2014/08/29 （金曜日）

日本クラウドセキュリティアライアンス　理事　諸角　昌宏

CSA（米国）は、第2回Hackathonを9月開催のCSA Congress 2014で開始することをアナウンスしました。

これは、CSAが公開するパブリッククラウドに対して、世界中から参加者が侵入を試み、見事侵入に成功して目的の情報を入手した場合には、CSAが$10,000の賞金を差し上げるというものです。

このパブリッククラウドは、Software Defined Perimeter (SDP)によって守られています。第１回のHackathonは、今年の2月のRSA Conferenceで行われ、5日間に世界中（中国、ロシア、米国、ブラジル、ルーマニア、ハンガリー、アルゼンチン、香港、英国、チリ、韓国、その他）から100,000以上のアタックが行われましたが、誰も成功しませんでした。

CSAでは、SDP Working GroupでSDPの研究を進めており、セキュリティが非常に重要である企業や政府機関によって業界標準として広く採用されるように進めています。

第2回Hackathonの詳細につきましては、英語になりますが、以下のURLを参照してください：

https://cloudsecurityalliance.org/media/news/hackathon-on-cloud-security-alliance-challenges-hackers-to-break-its-software-defined-perimeter-sdp-at-csa-congress-2014/

みなさまも挑戦してみてはいかがでしょうか。

2014/08/12 （火曜日）

日本クラウドセキュリティアライアンス　理事　諸角　昌宏

CSAのブログに、2014年8月4日にアップされた“THE 20 TOTALLY MOST POPULAR CLOUD SERVICES IN TODAY’S ENTERPRISE”について、その概要を報告します。詳細（英語）につきましては、以下のURLを参照してください。また、詳細なレポートもこのウエブページの最後にポイントされていますので、合わせて参照してください。

https://blog.cloudsecurityalliance.org/2014/08/04/the-20-totally-most-popular-cloud-services-in-todays-enterprise/

このブログでは、もっとも人気のあるクラウドサービスについて、企業向けおよびコンシューマ向けのそれぞれについてのサーベイの結果を記述しています。サーベイは、Skyhigh Networks社が、200以上の企業の1050万人の従業員に対して行っています。

なお、実際のTop20のリストについては、上記URLを参照してください。ここでは、ブログに書かれている特長/傾向について記述します。

1. 企業向けクラウドサービス状況

もっとも人気のある企業向けクラウドサービスTOP5

• Amazon Web Services
• Office 365
• Salesforce
• Cisco WebEx
• Box

以下の4つのベンダーが、レガシーのオンプレミスのソフトウエアをクラウドに移行するのに成功している：

• Microsoft Office 365
• SAS On Demand
• Informatica Cloud
• Ariba

以下の3つのプロバイダが、数十億ドル（数兆円）を達成している：

• Salesforce
• ServiceNow
• SuccessFactors

Top4カテゴリーは以下である：

• コラボレーション(4)
• ビジネスインテリジェンス(2)
• 開発(2)
• マーケティング(2)

2. コンシューマ向けクラウドサービスこれは、コンシューマ向けサービスであるけれども、企業で利用されているということになります。

もっとも人気のあるコンシューマ向けクラウドサービスTOP5

• Facebook
• Twitter
• Apple iCloud
• Youtube
• LinkedIn

上位を占めるプロバイダ

• Google
• Yahoo
• Facebook

Top3カテゴリー

• コンテンツ共有(7)
• ソーシャルメディア(7)
• コラボレーション(4)

なお、コンシューマ向けアプリケーションを企業で使用する場合、Data Lossのリスクがあるということを本ブログでは指摘しています。このData Lossは、マルウエアによって引き起こされるもので、注意が必要とのことです。

2014/08/04 （月曜日）

日本クラウドセキュリティアライアンス　理事　諸角　昌宏

7月30日に行われた掲題の勉強会の内容について概要を報告します。

まず、日本HP社の吉田豊満さんからCCSK資格について、試験内容、および、日本HPさんで行われているCCSKトレーニングについて説明がありました。

1. CCSK試験についてクラウドコンピューティングにおけるセキュリティスキルの重要性から、2010年にリリース。資格取得状況は、正確な数字は無いが、全世界で数千人（毎年倍々で増えている）、日本人の取得者は30人程度。試験の合格率は60%程度とのことです。
2. CCSK試験内容広範囲かつ基本的な知識をテスト。必要な知識は、CSAのガイダンスおよびENISA。試験は、オンラインでの選択方式。
3. CCSKのトレーニング日本HP社では、以下の2つのコースを開設

　　　　①     CCSK Foundation （座学）

　　　　②     CCSK Plus (AWSを使った演習)

次に、ラスカウスキー 照美さんによる、CCSK試験の内容、CCSKトレーニングの内容の説明がありました。ラスカウスキーさんは、情報セキュリティコンサルタントとして25年くらいの経験があり、トレーニングも行っています。

1. CCSK試験の内容 ITの資格には、クラウドがほとんど入っていないのが現状。CCSKは、クラウドのセキュリティに特化した試験。

　　　　①     試験内容 Internetでの受験となる。情報を見ながら行うことが許されている。したがって、横にCSAのガイダンス、ENISA、Googleを開いて行うことができる。ガイダンス等を読んでおくことで、質問の該当箇所がどこかがわかるのがよい。なお、Internet接続が確実なところで受験するのが良い。途中で回線が切れたりした場合には、試験自体が終了となってしまうため。

　　　　②     合格への近道トレーニングを受講するのは有効。 CSAガイダンス、ENISAリスクレポートを読む。トレーニングを受けたら、速やかに試験を受ける。

2. CCSKトレーニング Foundationは、6つのモジュールから構成されている。CSAのガイダンスの各domainは、それぞれモジュールのどこかに入っている。 CCSK Plusのトレーニングは、ハンズオン・トレーニングで、AWSを使ったパブリッククラウドの実習（WordPressを使ったブログシステムを作る）、および、OpenStackを使ったプライベートクラウドの実習となっている。CCSK試験にはあまり関係ないが、実習を通して使用してみることでより知識が深まることになる。

最後に、諸角よりCCSK体験談を説明しました。CCSK対策のポイントとしては、以下の5点があります。

1. CSAガイダンスとENISAのリスクレポートは熟読する。CSAガイダンスの推奨事項はできるだけ抑えておく。また、ENISAの用語についても抑えておく。
2. 試験時間は十分ある。経験では、一度すべて回答し、再度すべての回答をレビューしても余るくらいの時間はあるので、あせらず進める。
3. 回答ごとのチェックをうまく利用する。「Mark for review…」というボタンがあるので、不確かな回答については後でレビューできるようにこれをマークしてから次の問題に進む。
4. V3.0は、V2.1に比べて、クラウドセキュリティの一般知識で回答できる問題が増えているようである。
5. 試験の結果は公開され、ドメインごとの正解率が表示されるので、結果を見て弱いドメインについて勉強する。

なお、勉強会の資料は、CSAジャパンのウエブサイトより公開されています。こちらを参照してください。

2014/07/8 （火曜日）

ブログを開始します。CSA-JCメンバーによるクラウドセキュリティに関する情報を、ここから発信します。

また、CSAのBLOGから、興味深い内容について翻訳あるいは解説付きで公開します。

日本クラウドセキュリティアライアンス　理事　諸角昌宏

このページは、CSAジャパン会員によるブログです。
本ブログで記載されている内容は作成者に帰属します。