両方）、Azure Container Instances（ACI）、GoogleCloudRunなどのソリューションがある。

Function-as-a-Service (FaaS)

FaaSの場合、アプリケーションの所有者は、機能を実行するレイヤーとともにビジネスロジックを提供する。これらの機能は、サービスプロバイダによって構築、パッケージ化、および実行される。サービスコントロールプレーンとデータプレーンは、サービスプロバイダによってすべて処理される。

このサービスは、イベント駆動型のステートレスアプリケーションに最適である。

このサービスの例としては、AWS Lambda、Azure Functions、Google CloudFunctionsがある。

NoCode-as-a-Service (NCaaS)

NCaaSでは、コードロジックはアプリケーションの所有者によって提供される。サービスプロバイダは、仕様と構成からコードを生成し、ソフトウェアをビルド、パッケージ化、および実行する。

これと似ているがわずかに異なるもう1つのバージョンは、Low-Code-as-a-Service（LCaaS）である。

コーディングがほとんど必要ないため、これらのプラットフォームは、技術者でないユーザーでもアプリケーションを作成できるように設計されている。これは、今後数年間で驚異的な成長が見られ、ソフトウェア開発者の大幅な増加をもたらす。

このサービスの例としては、Azure Power Apps、Google AppSheet、AWSHoneycodeがある。

Serverless（サーバレス）

サーバレスプラットフォームを使用すると、開発者は開発と配備をより迅速に行うことができ、コンテナクラスタや仮想マシンなどのインフラストラクチャを管理しなくてもクラウドネイティブサービスに簡単に移行できる。

例：上記のモデルでは、CaaS / FaaSおよびNCaaSプラットフォームはサーバレスとして扱われる。

アプリケーションのプラットフォームの選択

次の図は、アプリケーションの所有者がサービスに使用するクラウドプラットフォームを決定する際にその方法の概要を示している。

まとめ

まとめると、アプリケーションの将来の展望は非常に多様で、高度にハイブリッドでマルチクラウドである。エンタープライズクラウドコンピューティングプラットフォームには、サーバレスアプリやサーバアプリ、オンプレミス、クラウドなど、さまざまなインフラストラクチャ、サービスレイヤー、APIが含まれる。

「ワンサイズですべてに対応」するモデルや経験則はない。真のクラウド方式においては、組織の変化に応じて進化するスケーラブルでセキュアな環境をサポートするための機敏で弾力的な決定が必要である。

データセンターセキュリティ　～第17回CSA勉強会

コメントをどうぞ

日本クラウドセキュリティアライアンス　業務執行理事
諸角　昌宏

10月27日に行われた第17回CSA勉強会では、日本データセキュリティ協会が公開しているデータセンターセキュリティガイドブックの2015年版について、水戸和氏に講演していただきました。「データセンターセキュリティガイドブック」は、データセンターの利用者と事業者に対して「データセンターの適切なセキュリティ」とは何かを考え、共有する為の共通の知見を提供しているドキュメントということで、CSAジャパンとしても注目している内容になります。

さて、CSAジャパンとしては、そもそもクラウドセキュリティとデータセンターセキュリティがどのような関係になるかというところから始める必要がある。このあたりについては、CSAジャパンのメンバーである山崎氏がIT Leadersの記事でCSAガイダンスの内容として説明している（http://it.impressbm.co.jp/articles/-/11446）。これによると、「クラウドコンピューティングを進化さえるためには、サービスプロバイダや管理者は、仮想化技術を使ってサーバー資産を管理するだけでなく、データセンターそのものを進化させる必要がある」ということである。データセンターにおける物理セキュリティをクラウドセキュリティの一部としてきちんととらえていく必要がある。

それでは、データセンターセキュリティガイドブックの話に戻る。
まずデータセンターの位置づけであるが、現在ではデータセンターを社会基盤(重要インフラ)としてとらえる必要がある。ITインフラの流れが、かつての電子計算機センターの集中型からクライアント-サーバーによる分散の時代を経て、インターネットデータセンター/クラウドによる再集中の時代になってきている。その流れの中で、多くの利用者がデータセンターを利用し社会基盤化してきている。そのため、データセンターのセキュリティの重要度は非常に高まってきているということができる。
データセキュリティガイドブックでは、日本のデータセンターが機密データを預けることができるだけのセキュリティを実現しているかという観点で、セキュリティのベースとなるガイドブックを作成するという目的で作られている。したがって、内容的には「基準」ではなくデータセンターの利用者と事業者が「考え方」の共有を行うことができることを目指している。
データセンターのセキュリティと管理策は第3章に書かれている。ここでは、データセンターが提供するサービスに対する脅威の分析と、その脅威に対する管理策の考え方を示し、最後に実際に「架空」のデータセンターを基にしてセキュリティ管理策がどのように実装されるかを紹介している。これにより、利用者がデータセンターに存在する一般的な脅威とそれに対する管理策を、事例を通して理解することができるようになっている。
第4章では、データセンターに関連する様々な基準やガイドライン、および、認証制度をまとめている。これらの概要や関係の概要を説明するとともに、分野ごとの基準やガイドラインについても説明している。データセンターセキュリティガイドブックでは、共有可能なセキュリティのベースラインを提供できるようにしていくとのことである。

なお、データセキュリティガイドブックは、http://www.jdcc.or.jp/pdf/DC_Security_Guidebook_2015.pdf　からダウンロードできる。

CSAのCCMでは、データセンターの運用において、物理セキュリティに対する項目を提供しており、また、様々な標準や法令とのマッピングを行っている。今後、データセキュリティガイドブックともうまく協調できる方法を考えていきたい。

CSA Summit @サンフランシスコ　の報告（第12回CSA勉強会）

コメントをどうぞ

2015年5月28日
日本クラウドセキュリティアライアンス　理事
諸角　昌宏

5月26日に行われた第12回CSA勉強会について書きます。テーマは、「CSA Summit報告会」ということで、4月にサンフランシスコで行われたCSA Summitの内容を笹原英司氏に説明していただいた。Summit Japanが開かれたのが5月で、時系列的に逆になってしまったが、大変興味深い内容であった。

まず、大きなトピックとして、以下の3つであった。

SDP（Software Defined Perimeter)
STAR Watch
ワーキンググループの報告
SDPは、Summit中に3回目のハッカソンが行われ、安全な環境を提供するアーキテクチャとして、着実に進んでいるようである。STAR Watchは、STARのSaaS版であり、ベータ版の公開を開始している。また、CSAの活動の中心であるワーキンググループについては、各グループから詳細な報告があった。

さて、CSAの活動の特徴として今回目立ったのは、米国とEUの協調の橋渡しとしてCSAが寄与してきているということであった。つまり、グローバルな標準化に向けて、CSAが大きな役割を担ってきているということである。典型的なのは、スノーデン事件の影響で、米国とEUの関係がぎくしゃくしている状態で、その間を取り持つ形でCSAが機能しているということである。CSAヨーロッパがEUと米国の合意形成に寄与することで、国に対する影響力も強めているということである。また、中国では、中国政府の認証機関CEPREIと共同でSTAR認証の中国版を作成している。これは、6月中には発表される予定で、米国、EU、中国という主要市場でSTAR認証の制度が確立することになる。

また、クラウドセキュリティの世界では、今まではGoogle, AWS等のビッグプレーヤーがセキュリティの標準というものを作っていたが、最近の傾向としては、プラットフォーム上で新しいセキュリティを作っていく新しい企業やベンチャー企業が進出してきているということである。いわゆる、クラウドブローカの流れで、新興企業による新しい産業の創出（Open-Innovation）が起こっているということである。日本でも、FinTechを中心に新しい企業を支援する動きがあり、これが新たな潮流になってきているとのことである。笹原氏によると、ITの定義自体が、Information TechnologyからInnovation Technologyに代わってきているというなかなか面白い表現で、これはもしかするとヒットする用語になるかもしれないと思われた。また、笹原氏はセキュリティに対する今後の日本のかかわり方として、以下の2つのアプローチがあることを強調されていた。

安全を担保するための情報共有を積極的に行っていくこと
Innovationを起こして、産業を創出していくこと

その他、各ワーキンググループからの報告で特に印象に残ったのは以下の点である。

STAR WG
先ほども触れたSTARWatchがアナウンスされた。STAR認証をSaaS型で実現するもので、EXCELを埋めていく従来のやり方から一歩進んだ形になっている。日本側でも、この運用をどうするかを早急に検討する必要がある。ベータ版が公開されていることから、検討を開始したい。
また、STARへの新たなマッピングとして、FedRAMP、27018、NIST Cyber Security Frameworkが追加されることになっている。
IoT WG
モバイルワーキンググループから独立して、活動を開始していて、CSAジャパンの活動もグローバルから評価されている。新しいドキュメントとして、”New Security Guidance for Early Adopter of the IoT”がリリースされている。IoT WGの最終的なターゲットは、企業向けIoTのセキュリティであり、特にプライバシーの保護をどのように進めるかが今後の研究テーマとなっているようである。
CISC（Cyber Incident Sharing Center）
これは、以前CloudCERTと呼ばれていたものある。ホワイトハウスが進めている情報共有の動きに合わせて活動を行っている。CSAの役割としては、民間、政府などと違ってニュートラルなポジションにいることを生かして、情報を集めるときに発生する利害関係をCSAが間に入ることで円滑に進めていくということである。
CISCは、日本企業、特に米国の日系企業にはインパクトが大きく、米国の情報をどのように本国で対応していくかなど、法的な問題も含めて見ていく必要がある。

以上、CSA Summitの報告を簡単にまとめてみた。グローバルという観点で見た場合のCSAの重要度が感じられる内容で、CSAジャパンとしてもさらに活動を活発化していく必要があることを強く感じた。

第11回CSA勉強会「NIST draft SP800-125a　Security Recommendations for Hypervisor Deploymentの解読」

コメントをどうぞ

2015年5月1日
日本クラウドセキュリティアライアンス　理事
諸角　昌宏

4月28日に行われたCSA勉強会「NIST draft SP800-125a　Security Recommendations for Hypervisor Deploymentの解読」に参加しました。講師は、株式会社東芝　インダストリアルＩＣＴソリューション社の外山春彦氏です。

そもそもハイパーバイザの脅威とは何かということですが、ハイパーバイザに入れればなんでもできてしまうということとハードウエアリソースの共有による可用性の問題の2点があげられます。CAIの観点からいうと、VMの操作・情報漏えいに関わるCIとVMの可用性を妨害するAということになります。NIST SP800-125aでは、ハイパーバイザのセキュリティに関するベストプラクティスを集めた形でまとめられています。NIST SP800-125aは、2011年に出された125に次いで出される形になっていて、125では仮想化全体についてのハイレベルな記載になっていたのに対して、125aではハイパーバイザを体系的に捉えることと運用に焦点を当てたセキュリティの推奨事項を22項目にわたってまとめています。特に、以下の3つの観点でまとめられています。

ハイパーバイザのアーキテクチャおよびその選択
ハイパーバイザのベースラインに対する脅威
セキュアブートをサポートしたアーキテクチャを前提

アーキテクチャの選択基準としては、ブートインテグリティ保証があることやCPUの仮想化機能を持っていることを前提としているなど、たぶんにIntelアーキテクチャ、特に最新のものを前提としているようです。これにより、仮想化機能の実現手段として、ハードウエアからの支援とソフトウエアの両面から行っていくことが推奨されます。ベースラインに対する脅威としては、境界面からの脅威があげられています。脅威源として、リソース、ゲストに加えて管理コンソールへの攻撃を注意する必要があります。ハイパーバイザ固有の攻撃としては、悪意のあるVM,通信のなりすまし、リソースの食いつぶし、特権インターフェースの利用の4点があげられます。したがって、ベースライン機能に対するセキュリティ推奨としては、実行のアイソレーション、デバイスエミュレーションとアクセス制御、VMの管理、アドミン管理が必要とのことでした。

最後にまとめとして挙げられたセキュリティの推奨事項として以下の3点がありました。

ハイパーバイザプラットホーム選択
ホスト上の複数VM(設定・状態）を管理する必要性
ハイパーバイザホスト＆ソフトの管理者設定

ハイパーバイザのリスクは、ENISAの「クラウドコンピューティング情報セキュリティに関わる利点、リスクおよび推奨事項」の中の「V5.ハイパーバイザの脆弱性」でまとめて記述されているような固有の脆弱性を持っています。また、CSAのガイダンスにおいては、ハイパーバイザのセキュリティ対策として、第13章「仮想化」で詳しく触れています。また、ハイパーバイザのセキュリティは、ハードウエアやソフトウエアの支援の下に実現していくことが大切であると感じました。Intelアーキテクチャのハードウエア支援や、VMWareのvShield機能などを利用して対策を取っていきたいと思います。SP800-125aは、まだドラフトですが、今後のハイパーバイザ/仮想化の基準として抑えていく必要がありそうです。

なお、本勉強会の詳細については、改めて公開される勉強会資料を参照してください。

以上