カテゴリー別アーカイブ: 未分類

「医療情報セキュリティセミナーin八王子」 レポート

2015年2月19日
日本クラウドセキュリティアライアンス事務局長
勝見 勉

医療情報セキュリティセミナーin八王子に行ってきました

CSAジャパンの代表理事である笹原英司さんは、ITセキュリティの専門家ですが、「医薬学博士」の学位を持っているというスゴイ人です。そしてまたその活躍の場も、古くは労働省とか、世界的リサーチファームとか、そして今は在日米国商工会議所のヘルスケアIT小委員会委員長であったりして、とにかく広い!! 更にはNPOヘルスケアクラウド研究会の理事でもあります。そしてわがCSAジャパンでは代表理事を引き受けるとともに、「健康医療情報管理」「ビッグデータ」「モバイルユーザ」の3つものワーキンググループのリーダーも引き受けてもらっています。

そんな笹原さんのリーチの広さを改めて知ったのが八王子におけるセミナーでした。会場は「コワーキングスペース8Beat八王子」という、起業家や市民活動の人や同好グループに活動の場を格安で提供している、コミュニティハウスみたいな場所で。集まった人たちも、IT周りでコミュニティ活動をしているCode for Hachiojiとかそういった仲間。濃くてアットホームな雰囲気の中で、笹原さんの2時間の熱演がありました。

講演タイトルは「健康医療分野の海外サイバーセキュリティ最新動向」。内容は「健康医療分野のサイバー攻撃に起因する海外の情報漏えい事例」「健康医療のセキュリティ/プライバシー規制とサイバーセキュリティの動向」「健康医療へのシビックテクノロジー適用とセキュリティ/プライバシーのリスク」と、とても濃いんです。

まず、アメリカでの、サイバー攻撃による医療情報流出の事例ですが、今月になって発覚したAnthemの8000万件の漏えい事件は衝撃的です。笹原さんもまずはこれを取り上げました。盗まれた情報には、名前、誕生日、医療ID、社会保障番号、住所、メールアドレス、雇用情報、収入データが含まれるとのこと。社会保障番号は実質個人番号ですから、それと名前、住所、生年月日が分れば、完璧になりすましされてしまいますね。この他にも数百万件に上る医療情報漏えいが、サイバー攻撃や盗難によって起きているようです。

また、年末世界的に注目を集めたソニー・ピクチャーズの情報漏えい事件では、セレブの情報などが関心を呼びましたが、従業員の保健情報も盗まれていて、被害に遭った従業員からの集団訴訟も起きているとか。またアメリカの集団訴訟は、賠償が決まれば全被害者が対象になるので、1件は少額でも莫大な金額になりやすいのだとか。この辺はさすがに、専門的で詳しいな、と脱帽でした。

健康医療のセキュリティ/プライバシー規制の話では、米国のHIPAAとHITECHを説明してくれました。HIPAAは1996年に成立していて、サイバーリスクが注目されるより前から、情報保護への対応は進められている、と指摘してくれました。連邦プライバシー法制がないなど、取り組み姿勢が強いとは思われていないアメリカが、割と早くから手を打っているのは意外で、さすがよく見ておられると、またまた感心させられました。

さて、こう書いていくと、何せ2時間の熱演なのでとても紙数が足りません。幸い、資料をCSAのwebで公開して下さったので、後は皆さん、直接資料から学んで下さい。そしてもっと知りたければ、「健康医療情報管理」ワーキンググループに参加されてはいかがでしょうか。
http://www.cloudsecurityalliance.jp/healthcare_wg.html

SLA-Readyがヨーロッパで発足

クラウドのSLAをガイドするSLA-Readyがヨーロッパで発足

2015年2月13日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

クラウドサービスの利用する場合、通常、SLA(Service Level Agreement)に基づく契約を行うことになります。CSAのガイダンスでは、「SLAが利用者に提示された時、サービスとプロバイダに対するサービスレベル、セキュリティ、ガバナンス、コンプライアンスおよび法的責任に対して期待される点が、契約上規定され、管理され、強制される」というように記述されています。したがって、利用者は、クラウドサービスを利用する前にプロバイダが提示するSLAを詳細に確認および理解し、クラウドサービスの利用上問題がないことを確認する必要があります。また、必要に応じてプロバイダと交渉しSLAの変更を行うことも必要になります。しかしながら、SLAを理解することは非常に難しいというのが現状です。特に、中小企業(SME)にとっては、クラウドサービスに対する専門家や知識の不足などから、SLAを理解することが難しい状況です。また、SLAの複雑で誤解を招く記述や、ワンクリックで合意しなければならないことが、中小企業のクラウドサービスの採用の足かせとなっています。

SLA-Readyは、SLAの共通の理解を働きかけ、SLAの標準化や透明性の確保を行っていくために設立されました。これにより、どのようなサービスを利用するかという企業の意思決定や信頼性についての情報を提供していくようです。

SLA-Readyは、ヨーロッパのクラウドマーケットの信頼性を構築することに貢献していくことになるようです。今後の動向に注力していきたいと思います。なお、CSAも、このコンソーシアムのメンバーですので、今後CSAがどのように関わっていくかも見ていきたいと思います。

SLA-Readyの情報は、http://www.sla-ready.eu/ で提供されていますので、今後の動向も含めて参照してください。

 

CSA勉強会の活用方法(第7回勉強会に参加して)

日本ヒューレット・パッカード株式会社
吉田 豊満

第7回CSA勉強会に参加してきました。第1回、第6回については都合が合わず参加できませんでしたが、これまでの出席回数としては良く参加できている(ハナマルです)と自負しています。参加することに意義があるかどうか分かりませんが、参加のたびに新しい発見や、今までにお会いすることのなかったような方々と、面会し会話できることはこれまた新たな意見や考えに触れることができ非常に有意義と思っています。

第7回の勉強会はテーマとしてはビックデータでした。ビックデータのセキュリティってデータベースのセキュリティじゃないのと思ってしまうのですが、それ以外にもビックデータを使用したセキュリティ分析があり、またまたビックデータの解析によって得た結果活用によってプライバシー侵害だとされてしまうという事は新たな発見でした。ビックデータについてはCSAーJC内のワーキンググループがあり、笹原さんが中心になって進められています。資料等は下記サイトを開いていただくと、参照できますので是非読んで頂ければと思います。
http://www.cloudsecurityalliance.jp/bigdata_wg.html
ビックデータの解析結果活用が脅威になってしまうという話ですが、ビックデータの解析精度が上がることによっていくらでもこんなことが発生してしまうのではと思いました。購買履歴を元にある人がこれからどんなものを購入するかといった予測をたてるのがビックデータ分析と思います。そして、この予測データを元に推奨商品を提案するというのがよくあるマーケティング活動だと思います。しかし、場合によっては、「こんなものを買うはずも無いのに勧められるのは迷惑である」といった文句を言う人も居ます。勧めるには勧めるだけの理由があるが本人は気づかないということもあります(ビックデータは知っているが、本人は知らない、憶えていないということでしょうか...)。例としてお話があったのは、娘が妊娠していることをしらなかった親が、娘宛に妊婦向けの商品案内をやたらと送ってくる、これは、娘を侮辱していないかと感じ取った事件です。しかし、実際には娘は妊娠していて、嘘ではなかったというのがオチのようです。迷惑と感じたときの受け取り方にもよるのですが、重大な問題を引き起こしてしまう可能性もあり、人によってはプライバシーを侵していると訴える人がでてもおかしくありません。

お勉強の話はこれぐらいにして、CSAの勉強会は1時間30分ぐらいで終了して、その後、勉強会にこられた方々で懇親会を行っています。缶ビールと乾き物で熱く語るというのがCSA勉強会後の懇親会スタイルです。普段私はIT系の方々との接点しかないのですが、この懇親会の場では弁護士の先生であるとか、元警視庁OBの方であるとか、今までお会いしたことの無い方々と面会してお話させていただく機会となっています。また、私のような常連メンバーも何名か居てセキュリティについて語るも良し、商売の話をしても良し、お遊びの話をしても良しで、楽しい仲間が増えていっているということを実感しています。

ぜひ皆さんもCSA勉強会を通じて新たな発見、新たな仲間を作っていっていただきたいと思います。次回の第8回勉強会のテーマは「金融向けクラウドの最新動向」とのことで、FISCベースのお話が聞けるようです。非常に興味あるテーマです。CSA勉強会には誰でも参加できますので奮って参加いただければと思います。
http://www.cloudsecurityalliance.jp/study.html

2015年 年頭のあいさつ (最終回)

2015年年頭のご挨拶の第五回(最終回)になります。最終回は、CSAジャパン代表理事の二木さんより投稿いただきました。


年頭ブログ(最終回)
CSAジャパン 代表理事 二木真明

CSA代表 Jim Reavis来日歓迎の飲み会から始まったCSA JCが、よりその活動の幅を広げるために一般社団法人となってから、早くも一年が経過しました。その間、多くの法人、個人会員にご参加いただき、活動をご支援いただいたことを、あらためて深く御礼申し上げる次第です。

さて、クラウドからのサービス提供やその利用は世界的に定着し、その利点や課題についても、より具体的な議論が可能になってきました。CSAが提供しているSTAR認証も、こうした状況を踏まえ、事業者のセキュリティの透明性を高め、より多くの、また高度なクラウド利用を推進する一助となるにちがいありません。そのような状況の中、我々日本サイドが、グローバルに存在感を高めていくことが重要になってきます。今のところ、残念ながらグローバルが矢継ぎ早にリリースしてくるアウトプットを翻訳、咀嚼することで手一杯の状況があります。ここから一歩踏み出して、新しいテーマや日本が優位性を発揮できる分野で、グローバルのアウトプット策定の過程から、深くかかわっていくことができれば、ほぼ同時のリリースが可能になるのと同時に、我々の考えもそこに組み込むことができます。こうしていくことが我が国におけるクラウド利用推進のために不可欠だろうと考える次第です。

そのためには、会員の皆様のご協力が不可欠です。現在、複数のワーキンググループがこうした活動を進めていますが、人的なリソースがきわめて限られています。こうした活動に積極的にご参加いただき、世界への発信にご協力いただければ幸いです。

さて、私自身は昨年より、IoT(Internet of Things)をひとつのテーマとして活動しています。IoTといえば、どうしてもデバイス側に目が行きがちですが、現実にはこれらのデバイスの多くが、メーカーによる管理サービスに統合されており、こうしたサービスは、現在ではクラウドから提供することが一般的です。IoTのセキュリティを考える際に、個々のデバイスの安全性もさることながら、それらを統合するクラウド側の安全性は、非常に多数のデバイス全体に影響するという意味で、非常に重要です。攻撃を企てる側にとっても効率がよいために、非常に高度な攻撃を仕掛けてくる可能性が高いと考えています。こうしたサービスのセキュリティをどう考えればいいのかを提示することも、我々の仕事だろうと思っている次第です。現在、IoTクラウドサービスWGを立ち上げて活動を開始していますが、メンバーも少なく、なかなか思うように作業が進まない状況があります。こちらも、是非、多くの皆様にご参加いただき、検討を加速できればと考えていますので、よろしくお願いいたします。

ようやく法人としての体をなしはじめたところのJCですが、今年は、これを基盤として、クラウドセキュリティを高める活動を加速していかなければいけません。このためには、様々な面で皆様のご支援が不可欠です。ぜひとも、我々の活動をご理解いただき、積極的に参加していただければと存じます。

 

2015年 年頭のあいさつ (第四回)

2015年年頭のご挨拶、第四回は、CSAジャパン副会長兼代表理事の笹原さんより投稿いただきました。


年頭ブログ(第四回)
CSAジャパン 副会長兼代表理事 笹原英司

私は、2009年夏、「Security Guidance for Critical Areas of Focus in Cloud Computing Version 2」の「Domain 3: Legal and Electronic Discovery」パートの策定・レビュー作業より、クラウドセキュリティアライアンス(CSA)の活動にボランティアとして参加しました。CSA本部とやりとりをしているうちに、たまたま共同創設者であるJim Reavis氏が来日することを知り、同年12月、虎の門の居酒屋でJim氏を囲む会をやったのが、CSAジャパンとしての活動の発端です。その後2010年6月に任意団体としてクラウドセキュリティアライアンス日本支部が発足し、2013年12月に一般社団法人日本クラウドセキュリティアライアンスへと発展してきましたが、法人化後、気が付いたら1年過ぎていたというのが実感です。

「Cloud Security」にまつわる新たな課題解決のために、リアルの場やソーシャルネットワークを介して様々な人材が集まる「Crowd Sourcing」で知恵を絞っていくのがCSAの強みであり、面白さでもあります。今後は、クラウドユーザーとクラウドベンダー/サービスプロバイダーの壁を取り払うと共に、日本のソリューションと海外のソリューションを繋ぐお手伝いをしながら、2年目、3年目へと進んでいけたらと思っています。

モバイルユーザーワーキンググル―プは、CSAグローバルのモバイルワーキンググループの一員として、エンタープラインズセキュリティの観点から、CCM 3.xで追加されたモバイルに関わるリスク評価項目の具体的な内容を明確化する作業に関わっています。2014年より新たに活動を開始したIoTイニシアティブでは、企業のモバイルデバイスの管理対象をスマートフォン、タブレットからセンサー機器に拡張して、モバイルデバイス管理(MDM)、BYODなどの方向性を検討しています。CSAグローバルでは月1回定例テレカンファレンスを開催していますので、気軽にご参加下さい。

ビッグデータユーザーワーキンググループは、CSAグローバルのビッグデータワーキンググループが取りまとめたドキュメント類の日本語翻訳作業を行ってきました。ビッグデータセキュリティの技術的対策では、Hadoop、NoSQLのセキュリティ、通信レイヤやデータベースレイヤの暗号化、デバイスからクラウドデータセンターに至るまでのログ管理、組織的対策では、ISO 27001:2013のICTサプライチェーンを念頭に置いた契約/QoS管理やプライバシー/個人データ保護など、CSAが培ってきたクラウドセキュリティの国際標準にプラスαが求められます。このような動きを、企業の経営層やIT部門以外のクラウドユーザーに伝えることに注力していきたいと思います。

健康医療情報管理(HIM)ユーザーワーキンググループは、米国FDAのモバイル医療アプリケーションガイドラインや医療機器サイバーセキュリティガイドラインの施行、厚生労働省の医薬品・医療機器法施行に伴う医療ソフトウェアの新設など、規制当局の法規制新設・改廃に関わる情報の伝達・共有に注力してきました。2015年は、健康医療分野において、シビックテックやオープンソースソフトウェアを活用した地域住民参加型オープンデータ/ビッグデータ推進策が拡大する中で要求されるクラウド/モバイル/サイバーセキュリティ対策の啓発活動に注力していきたいと思います。

各ユーザーワーキンググループとも、アプリケーション開発者、デジタルマーケティング管理者など、日頃情報セキュリティに馴染みのないクラウドユーザーが気軽に参加できる環境の整備に向けて頑張ります。

今後ともご指導ご鞭撻のほど宜しくお願いします。

2015年 年頭のあいさつ (第三回)

2015年年頭のご挨拶、第三回は、CSAジャパン副会長の大和さんより投稿いただきました。


年頭ブログ(第三回)
CSAジャパン 副会長 大和敏彦

皆様、明けましておめでとうございます。

CSAジャパンも1周年を迎えることができましたが、これも事務局長、理事の方々、参加されている方々の精力的な努力によるものだと思います。昨年5月の CSA Japan Summit、11月のCSA Congress開催も成功裏に終わり、認知度も上がり、Working Groupでの活動も積極化しています。本年も活発な活動、それを通じた社会への貢献を期待いたします。

元旦の新聞でも大きく取り上げられていたように、ロボットやビッグデータの活用が広がり、IoTと呼ばれるようにネットワークで繋がる時代が訪れています。IoTでは機器やデバイスがネットワークを通じてクラウドに繋り、機器自身や機器に搭載されたセンサーの情報がネットワークを通じてクラウドに蓄積され、解析が行われ、その結果が再び機器にフィードバックされる複数の機器やシステムから構成されるモデルとなります。扱われる情報もヘルスケアでは、医療情報を始めとする個人情報が扱われたり、重要施設に設置された機器の情報が扱われたりするため、機密度の高い情報がより広い範囲で扱われるようになります。セキュリティの脅威も、サイバー攻撃では、ソニー・ピクチャーズエンタテイメントの例は特殊かもしれませんが、特定の相手をターゲットにした標的型攻撃のような悪質な攻撃が増えていることは事実です。ロボットや自動運転では、情報を扱った犯罪だけでなく、物理的な犯罪や破壊行為につながる可能性があります。いかに便利で効果のあるソリューションであっても、安全で安心して使えなければ、使われません。テクノロジーの進化の状況、それに伴うセキュリティリスクを理解したうえでソリューションの展開を図っていかなければいけません。

CSAジャパンは、1年ですが、CSA自身は2008年から活動を開始しており、グローバルに存在感を持つ組織です。これらを積極的に活用し、クラウド、ビッグデータ、IoTの時代に安心・安全を迎えられるように一層積極的な活動を行うことが期待されています。

 

2015年 年頭のあいさつ (第二回)

2015年年頭のご挨拶、第二回は、CSAジャパン副会長の長谷川さんより投稿いただきました。


年頭ブログ(第二回)
CSAジャパン 副会長 長谷川 礼司

******CSAジャパン、新たな年に向けて******

CSAジャパンが設立し、昨年末で無事1年が経過しました。
事務局長の勝見さんとのお付き合いで副会長という立場で参画させていただきながら殆ど活動らしい活動もできず一年間が過ぎてしまいました。
私自身はセキュリティという領域での技術的なバックグランドがないため、皆さんの運営委員会活動に参加できず、もっぱら懇親会の員数確保という形での参加でありました。私自身の貢献はできませんでしたが、運営委員の方々の活動は素晴らしく日本でのポジション確保とCSAジャパンの露出アップは十分できたのではないでしょうか。

世の中は益々インターネット社会になり、情報の流れは殆どWEBの世界になりつつあります。しかし、その利便性の裏には大きな脅威が存在しています。先ごろの北朝鮮によるソニーピクチャーズへのサイバー攻撃、日本でのマイナンバー登録制度等々、今後益々セキュリティの重要性が増すばかりであると思っています。

利便性と安全性とそれにかかるコストとのバランスが重要と思っています。
CSAジャパンの皆さんのますますのご活躍を祈念しております。

2015年 年頭のあいさつ (第一回)

明けましておめでとうございます。
本年も、CSAジャパンをよろしくお願いいたします。

2015年の年頭に当たり、CSAジャパンの幹部による年頭のご挨拶を掲載いたします。5回シリーズを予定しています。
第一回は、CSAジャパンの事務局長の勝見さんより投稿いただきました。CSAジャパンの経済学から新たな年に向けての決意表明となっておりますので、みなさまご覧ください。


年頭ブログ (第一回)
事務局長 勝見 勉

皆様、あけましておめでとうございます。ご家族ともども、よいお正月をお迎えのこととお喜び申し上げます。今年1年が、皆様にとってよい年でありますよう、お祈り申し上げます。

さて、お陰さまで一般社団法人日本クラウドセキュリティアライアンス(CSAジャパン)も、昨年12月に設立1周年を迎えることができました。設立に際しては多くの方のご参集をいただき、またその後も順調に会員数を伸ばすことができました。ひとえに皆様のご支援の賜物と感謝しています。
という調子で書いていると、1周年記念ブログのようになってしまい、また、CSAジャパンの目的は、ビジョンは、任務は、課題は、と固い話になりそうです。未だ皆様お屠蘇気分の抜けない頭で読んでいただいているものと想定して、ここは少し柔らかい話題にしたいと思います。つまり、飲み食いの話です。

CSA勉強会は、昨年6月にスタートして、11月まで6回、月次開催をキープして来ました(12月は単純にカレンダーとの折り合いが悪いため見送りましたが)。売り物の一つと自負しているのが、毎回後半の懇親会です。1人1000円(会員外は2000円)、という、ほぼ昼食代並みのコストで、1時間半飲み食いしていただけるセッティングにしています。これ、基本的に毎回収支トントンで運営しています。
一方で、12月に初の試みとして実施した、1周年記念会員交流会。こちらの懇親会費用としては、3850円という「多額」をご負担いただきました。これも、ケータリング会社に払った1人当りのコストそのままでご負担をいただきました。
どちらも立食で、時間も1.5~2時間で、飲み物と食べ物が出て、どちらも量が足らないということはなくて、会場は会議室の転用で、と見てみるとさほどの違いはありません。料理は少し差があったと思います。後者は生ビールもピッチャーで来ましたし、専任の係の方のフルサービス付きでした。それでこれだけの価格差、というのは、どうなんでしょうか。ちなみにケータリング方式、すなわちパーティ出前サービスの場合は、サプライヤーは何社かありますが、どこも似たような価格設定のようです。なお、1周年記念会員交流会では、この他に会場費が、会議時間も含めて16000円ほどかかっています。

この内容・サービスの差と価格の差のバランス、皆様はどう思われるでしょうか。更に比較するなら、最近はレストランでの宴会も、最安は飲み放題つきで3000円ぐらいからあり、4000円なら温かい料理と飲み放題で、当然フルサービス付き、とう世の中ですよね。デフレのおかげというべきか、企業努力の賜物というべきか。。。結論としては、プロのサービスを利用する範囲において、こちらで会場を用意して「パーティの出前」を頼むよりは、レストランや居酒屋さんの、それなりの雰囲気の中でやる方が、実は安い、ということになりそうです。

無論、勉強会でやっている、おつまみの出前と乾きモノと缶ビール、すべて手作り感、すなわちセルフサービス、ベースなら、間違いなく安く上げられます。だいたい4分の1のコストで賄える訳です。それが、料理と飲み物のグレードがほんのわずか上がり(勉強会でとっている出前のおつまみは、出張パーティケータリングと、基本的に同じ業者から来ます)、サービスが加味されるだけで、4倍の費用がかかるという現実。

皆様は、当たり前、という感じでしょうか。つまりケータリングならそれぐらいかかるよ、と。それとも、4倍はいくら何でも高いよ、という感じに近いでしょうか。いずれにせよ現実は、ちょっと飲み会をやろうと思うと、自前手作り方式がかなり「コスパ」の高いところに位置して、かなり離れてレストラン/居酒屋での宴会、その少し上にケータリング方式、そして多分それからまた少し上にホテルでの宴会、という地図になりそうです。

そのように眺めると、やはり一番コストがかさむのが、人のサービスを買う部分、という構造が見えて来るような気がします。昔は「人海戦術」という言葉がありました。機械を使うより、サービスを買うより、とにかく安い(あるいはタダの)人手でこなしてしまえ、という感覚でした。が、今や人が何かをすると高くつく世界になってしまいました。

とまぁ、新年早々みみっちい話を書いてしまいましたが、食べつつ飲みつつ歓談することが交流・懇親の最良の手段であることは異論の余地がないでしょう。ので、CSAジャパンとしては、毎月の懇親会つき勉強会は可能な限り展開していきたいと思っていますし、1000円(非会員は2000円)の、格安会費も維持したいと思っています。そして時々はプロのサービスも買う懇親会(基本的には勉強会以外の場で)も織り交ぜて行きたいと。

ということで、CSAジャパンの付加価値の中身は、ワーキンググループを始めとする調査研究活動によって築いていただくとして、事務局としては「懇親の場の提供」に引き続き取り組んでいきたいと思っています、皆さま多数の、毎度のご参加をお待ちしています。

…と言いつつ、飲んでダべるのがひたすら好きな私の、「今年も飲み会やるぞ」宣言にすぎなかったようです。皆様、今年も飲みましょう!!!

 

法人化1周年にあたって

一般社団法人 日本クラウドセキュリティアライアンス(CSAジャパン)が2013年12月3日に発足して1年がたちました。この1年の活動を振り返り、CSAジャパン会長の吉田 眞先生からメッセージをいただきました。CSAジャパンの今後の方向性の提言、また、現在の社会全体に向けての提言として、非常に深い内容となっています。ぜひ、ご一読ください。


吉田 眞  東京大学名誉教授
CSA-JC会長
TM Forum Distinguished Fellow, Ambassador

 早いもので、CSA-JCの法人化から1年が経過した。事務局長の勝見さん始め関係者の方々の多大なご努力によって、組織らしい活動になってきた。まず、主体的に活動していただいている会員企業、理事会、運営委員会、個人の会員の皆様に改めて感謝申し上げたい。

1年を振り返って本団体の状況について、正直に感想を言わせてもらえば「まだまだ立ち上げレベルにあって足腰が強くなったとは言えず、活動・組織の拡大を云々する以前の問題に取り組まねばならない」ということになる。特に現状の活動は、特定の方々の個人的なご献身・ご努力に依存していると感じる。これはちょっと残念なことではあるが、逆に考えれば「CSA-JCには、これから広がる将来がある」とも言える。

■ CSAは”シロートっぽい”

1年前に「会長」を打診されたとき、少々警戒した。自分自身はクラウドにもセキュリティにも十分馴染みがあったが、この2つが連結した名前の団体については、正直全く知識が無かったからである。さらに、CSA本部の組織活動のやり方が、小生がこれまで関わってきた“海千・山千”が集まる諸団体、あるいは(活動内容ではなく)組織運営・管理についてプロ意識(“プロ”ではないことに注意)の高い諸団体とは“珍しく”異なっていて(米国なのに)実に“素人っぽい”、良く言えば善意だけで動いている、ちょっと危ういという印象を受けた。このことも「安易に直接関係しない方が良いのでは」と感じた理由であった。「これまでよく変な輩に掻き回されず、外部からの危険な働きかけも無かったものだ(外部に見えないだけで実際にはあったのかも知れないが)」と、感心(?)したが、CSA本体の組織活動の”素人っぽさ”は、今でも気になっている。

それでもボランティア会長をお引き受けしたのは、JNSAの設立当時から理事会での同僚で旧知だった勝見理事・事務局長の人柄と説得(?)によるものである。失礼ながら「JNSA関係者も多いようだし(小生自身、現在JNSA顧問だし)、何より勝見さんがやるのなら変なことにはならないだろう」と考えたからである。

なお、念のためにお断りしておくが、上記で「プロ」と言った意味は「組織運営をプロ化すべき」ということではない。申し上げたいことは、あくまでも、
・活動は、個人個人の情熱によるボランティア精神がその基盤であり、
・会員企業・団体が、組織として主体的、積極的に支援し、推進する、
・一方で、法的な団体としてのCSA(-JP)の組織運営・管理は、社会に対する責任を負って履行するために、幹部(理事会、運営委員会、WG責任者)と事務局が“プロ意識”で遂行する、
・これら全てを以って、現在から将来への社会に創造的価値を提供する、
ということである。

■ 今後の取り組みに向けて

この機会を利用して、以下に改めていくつかの課題を挙げさせていただきたい。業界では共通認識となっていることや、これまで折に触れて申し上げてきたことも多いが、今後のCSA-JCの取り組みを議論する際にご参考にしていただければ幸いである。

■■ 基本的な問題 - セキュリティは余計なコスト

周知のごとく基本的で最も大きな問題は、セキュリティ自身の性格にある。即ち、セキュリティに対する「本来あるべきではない余計なコスト」という抜きがたい認識である。これは、企業、個人に共通な“岩盤意識”なので始末に悪い。

小生は永年(ネットのみならずビジネスの全要素の)運用・管理(Operation & Management; O&M)の問題に関与してきたが、この世界も伝統的にセキュリティの場合と全く同じ考え方であった。即ち、企業の経営陣はO&M関連業務をコストと考え、現場は「トラブルの後始末をさせられる」という意識で士気が上がらないという状況にあった。ついでに言えば、日本ではO&M技術者のスキルが高いことが余計問題の本質を隠してきたが、この状況は現在でも存在すると感じる。

この問題の解決に取り組んだのが、O&Mの共通規程・枠組みの確立を狙いに1988年にNM Forumとして設立され、以来そのスコープを“伝統的なO&M”から新しい世界へと、常に先見性を以って拡大しながら発展してきたTM Forum(TMF)というコンソーシアムである。即ち、時代とともに、全世界の関係者、サービス・ビジネス事業者、システム・装置ベンダ、インテグレータ、利用者を巻き込んで、コスト(マイナス)自体の低減だけでなく、O&M関連業務・機能のビジネス化による増収や人材育成、品質向上、価値創造(プラス)のための総合施策を、時代を先取りしながら展開してきた。その活動は、利用者(アドバイザリボード)、トップ経営陣、中間管理層、現場業務従事者、技術開発部隊の全ての段階で実施され、業界の意識改革を推進した。この結果「O&M業務・機能・システムはコストではなく、ビジネスの核である」という意識が関係者(stake holders)のトップから現場まで共有されるようになっている。ただし、日本では独特の企業文化もあって、残念ながら真の理解、及び世界との協働意識は依然として低いと感じる。これは、後に触れる日本企業の特質の表れの一つである。

上述のTMFの例には、CSAでも参考にできる部分がある。しかしながら、セキュリティの領域は犯罪要因や倫理、リスクと直接関連するので“他人の迷惑を商売にするのは道徳的に良く無い”という否定的なイメージが強い。特に日本では“士農工商の階層化”を引きずって“お金儲けは賤しい”という意識も根強い。これには、“それを超える社会的に大きな益がある”ことを示して、抵抗感を和らげていくことが考えられる。さらに、“自分は大丈夫、うちの会社には起こらないだろう、起きるかどうか判らないことにはもったいないからコストは掛けない”という意識も社会全体の“空気”のようになっており、ビジネスへの大きな壁である。

さらには、「都合の悪いことは見ないことにする、表立って議論してはいけない、曖昧のままにしておくのが良い、起きて欲しくないことは“起きないことにする(少なくとも自分が生きている間は)”、過去に起きたことは忘れることによって“無かったこと”にする」といった深層心理がある。このため、深刻な災害・事故・問題が発生する度に一時的に意識が上がって、対応する規則・基準等が整備されるが、肝心の実践段階では「知っていたので準備(だけ?)はしていました」と言い訳をするための“アリバイ”作りの行動になってしまう。

このような人類の、特に日本人の持つ“特質”は何もセキュリティに限ったことではなく、自然災害発生の予想、エネルギー資源問題、地球温暖化問題などあらゆる局面で見られる。このようなマインドを克服するための、セキュリティでの対策は、1)(コストを惜しんだために生じる)実害のマイナス・痛みを身を以って体感すること、2)実害を被る機会を強制的に作ること、及び、3)コストとしてのマイナスを(実効的に)低減し、プラスを増やす施策を策定し具体的に実施すること、である。地震、津波等が起きる度に悲惨な状況を繰り返すのは“過去の嫌なことを忘れる人間の基本的な特性”によるものだそうである。これへの対策は「身を以って体験」を強制的にかつ定期的にくり返すことであろう。一方、“プラスの増加を実感できる”施策の具体的な提案は、現在進めているWG活動の大きな検討課題と考える。

■■ 活動メンバを増やす - 学生の参加がカギ

最近はどの組織・団体でも「若者が少ない、よって次代の活動を担保できない」という問題を抱えている。これには「学生の取り込み」が有力な解決法である。当然ながら学生は2-3年ですぐに社会人・職業人となるので、学生時代から巻き込んでおけばそのまま継続的な活動の源泉となるからである。

ここで再度TMFの実践例を紹介する。TMFでは長い間、大学で代表される高等教育機関を一般会員に含めていた。大学は本質的に金銭的余裕が無く会費を払えないので、この規則のため大学の会員は殆ど皆無であったが、2年前に若手の巻き込みと研究・開発連携の課題を強く認識し、高等教育・研究関係機関の会費を無料とした。(ただし、無料という情報は公式サイトには無く、マーティングと個別で対応している。)これにより、大学・教育機関の会員数がほぼゼロから一挙に90を超える数まで増加した。大学は、TMFのドキュメントやトレーニングのコンテンツを教育に自由に使え、技術課題を研究テーマとして研究活動に活用できるようになり、さらには企業との共同研究・実証実験への参加などの機会が増加した。これらを通して、教員と学生の直接参加を拡大しており、活動を実体験した学生がTMFの“ファン”になって、企業に就職した後もTMFに継続的に関わることが実現している。Win-winである。

大学等の教育・研究機関が会員になれば、学生を巻き込めるだけでなく、学界・学会に影響を与えることができ、さらにはその団体への当局の注目度も高くなる。大学は基本的に貧乏なので団体にとって財政的な利益は期待できないが、直接の連携・協働により補って余りある実質的な益を得られる。

■■ 企業会員を増やす 

CSA-JCでは、若い活動者が少ない云々の前にWG等での実活動者がまだ少ない。活動者を増やすためには、そして組織基盤を安定させるためには、まず企業会員を増やさねばならない。ここで基本的な問題は、主要な活動母体となるべき(特に日本)企業の“即益思考”(直接の利益が直ぐに見えない限り投資しない)と、“後出し思考”(リスクは小さくてもとらない、皆がやるならやる、標準は決まってから使えばよい)である。もちろん、全ての企業がそうだと言う訳ではない。“空気”として存在し、時としてこの思考が支配的になるということである。

IT分野の某任意団体を一般社団化した経験をその責任者である知人から聞いたが、彼が経験している以下の問題はどこでも起きており、CSAでも全く同様と感じた。即ち、任意団体として活動している間は、企業はコストがかからずに(実は見えないコストがかかっているのだが)自社の宣伝ができ、また影響力も持てるので、自社の社員の活動を奨励あるいは少なくとも黙認している。ところが、いざ法的な地位を持つ団体に移行するとなると、会費(=コスト)を支出するための壁が突如立ち上がる。そして、企業は今まで自由に活動してきた/させてきた社員の活動を少なくとも陽には認めず、勤務時間内の出張・外出はできなくなり、結局個人としても身動きがとれなくなる。結果、法人化したことによって却ってその団体の活動パワーは低下する、ということになる。

さて、このような状況をどうやって克服していくか、、、 先に述べたように、これは日本全体の課題であり、CSA-JCだけで解決できる問題ではないことは明白であるが、以下のようなことを率先して行う価値はあると考えている。

■ 日本の旧い思考と原理を捨て去る

既に何年も前からグローバル化、少子化、高齢化等と連動して、経済活動、労働環境、生活・家庭環境等の全てにおいて、活動基盤、構成原理・構造、モデルが過去の成長・安定期のそれらとは全く異なってきており、従来の方法では原理的に発展はおろか維持すら望めない状況になっている。問題は、この認識が無いように見えることであり、昨今、日本としての施策が期待した通りに効果を挙げられない理由は、全く異なってしまったものに古びた過去の思考と手法を能天気に当てはめているからである。

従って重要なことは、産官学全てが、内向きで過去の成長期の成功体験と強い思い込みに囚われた思考体系と行動原理を完全に捨て去り、少なくとも100年先を見通した全く異なる思考と方法に基づいて、将来の日本を客観的に外から見て冷静に何が必要かを決めて実行していくこと、である。先を見て「適切かつ十分なデータを集め分析し、モデルを変えて、リスクを取り、自己中心から脱却し、自己変革」できれば、日本と日本の企業が将来に繋がる積極的な手を緊急に打つことが重要であることを理解でき、実行できるようになるはずである。

組織は“人のΣ(積分)”であり、個々の人が変われば組織は変わる。社会を取り巻く環境は大きく変わっているが、組織が変われば、社会全体としての対応力も変わっていく。そのためには、産官学の“変われない/変わりたくない化石世代”は早急に表舞台から降りてもらうことが、日本が持続可能なグローバル社会の重要な一員であり続けるために必須である。

「お前こそどうなんだ、化石世代じゃないのか? 表舞台からおりたらどうだ」と言われそうだが、一切ご心配なく、最初から表舞台にはいないので。

真面目な話に戻って、CSA-JCの活動を将来に向けて上記のような方向づけ・動きに寄与できるように展開していければ、現在会員ではない企業も会員企業も個人もその意義をより強く意識でき、法人化した効果がさらに大きくなるであろう。

話が抽象的で広がり過ぎたが、当法人の活動の在り方について、さらに会員の皆さんと議論をオープンに活発にしていきたいと考えているので、これからもよろしくお願いしたい。

MacY

CSAガイドに基いたホワイトペーパー(第6回CSA勉強会より)

2014年11月26日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

CSA勉強会の内容をできるだけブログ発信していきたいと思います。そこで、まず、11月25日に行われた第6回勉強会より、株式会社 日立システムズの藤井康広氏が行った「CSAガイド等に基づいた日立システムズのクラウドセキュリティの取組み」について報告します。なお、勉強会の資料等については、以下のURLを参照して下さい。

http://www.cloudsecurityalliance.jp/Benkyokai/20141125/DLMenu.html

日立システムズでは、「クラウドサービスのセキュリティに関する取り組み」というホワイトペーパーを公開していて、以下からダウンロードが可能です。

http://www.hitachi-systems.com/cloud/whitepapers/index.html

このホワイトペーパーは、CSAが提供しているガイド(ガイダンス)に基づいて作成されています。勉強会では、その背景、概要等を説明していただきました。以下、その内容についてかいつまんで紹介します。

  1. ホワイトペーパーの必要性
    ホワイトペーパーは、以下の3点のメリットがあるため、クラウドプロバイダには有効です。なお、ホワイトペーパーを最初に公開したクラウドプロバイダは、アマゾンAWSとのことで、その後主なプロバイダがホワイトペーパーの公開あるいはウエブ上でのセキュリティ情報公開を行っているとのことです。

    • ホワイトペーパーで、プロバイダのセキュリティへの取り組みを知っていただき、お客様のプロバイダに対する不安を安心に変えることができる。
    • ホワイトペーパーから必要な情報をたくさん取得できるので、問い合わせが減る。
    • プロバイダの市場での認知度の向上が期待できる。

  2.  なぜCSAガイドか?
    ホワイトペーパーの作成にあたって、CSAガイドを使用した理由は以下の3点です。

    • グローバルな業界標準であること。ちょっとでも海外に進出している企業や海外から日本に進出している企業は、CSAガイドの内容を参照しています。また、RFPにCSAガイドの文言を入れてくるケースも多いとのことです。
    • 目的志向 CSAガイドは、具体的な手順等ではなく、目的レベルの要求事項で記載されているため、ユーザと共同して作成していく時に、コンサルの視点から有用です。
    • 網羅的 CSAガイドは、運用面、実装面で網羅的にまとめられていて、こちらもコンサルの視点から有用です。CSA以外のガイドは、ISMSとかの基準に偏りがちであるとのことです。

  3.  ホワイトペーパーの作成方針
    ホワイトペーパーの必要性に基づいて、以下のように作成しています。

    • 安心セキュリティに関する業界標準に幅広く対応していることを記述しています。これにより、導入コストの削減を可能にしている点がアピールされています。
    • 必要な情報を、より多く CSAガイドとの対応関係、対応状況を詳細に記述しています。また、ホワイトペーパーとは別に詳細な対応一覧表を作成しています。こちらは、一般には公開されていませんが、NDAベースでの提供を行っています。
    • 認知度向上ホワイトペーパーの他に、ダイジェスト版も公開していて、より分かりやすい形での情報提供をおこなっています。

最後に、以下の2点の要望がクラウドプロバイダとして上げられていました。

  • いろいろなガイドや規格が乱立しているので、何をやれば良いかが明確でないし、二度手間になることも多い。関係整備が必要。
  • クラウドセキュリティ規格の一元化が必要。

CSAでは、CCMなどを通して他の規格等のマッピングを行っています。日本でのマッピング(経産省ガイド、総務省ガイド、ASPICなど)も検討していきたい。