2015年4月13日
日本クラウドセキュリティアライアンス　理事
諸角　昌宏

4月9日にOracle Cloud Worldに行ってきました。オラクルとクラウドという言葉から斬新なアイデアがあるかということに惹かれたのもありますが、データベースのセキュリティでは進んでいると思われるOracleの最新動向を理解しようと思って行ってきました。
さて、「データベースは金庫になれるか」というのは、ずいぶん前から話題にはなっていました。企業において、ほとんどの機密データ、個人データがデータベースに入っている状況で、データベースさえ破られなければセキュリティは保たれるという、いわゆる金庫に貯金通帳、印鑑、登記簿などを保管して保護する方法と同様の考え方です。数年前に、DAM(Database Activity Monitor)などの技術が出てきて、これでデータベースを金庫にできるかと言われたものですが、現状は「破られるものは破られる」という感じになっています。最低限、事後対策としてアクセスログはきちんと取っておいてくださいというような、インシデントレスポンスが強調されているという状況になっています。
そこで、データベースのセキュリティ技術はどこまで行っているのかということで、Oracle Cloud Worldで聞いてきた概要を書いていきます。幸いなことに、Oracle Cloud Worldでは、セキュリティ・トラック的に、いくつかのセッションが組まれていて、結構勉強になりました。

それでは、Oracleのセキュリティコントロールから始めます。Defense in depthで、マルチレイヤーの予防/防御、検出、管理を行っていくということで、基本的なセキュリティのアプローチを取っています。その中で、以下の項目のように対応を取っています。

1. データ暗号化
   認証されたアクセスのみを許可することで、バイパスされたデータアクセスの防止。また、2-tier鍵管理を採用して、鍵の管理にも十分な対策の実施。
2. データリダクション
   機密データが取り出されることを防止するため、データベースへのアクセスの直前で機密データへのアクセスをコントロール。アプリケーションから取り出されることに対しても予防。
3. 機密データのスプローリングの防止
   データマスキングとサブセッティングにより、本番とテスト環境でのデータの匿名化の実施。
4. 特権ユーザのリスクの回避
   データに対するDBAのアクセスを制限。マルチファクタ認証の使用。レルムによる保護ゾーンの作成。
5. 特権とロールの使用状況を確認
   リアルタイムで、どのような特権が使われているかを解析。
6. ラベルベースのアクセスコントロール
   ラベルを使用したユーザおよびデータの分離。行レベルでのアクセスをコントロール。また、ユーザにもラベル付けし、アクセスできるデータを限定。
7. Detective Control （発見的コントロール）
   データベース・ファイアウォールによるネットワーク・イベント、データ監査、イベントログなどをデータウエアハウスにし、アラート、レポート、ポリシー設定に利用。データベースアクティビティの監視（検出/ブロック）、SQL文法解析など。これにより、SQLインジェクションなどの攻撃を防止。
8. リアルタイムでの監査、レポート、アラートの実施
   一元化されたセキュリティリポジトリによるリアルタイム化。
9. 管理的なセキュリティコントロール
   データベース内の機密データの検出によるデータの保護。
10. 構成管理
    データベース・ライフサイクル管理。

以上のように、外部からの攻撃、内部（特に管理者）の犯罪、開発環境のセキュリティ、クラウドでのデータ保護、監査、インシデント対応などに十分対応できるセキュリティ機能はそろっているように思えます。今回は、Oracleのセキュリティ機能を見てきましたが、他のデータベースやDAM製品等でも同様の機能を提供しているものと思われます。これらをきちんと採用していくことで、金庫に近いレベルのセキュリティ対策が可能になるものと思われます。もちろん、セキュリティ管理は技術的な面だけではありませんが、守るべきところを確実に守っていくということで、重要であると思われます。

 以上

2015年3月11日
日本クラウドセキュリティアライアンス事務局長
勝見　勉

CSAのFinancial Services WGの調査結果報告が公表され、そのアナウンスがありました。以下にプレスリリース全文の日本語訳を紹介します。

3月5日シアトル発表：金融機関の多くが徐々にクラウドに保存するようになっている。これが、CSAの新たな調査「金融部門でのクラウドの利用について」で判明した主な点です。調査対象は全世界の銀行、保険および投資機関です。調査に よれば、金融部門におけるクラウド利用が少しずつ一般的になってきている中で、確固たる、管理とセキュリティ対策の整った戦略を用意できているのは50% に満たず、それが主たる懸念事項になっています。

「この調査結果は金融サービス産業がクラウド利用をどのように進めているかに ついて、およびクラウドプロバイダがいかに的確にその関心事項と要求項目に対 応できるかについて考えるための洞察に富んでいます。」とCSAのCEO、Jim Reavisは語り、「この結果が、クラウドプロバイダと金融機関が、金融部門での セキュアなクラウドの利用を進めるためのガイダンスとして活用されることを期待しています。」と付け加えました。

調査結果によれば、61%がクラウド戦略を正規に整える段階にあり、39～47%がインハウスのIT、プライベートクラウド、パブリッククラウドの組み合わせを利用しようと考え、18%がプライベートクラウドの利用を考えています。大部分をパブリッククラウドにホストしてもらう予定だとした回答者はゼロでした。調査結果ではまた、顧客が電子的手段で取引をする度合いが高いほど、クラウドポリシーは緩くなっており、このタイプの金融機関では厳しいポリシーを適用しているのはたった3%でした。

CypherCloud社のクラウド戦略およびセキュリティ担当副社長であるDr. ChenxiWangは以下のように語っています。「回答は全体として金融サービス部門はクラウドサービスにとってたいへん活発な市場となっていることを示しています。この業界では多くの企業がクラウドのパワーを活用しようとしており、クラウドは確固たる位置を占めています。特に、回答者の要望リストのトップを占める監査の有効性とデータ保護対策に対応できるプロバイダーにとっては、成長の余地は大きくあります。」

「金融部門でのクラウドの利用について」調査報告には、米州、EMEA、APACの色々な規模と業態の企業から100を超える専門家の意見を収録しています。クラウドにおける情報保護のリーダーであるCypherCloud社がスポンサーとなったこの調査は、CSAのFinancial Servicesワーキンググループが実施し、金融部門ではいかに異なったクラウドソリューションが実施されているかの状況をマッピングする初めての試みとなりました。この調査のねらいは、金融業界における、クラウドサービスの提供と管理に関する主たる懸念事項を分析し、クラウドサービスの利用を促進することが必要であるということを知るところにあります。

金融サービス企業はまた、クラウドプロバイダーの透明性と監査における自由度を求めており（80%）、これはデータ暗号化の要望（57%）以上となっています。クラウドに移行する動機については、回答者の68%がインフラ能力の拡張性を挙げて第1位、僅差（63%）でプロビジョニング（コンピューティング機能の配備）時間の短縮が続きます。クラウドに移行する場合に利用するサービスや機能では、1位がCRMで46%、アプリケーション開発（45%）、email（41%）が続き、意外にもバックエンド（総務人事経理等）サービス（20%）やバーチャルデスク（14%）より高くなっています。

最後に、クラウドに移行するに際しての規制や法令順守に関する要求では、上位にデータ保護（75%）、コーポレートガバナンス＝企業統治（68%）、PCI-DSS（54%）と国による規制（47%）が並びました。

調査ではまた、金融、政府、保険、セキュリティの各意思決定責任者がその組織の中でどのように行動するかについての洞察も得られました。それは最もセキュリティの高いクラウドサービスを組み合わせて標準的なものとして起用すること、どのようなポリシーが最も影響があるかについての判断、ユーザ教育において何が肝要かを把握することです。

報告書の本文は、https://cloudsecurityalliance.org/research/fswg/#_downloadsからアクセスできます。

調査へのフォローアップとして、CSAのFinancial Servicesワーキンググループでは、2015年の活動報告で、金融サービス部門でのクラウドコンピューティングのベストプラクティス（実践規範）に関する懸念と利点を取り上げる予定です。Financial Servicesワーキンググループのリーダは、BBVA社のイノベーション・エンジニアリング・ソフトウェア開発におけるITリスク・不正・セキュリティの責任者であるJuan Franciscoと、Caixa銀行のセキュリティマネージャであるMario Maawadです。ワーキンググループへの参加に関心のある企業や個人は、financila-services-leadership’@’cloudsecurityalliance.orgにご連絡ください(@の前後のクオーテーションを削除してください)。

2015年2月26日
日本クラウドセキュリティアライアンス　理事
諸角　昌宏

2月25日に行われたCSA勉強会「金融向けクラウドの最新動向　～事例、FISC、ベンダの動き」に参加しました。講師は、株式会社電通国際情報サービス　クラウドエバンジェリスト、社団法人クラウド利用促進機構 (CUPA)運営委員・総合アドバイザの渥美俊英氏です。

まず、クラウド利用の最近の動向として、昨年から金融機関のクラウド事例が次々と公開され大きなインパクトを与えているということでした。以前であれば、公開されることの無かった金融機関の業務システムの内容が、昨年からは具体的に事例公開されるようになったということは、驚くべきこととのことです。

金融機関のクラウド事例は以前からあり、数年前にはECOポイントをセールスフォースで実現しましたが、最近は本格的なパブリッククラウドであるAWS等が利用され、かつ、実際の業務システムをクラウド化するということで、ミッションクリティカルなシステムでもAWS等が利用されるという流れになってきています。

この流れを牽引しているAWSですが、AWS Summit 2014でソニー銀行やマネックス銀行のクラウド事例が、インテグレータではなくエンドユーザの目線で情報公開されたため、よりビジネスよりの詳細な内容が出てくることになりました。もはや、クラウドは、テクノロジの選択ではなく、ビジネスの選択であるということを印象づけることとなり、これからはインテグレータの提案の仕方も変わらざるを得ないということのようです。

また、FISCからセキュリティリファレンスおよびクラウド利用推進の報告書が公開され、金融機関に対するクラウド利用に向けた対応の指針となるとともに、他の業種へのリファレンスとして活用できるようになってきました。

IaaS市場の動向は、Magic Quadrant(勉強会資料には非掲載)によると、AWSの独走であったものが、昨年からMicroSoftが猛烈に追随してきているとのことです。また、IBMもSoftlayerの買収を経て追随してきており、Googleも来ているという状況です。また、国産クラウドも独自性を出して進めているという状況のようです。まさに、群雄割拠の状況になってきているようです。また、クラウド利用も以下のように変化してきています。

1. オンプレの安価な代替
2. ミドルウエア(DB等)の代替
3. 運用保守の自動化
4. クラウド流の開発プロセス基盤

このように、クラウド業界は、大きく動いており、しかも数カ月単位で変化している状況ですので、今後も注目していく必要があります。

詳細については、勉強会の資料が後日公開されますので、あらためてご連絡します。

また、リプレイ開催も以下のように行われるようですので、ご利用ください。http://www.cloudsecurityalliance.jp/study.html

2015年2月19日
日本クラウドセキュリティアライアンス事務局長
勝見　勉

医療情報セキュリティセミナーin八王子に行ってきました

CSAジャパンの代表理事である笹原英司さんは、ITセキュリティの専門家ですが、「医薬学博士」の学位を持っているというスゴイ人です。そしてまたその活躍の場も、古くは労働省とか、世界的リサーチファームとか、そして今は在日米国商工会議所のヘルスケアIT小委員会委員長であったりして、とにかく広い!!　更にはNPOヘルスケアクラウド研究会の理事でもあります。そしてわがCSAジャパンでは代表理事を引き受けるとともに、「健康医療情報管理」「ビッグデータ」「モバイルユーザ」の3つものワーキンググループのリーダーも引き受けてもらっています。

そんな笹原さんのリーチの広さを改めて知ったのが八王子におけるセミナーでした。会場は「コワーキングスペース8Beat八王子」という、起業家や市民活動の人や同好グループに活動の場を格安で提供している、コミュニティハウスみたいな場所で。集まった人たちも、IT周りでコミュニティ活動をしているCode for Hachiojiとかそういった仲間。濃くてアットホームな雰囲気の中で、笹原さんの2時間の熱演がありました。

講演タイトルは「健康医療分野の海外サイバーセキュリティ最新動向」。内容は「健康医療分野のサイバー攻撃に起因する海外の情報漏えい事例」「健康医療のセキュリティ／プライバシー規制とサイバーセキュリティの動向」「健康医療へのシビックテクノロジー適用とセキュリティ／プライバシーのリスク」と、とても濃いんです。

まず、アメリカでの、サイバー攻撃による医療情報流出の事例ですが、今月になって発覚したAnthemの8000万件の漏えい事件は衝撃的です。笹原さんもまずはこれを取り上げました。盗まれた情報には、名前、誕生日、医療ID、社会保障番号、住所、メールアドレス、雇用情報、収入データが含まれるとのこと。社会保障番号は実質個人番号ですから、それと名前、住所、生年月日が分れば、完璧になりすましされてしまいますね。この他にも数百万件に上る医療情報漏えいが、サイバー攻撃や盗難によって起きているようです。

また、年末世界的に注目を集めたソニー・ピクチャーズの情報漏えい事件では、セレブの情報などが関心を呼びましたが、従業員の保健情報も盗まれていて、被害に遭った従業員からの集団訴訟も起きているとか。またアメリカの集団訴訟は、賠償が決まれば全被害者が対象になるので、1件は少額でも莫大な金額になりやすいのだとか。この辺はさすがに、専門的で詳しいな、と脱帽でした。

健康医療のセキュリティ／プライバシー規制の話では、米国のHIPAAとHITECHを説明してくれました。HIPAAは1996年に成立していて、サイバーリスクが注目されるより前から、情報保護への対応は進められている、と指摘してくれました。連邦プライバシー法制がないなど、取り組み姿勢が強いとは思われていないアメリカが、割と早くから手を打っているのは意外で、さすがよく見ておられると、またまた感心させられました。

さて、こう書いていくと、何せ2時間の熱演なのでとても紙数が足りません。幸い、資料をCSAのwebで公開して下さったので、後は皆さん、直接資料から学んで下さい。そしてもっと知りたければ、「健康医療情報管理」ワーキンググループに参加されてはいかがでしょうか。
http://www.cloudsecurityalliance.jp/healthcare_wg.html

2015年年頭のご挨拶の第五回（最終回）になります。最終回は、CSAジャパン代表理事の二木さんより投稿いただきました。

年頭ブログ（最終回）
CSAジャパン　代表理事　二木真明

CSA代表 Jim Reavis来日歓迎の飲み会から始まったCSA JCが、よりその活動の幅を広げるために一般社団法人となってから、早くも一年が経過しました。その間、多くの法人、個人会員にご参加いただき、活動をご支援いただいたことを、あらためて深く御礼申し上げる次第です。

さて、クラウドからのサービス提供やその利用は世界的に定着し、その利点や課題についても、より具体的な議論が可能になってきました。CSAが提供しているSTAR認証も、こうした状況を踏まえ、事業者のセキュリティの透明性を高め、より多くの、また高度なクラウド利用を推進する一助となるにちがいありません。そのような状況の中、我々日本サイドが、グローバルに存在感を高めていくことが重要になってきます。今のところ、残念ながらグローバルが矢継ぎ早にリリースしてくるアウトプットを翻訳、咀嚼することで手一杯の状況があります。ここから一歩踏み出して、新しいテーマや日本が優位性を発揮できる分野で、グローバルのアウトプット策定の過程から、深くかかわっていくことができれば、ほぼ同時のリリースが可能になるのと同時に、我々の考えもそこに組み込むことができます。こうしていくことが我が国におけるクラウド利用推進のために不可欠だろうと考える次第です。

そのためには、会員の皆様のご協力が不可欠です。現在、複数のワーキンググループがこうした活動を進めていますが、人的なリソースがきわめて限られています。こうした活動に積極的にご参加いただき、世界への発信にご協力いただければ幸いです。

さて、私自身は昨年より、IoT（Internet of Things）をひとつのテーマとして活動しています。IoTといえば、どうしてもデバイス側に目が行きがちですが、現実にはこれらのデバイスの多くが、メーカーによる管理サービスに統合されており、こうしたサービスは、現在ではクラウドから提供することが一般的です。IoTのセキュリティを考える際に、個々のデバイスの安全性もさることながら、それらを統合するクラウド側の安全性は、非常に多数のデバイス全体に影響するという意味で、非常に重要です。攻撃を企てる側にとっても効率がよいために、非常に高度な攻撃を仕掛けてくる可能性が高いと考えています。こうしたサービスのセキュリティをどう考えればいいのかを提示することも、我々の仕事だろうと思っている次第です。現在、IoTクラウドサービスWGを立ち上げて活動を開始していますが、メンバーも少なく、なかなか思うように作業が進まない状況があります。こちらも、是非、多くの皆様にご参加いただき、検討を加速できればと考えていますので、よろしくお願いいたします。

ようやく法人としての体をなしはじめたところのJCですが、今年は、これを基盤として、クラウドセキュリティを高める活動を加速していかなければいけません。このためには、様々な面で皆様のご支援が不可欠です。ぜひとも、我々の活動をご理解いただき、積極的に参加していただければと存じます。

2015年年頭のご挨拶、第四回は、CSAジャパン副会長兼代表理事の笹原さんより投稿いただきました。

年頭ブログ（第四回）
CSAジャパン　副会長兼代表理事　笹原英司

私は、2009年夏、「Security Guidance for Critical Areas of Focus in Cloud Computing Version 2」の「Domain 3: Legal and Electronic Discovery」パートの策定・レビュー作業より、クラウドセキュリティアライアンス（CSA）の活動にボランティアとして参加しました。CSA本部とやりとりをしているうちに、たまたま共同創設者であるJim Reavis氏が来日することを知り、同年12月、虎の門の居酒屋でJim氏を囲む会をやったのが、CSAジャパンとしての活動の発端です。その後2010年6月に任意団体としてクラウドセキュリティアライアンス日本支部が発足し、2013年12月に一般社団法人日本クラウドセキュリティアライアンスへと発展してきましたが、法人化後、気が付いたら1年過ぎていたというのが実感です。

「Cloud Security」にまつわる新たな課題解決のために、リアルの場やソーシャルネットワークを介して様々な人材が集まる「Crowd Sourcing」で知恵を絞っていくのがCSAの強みであり、面白さでもあります。今後は、クラウドユーザーとクラウドベンダー／サービスプロバイダーの壁を取り払うと共に、日本のソリューションと海外のソリューションを繋ぐお手伝いをしながら、2年目、3年目へと進んでいけたらと思っています。

モバイルユーザーワーキンググル―プは、CSAグローバルのモバイルワーキンググループの一員として、エンタープラインズセキュリティの観点から、CCM 3.xで追加されたモバイルに関わるリスク評価項目の具体的な内容を明確化する作業に関わっています。2014年より新たに活動を開始したIoTイニシアティブでは、企業のモバイルデバイスの管理対象をスマートフォン、タブレットからセンサー機器に拡張して、モバイルデバイス管理（MDM）、BYODなどの方向性を検討しています。CSAグローバルでは月1回定例テレカンファレンスを開催していますので、気軽にご参加下さい。

ビッグデータユーザーワーキンググループは、CSAグローバルのビッグデータワーキンググループが取りまとめたドキュメント類の日本語翻訳作業を行ってきました。ビッグデータセキュリティの技術的対策では、Hadoop、NoSQLのセキュリティ、通信レイヤやデータベースレイヤの暗号化、デバイスからクラウドデータセンターに至るまでのログ管理、組織的対策では、ISO 27001:2013のICTサプライチェーンを念頭に置いた契約／QoS管理やプライバシー／個人データ保護など、CSAが培ってきたクラウドセキュリティの国際標準にプラスαが求められます。このような動きを、企業の経営層やIT部門以外のクラウドユーザーに伝えることに注力していきたいと思います。

健康医療情報管理（HIM）ユーザーワーキンググループは、米国FDAのモバイル医療アプリケーションガイドラインや医療機器サイバーセキュリティガイドラインの施行、厚生労働省の医薬品・医療機器法施行に伴う医療ソフトウェアの新設など、規制当局の法規制新設・改廃に関わる情報の伝達・共有に注力してきました。2015年は、健康医療分野において、シビックテックやオープンソースソフトウェアを活用した地域住民参加型オープンデータ／ビッグデータ推進策が拡大する中で要求されるクラウド／モバイル／サイバーセキュリティ対策の啓発活動に注力していきたいと思います。

各ユーザーワーキンググループとも、アプリケーション開発者、デジタルマーケティング管理者など、日頃情報セキュリティに馴染みのないクラウドユーザーが気軽に参加できる環境の整備に向けて頑張ります。

今後ともご指導ご鞭撻のほど宜しくお願いします。