ガイダンスWGリーダー 諸角昌宏
クラウドセキュリティに関わっていて、使用している環境は信頼できるのかという疑問にぶつかる。自分のPCなら目の前にある機械そのものを信頼すればよいと言えるが、クラウドでは物理的に見えない・触れない環境で動いているため、何を信頼の根拠にするかが難しい。そこで、この信頼の起点になるRoot of Trustをクラウドに限らず全般的に整理してみようというのがここでの目的である。
Root of Trustという概念は、TPMやHSMといったハードウェア単体の話にとどまらず、クラウドの仮想化基盤、FIPS 140-3やCommon Criteriaといった第三者評価制度、ISMAPやCSA CCMなどのガバナンス基準、OktaやパスキーのようなIDプロバイダ、さらにはJPKI・FPOSのような公的アイデンティティ基盤まで、幅広い層にまたがって登場する。ここでは、これらを個別バラバラに理解するのではなく、「信頼の起点」という一本の軸で串刺しに整理することを目的としている。
TPM/HSM等のセキュリティチップと、クラウド側のRoot of Trust実装の違いを整理したい方、ISMAPやCSA CCMなど、クラウドガバナンス制度がRoot of Trustをどう扱っているか把握したい方、JPKIのようなデジタルアイデンティティ基盤と、企業向けIdPとの役割分担を理解したい方には一読していただきたい。
ご質問・ご指摘があればこちらのブログに返信してください。
