SaaS環境のクラウドセキュリティについて ~第18回CSA勉強会

コメントをどうぞ

日本クラウドセキュリティアライアンス 業務執行理事
諸角 昌宏

12月16日に行われた第18回CSA勉強会では、SaaS環境のクラウドセキュリティについてということで、セールスフォース・ドットコムの高橋悟史氏に講演していただいた。関心の高いテーマということで、多数の申込者があり、また、質疑も活発に行われて有意義な勉強会になった。また、SaaSだけではなくPaaSにも焦点を当てたクラウドセキュリティということで、非常に幅広くカバーしていただいた。

ここでは、大きく4つの点(プラットフォームセキュリティ、信頼性、セキュリティ管理機能、透明性)で勉強会の概要を説明する。

  1. プラットフォームセキュリティ
    セールスフォース・ドットコムでは、インフラ、ネットワーク、アプリケーションのすべての層においてセキュリティ対策を施している。インフラ、ネットワークでは、セールスフォース・ドットコムがセキュリティ対応をできるように24時間365日で管理を行っている。
    アプリケーションにおいては、シングルコードによる高い品質を維持し常に最新のものを使用することでセキュリティレベルを高めている。
    また、信頼を確保するために、年間数千億円の投資を行っており、外部の監査も定期的に受けている。
  2. 信頼性
    セールスフォース・ドットコムが一番強調しているのは信頼性である。稼働率はともかく、今まで一度もセキュリティ侵害を受けたことがないということはすごいことである。
    また、データのミラーリングやグローバルのデータセンターを用いたバックアップサイトを運用することでデータの可用性を高めている。
    バックアップサイトを日本に作る計画も進んでおり、これにより法域の問題やデータセンターへの立ち入り監査の問題に対応できるようになる。
    さらに、大規模マルチテナントであることから、作業できる要員の集中化を実現している。データセンターの運用に携われるのは信頼のおける人間のみとしており、プロバイダの人的な問題にも対応している。
  3. セキュリティ管理機能
    二要素認証、シングルサインオン(SAML2.0およびOpenID Connectに対応)、および、IDプロビジョニングによるID管理の安全化を行っている。
    データの暗号化については、鍵管理がサーバ側になっているが、SalesForce Shieldというオプションの暗号化機能を使うとサーバ内に鍵を保存することなく、必要なときにのみ鍵が生成されることになる。クラウドにおける鍵管理の原則は、利用者側で鍵を管理することであるが、それを実現するための1つの方法となっている。また、HSMによる厳重な鍵管理も行われており、非常に高度な暗号化と鍵管理を実現している。
    マルチテナントデータベースのセキュリティ対策として、テナント(利用者)ごとのテーブル構造が分からないようにしている。これは、メタデータによりテナントごとのマッピングを行うことで、自分のデータは自分しか見えないようにしている。これにより、データベース管理者がテーブルごとデータを抜き出したとしてもデータが漏洩することにならないようなセキュリティ対策が施されている。
    ネットワークについては、TLS1.2+AES256に対応した安全な通信を行っている。また、PCIDSS 3.1へのコンプライアンスとして、来年にはTLS1.0の接続をシャットアウトする予定とのことである。これは、利用者によっては問題になる場合もあるが、より安全なネットワーク環境の提供を行うということで進めている。
    データセンターの運用として、データセンター内にサーバにログイン可能な環境はなく、すべてリモートで運用を行っている。これにより、データセンター内で問題が起こらないように対策を取っている。また、データベースまでアクセスできる要員は少数の従業員のみとしている。
    さらに、社内にEthical Hackingチーム(redチームと呼ばれる)があり、ハッキングおよびペネトレーションの調査等を行っている。これは、独立した組織として活動しており、問題を見つけた場合にはすぐに対応を指示できるようにしている。
  4. 透明性
    http://trust.salesforce.comというウエブページに情報を公開し、稼働状況やメンテナンスのスケジュール等を公開し顧客が見える形で情報を提供している。また、もし顧客から要請があれば包み隠さず情報を提供する体制になっている。また、レギュレーションについても、要請があれば提供できる体制になっている。
    バージョンアップなどについては、顧客に事前情報提供を徹底し、できるだけ顧客に影響が出ないようにしている。

セールスフォース・ドットコムのセキュリティということで、非常に深く対策が取られていることがわかった。その上で、透明性を高めて利用者に対する説明責任を果たしている。このように、クラウドプロバイダとしての方向性を決めていくようなセキュリティ対策となっていると思われる。

CSAのガイダンスで述べているように、IaaSと違いSaaS/PaaSに関しては、プロバイダのセキュリティ対策に依存しなければならないところが多い。しかしながら、説明責任は利用者側に残る(セキュリティ対策はプロバイダ側に移動したとしても説明責任は利用者側に残る)ことに基づき、利用者のリスク管理の一部としてプロバイダのセキュリティレベルをきちんと確認しておくことが重要になる。セールスフォース・ドットコムのセキュリティ対策は、プロバイダが行うべきセキュリティ対策として、利用者が確認しておくべきことの指針になるものと思われる。

なお、勉強会の資料は2週間後を目途に一般公開される予定なので、詳細についてはそちらを参照してください。

CSA Japan Congress 2015 盛況裡に閉幕

コメントをどうぞ

一般社団法人日本クラウドセキュリティアライアンス 業務執行理事
勝見 勉

11月18日(水)、日本でのCongressとしては2回目の開催となるCSA Japan Congress 2015が開催されました。朝から空模様があやしく、午後からは雨になった中、140人の多数にご参加いただきました。運営スタッフ、講演者、プレス関係などを入れると170名を超え、ほぼ会場キャパシティ一杯になるという盛況でした。

今回の「目玉」は日本情報経済推進協会(JIPDEC)・情報セキュリティマネジメントセンター、高取敏夫参事による特別招待講演「ISMSをベースにしたクラウドセキュリティ~ISO27017の最新動向」です。クラウドに特化した初めての国際標準規格であるISO/IEC27017の正式リリースがもう間もなく、という時期に、この27017に基づく、ISMSのクラウド情報セキュリティに関するアドオン認証の創設という話題を中心にお話し頂きました。このクラウドセキュリティアドオン認証は、11月16日にJIPDECから発表されたばかりの、湯気がホカホカ立っているような情報で、世界に先駆けてクラウドのISMS認証を制度化するという画期的なものでした。受講者の多くもこの解説を目当てに参加されたものと思われます。27017そのものが日本の提案を基に日本主導で開発が進められたという意味でも、ISO/IECベースの国際標準化の歴史の中では画期的なことでした。クラウドサービスの開発では世界をリード、と言えない日本も、クラウドの最大の関心事であるセキュリティに関しては世界をリードする立場に立っていると言えます。その意味で世界最先端・最新の情報に接することができて、聴衆の皆様共々、感慨深いものがありました。

Japan Congress 2015のもう一つのテーマは、新しいクラウドセキュリティ技術でした。中でも特別テーマ講演にお招きしたヤフー株式会社上席研究員の五味秀仁氏からは、「FIDO-次世代認証方式とクラウド」というタイトルで、クラウドにおけるユーザ認証に親和性の高い、パスワードレスの認証スキームであるFIDO(Fast IDentity Online)について紹介と解説を頂きました。この他にスポンサー講演、ゲスト講演、パネルディスカッション等を通じて取り上げられた新しい技術トピックとしては、CASB(Cloud Access Security Broker)、SDP(Software Defined Perimeter)、コンテナ、トランスペアレントな暗号化、27018(クラウドにおける個人情報保護)が挙げられます。

クラウドはコンピューティングプラットフォームとして広く定着する方向を見せています。昨今のサイバーセキュリティ脅威や情報漏えいに対する管理・防御を考える時、専門家により安定的・トラブルレスの運転が期待でき、セキュリティ管理も充実しているクラウド環境は、ITに多くの予算と人材を割けない中小企業こそ、積極的に活用すべき社会的リソースと言えます。そしてそのセキュリティは、技術面からも、マネジメントシステムの面からも、ますます充実していくことが期待できます。今回のCongressは、こういった流れを明確に打ち出し、理解を深めるとともに、そのための最新トピックを盛りだくさんに提供する素晴らしい機会になったと言えると思います。

更に付け加えるならば、冒頭の日本クラウドセキュリティアライアンス会長・吉田眞東大名誉教授のご挨拶では、春に開催するSummitが発信の場と位置付けられるとすれば、秋に開催するCongressは「クラウドのセキュリティについて多面的に取り上げ、最新の情報を提供し、クラウドとセキュリティのベンダ、サービスプロバイダ、インテグレータ、ユーザ、関係機関が一堂に会し、クラウドを取り巻くセキュリティ課題を議論する 」場である、と整理されました。多士済々のスピーカと、パネルも含むプログラム構成はこれを十全に体現したと言え、充実した一日を、多くの関心高い人たちと共有できたと思います。

おわりに、最後まで熱心に聴講いただいた受講者の皆さまと、設営・運営スタッフ、そしてたいへんバリューの高いプレゼンを頂いた講演者の皆さまに、この場をお借りして感謝の意を表して、Congressレポートのブログのまとめにしたいと思います。どうもありがとうございました。

 

データセンターセキュリティ ~第17回CSA勉強会

コメントをどうぞ

日本クラウドセキュリティアライアンス 業務執行理事
諸角 昌宏

10月27日に行われた第17回CSA勉強会では、日本データセキュリティ協会が公開しているデータセンターセキュリティガイドブックの2015年版について、水戸和氏に講演していただきました。「データセンターセキュリティガイドブック」は、データセンターの利用者と事業者に対して「データセンターの適切なセキュリティ」とは何かを考え、共有する為の共通の知見を提供しているドキュメントということで、CSAジャパンとしても注目している内容になります。

さて、CSAジャパンとしては、そもそもクラウドセキュリティとデータセンターセキュリティがどのような関係になるかというところから始める必要がある。このあたりについては、CSAジャパンのメンバーである山崎氏がIT Leadersの記事でCSAガイダンスの内容として説明している(http://it.impressbm.co.jp/articles/-/11446)。これによると、「クラウドコンピューティングを進化さえるためには、サービスプロバイダや管理者は、仮想化技術を使ってサーバー資産を管理するだけでなく、データセンターそのものを進化させる必要がある」ということである。データセンターにおける物理セキュリティをクラウドセキュリティの一部としてきちんととらえていく必要がある。

それでは、データセンターセキュリティガイドブックの話に戻る。
まずデータセンターの位置づけであるが、現在ではデータセンターを社会基盤(重要インフラ)としてとらえる必要がある。ITインフラの流れが、かつての電子計算機センターの集中型からクライアント-サーバーによる分散の時代を経て、インターネットデータセンター/クラウドによる再集中の時代になってきている。その流れの中で、多くの利用者がデータセンターを利用し社会基盤化してきている。そのため、データセンターのセキュリティの重要度は非常に高まってきているということができる。
データセキュリティガイドブックでは、日本のデータセンターが機密データを預けることができるだけのセキュリティを実現しているかという観点で、セキュリティのベースとなるガイドブックを作成するという目的で作られている。したがって、内容的には「基準」ではなくデータセンターの利用者と事業者が「考え方」の共有を行うことができることを目指している。
データセンターのセキュリティと管理策は第3章に書かれている。ここでは、データセンターが提供するサービスに対する脅威の分析と、その脅威に対する管理策の考え方を示し、最後に実際に「架空」のデータセンターを基にしてセキュリティ管理策がどのように実装されるかを紹介している。これにより、利用者がデータセンターに存在する一般的な脅威とそれに対する管理策を、事例を通して理解することができるようになっている。
第4章では、データセンターに関連する様々な基準やガイドライン、および、認証制度をまとめている。これらの概要や関係の概要を説明するとともに、分野ごとの基準やガイドラインについても説明している。データセンターセキュリティガイドブックでは、共有可能なセキュリティのベースラインを提供できるようにしていくとのことである。

なお、データセキュリティガイドブックは、http://www.jdcc.or.jp/pdf/DC_Security_Guidebook_2015.pdf からダウンロードできる。

CSAのCCMでは、データセンターの運用において、物理セキュリティに対する項目を提供しており、また、様々な標準や法令とのマッピングを行っている。今後、データセキュリティガイドブックともうまく協調できる方法を考えていきたい。

IAMの最新動向 ~第16回CSA勉強会

コメントをどうぞ

日本クラウドセキュリティアライアンス
業務執行理事 諸角昌宏

9月25日に行われた第16回CSA勉強会では、ID管理に焦点を当ててエクスジェンネットワークス株式会社 江川淳一氏と日本ビジネスシステムズ株式会社 宮川晃一氏に講演していただきました。非常にわかり易くまとまった内容で、最新のID管理の背景、状況、そして、今後の動向について説明していただきました。ここでは、その要点をピックアップして書いていくが、ID管理の奥の深さに対してうまく伝えられるかどうか、いささか心もとない。2週間後くらいに一般公開される本勉強会の資料をぜひご覧いただいて、理解を深めていただきたい。

  1. ID管理とクラウド
    クラウド利用の拡大に伴い、クラウド上に機密情報を置くことが増えている。そのため企業のセキュリティ・ポリシーも変化してきている。今までは、ファイアウォールの中でのポリシーであったが、クラウド利用により機密情報がファイアウォールの外に出ていることを前提としたポリシー設定およびセキュリティ対策が必要となる。このような状況においてID管理として必要となるのが連携(フェデレーション)技術で、機密情報の一部を社内(オンプレミス)に残してセキュリティを守り、必要最低限の情報のみをクラウドに移行するという方法である。ID管理としてIdP(Identity Provider)とRP(Relying Party)を置き、IdをIdPで一括管理していく。このIdPをオンプレミスに置くかあるいは信頼できるクラウド事業者に置くことで、ID情報の機密を守っていくことになる。
  2. プロビジョニングの必要性
    個人ベースであれば、ID情報の登録、変更は容易に行えるが、企業となると一括して事前登録や変更が行えることが必要になる。また、共有を必要とするシステム(スケジューリングや営業支援など)では、属性情報などを事前に配布しておくことが必要である。また、IDライフサイクル管理や内部統制対策としての統一したID管理としてプロビジョニングが必要になる。
  3. 認証基盤システム
    以上のように、企業としてはID管理の基盤を必要とする。その理由は以下の4点である:
    – ユーザ利便性の向上
    – 管理効率の向上
    – 管理品質の確保
    – セキュリティリスクの低減

    では、実際にどのような基盤を用意するかであるが、以下の3つの要素に基づいたシステムを構成する必要がある:
    – ID情報マスターDB
    – IDM(IDライフサイクル管理、フェデレーション)
    – SSO(シングルサインオン)

  4. IDaaS
    IDaaS(ID as a Service)は、SaaSに対するSSOを実現する専業のIDaaSのサービスとして展開されている。特に欧米では、社内のADとの双方向連携(オンプレ->IDaaS, IDaaS->オンプレ)を行い、ID管理を含めてSSOを実現している。 さて、問題はIDaaSが日本で普及するかということであるが、欧米と違いID管理のところをどのように実現するかという問題がある。日本では、人事が所有している源泉のID情報をもとにID管理を行う必要があり、全体的なワークフローあるいはCSVでのやり取りを含んだ日本型IDaaSが必要になる。EXGEN社では、extic(EXGEN Trusted Identity Service)により、この日本のエンタープライズクラウド市場で要求されるIDaaS構成への対応を進めているとのことである。
  5. 情報共有機会の増大に対する認証方式
    最後に、まったく違う企業間での情報共有(サブライチェーン、Industry4.0など)に対する認証をどのようにしていくかという問題がある。他社のIDまで管理することは実際には難しく、IDを発行することなしに認証を行うフェデレーション技術が重要になってくる。今まで述べてきたように、フェデレーションはクラウド環境では非常に有効なソリューションであるが、情報共有においても非常に有効である。簡単に言うと、IdPさえ立ててしまえば、それに基づいて認証し情報共有ができることになるからである。

以上のように、フェデレーションを中心としたID管理および認証基盤は今後益々重要になってくる。また、IDaaSの利用も拡大していくであろう。IDaaSについては、どのように信頼できるプロバイダを選定していくかが鍵になり、サービス契約をどうしていくか、また、リスクをどこまで取っていくことができるかを総合的に評価し利用していくことが必要である。

次に、JNSAのアイデンティティ管理WGの活動について、簡単に説明する。

まずWGの目的であるが、「アイデンティティ管理における、様々な課題をWG討議の中で検討し、必要性の啓蒙および導入指針の提示による普及促進、市場活性化を目的に活動している」ということで、クラウド環境での適用も含め非常に幅広く活動を行っている。メンバーも43名ということで、WGとしては多くの方が参加している。今までの成果物には、 「クラウド環境におけるアイデンティティ管理ガイドライン」という書籍を出版し、また、「エンタープライズロール管理解説書」をウエブページから公開している。

2015年として、6つのテーマを掲げており、特に「IDの融合と分離の課題検討」を進めている。また、「ID管理チェックリスト作成」を新たに開始している。これに対しては、CSAジャパンも協業しており、一緒に活動していきたい。

JNSAのアイデンティティ管理WGでは、非常に深い議論・検討が進められているので、興味のある人はぜひ参加して貢献していただきたい。

以上、この分野は非常に奥が深くまた変化も激しいので、CSAジャパンとしても継続して勉強会等を通して情報を発信していきたいと考えている。

IoTがもたらすさまざまな影響

コメントをどうぞ

日本クラウドセキュリティアライアンス
業務執行理事 諸角昌宏

IoTの活用がいろいろなところで語られているが、その実態はどうなのであろうか。IoTが、単なるバズワードで終わらないということは、5月に行われた「CSA Japan Summit 2015」において森川博之氏の講演でも触れられていた。森川氏によると、「データが集まれば、様々な産業が集まり、今までなかったもののデータが重要になり、これを扱うIoT自体が、産業セグメントを変えていく。特に、IoTが大きな影響を与える分野として、医療(医療に関しては、日本が世界で最大のデータを持っている)、土木系(地すべり対策としてセンサーを設置するなど)など、今までは経験と勘に頼っていたものに新たにデータが加わってくることで生産性の低い分野にチャンスを与えることになる」ということである(参照:CSAジャパンブログ)。産業セグメントを変えていくという新たな潮流をIoTが担うということで、1つの大きな変革になるということである。

9月18日に行われた「ID & IT Management Conference 2015」では、「IoT活用がもたらす産業・社会変革」というタイトルで東京大学先端科学技術研究センター特任教授 稲田修一 氏が講演を行ったが、新たなIoTの見方があって大変興味深かった。

稲田氏によると、まず、IoTの前にOT(Operational Technology)があるということである。OTは、企業間にまたがるバリューチェーンの最適化を図ることであり、いわゆるIndustry4.0の中核をなす考え方である。この最適化を行うには、企業間をまたがるデータ共有が必要であり、これがIoTにつながっていくということになる。さて、この企業間をまたがったデータ共有というものが日本でどのようになっているかというと、非常にお寒い状況のようである。まず、データの利用に対する考え方が間違っている。データは、ビジネスにおける課題の発見と解決のために使われなければならないところを、データをどのように活用するかというところに目が行っている。これは、多分に経営者の問題であり、データの利用を担当者に丸投げしているため、まったく新しいアイデアが出てこない。まさに、オペレーションとイノベーションの区別がついていない。まず、経営者が戦略・方針を示し、そのうえでデータを活用していくということが日本には求められるということである。

稲田氏は、もう1点、IoTが果たす役割について述べていた。それは、IoTが一般のインターネットと違い安全を必要とする点が重要であるということである。医療や自動車など、IoTが利用されるところでは、多くの部分で命に関わってくる。このような環境では、今までのソフトウエアのやり方を根本的に変える必要がある。バグが直接命に関わることになるので、今までのように利用者にバグ出しさせるとか、バグなのか仕様なのかがはっきりしない、はたまた、再現できないバグは修正できない(再現っていったい???)というようなことは許されなくなる。ソフトウエア関係者が良く使う「Best Effort」の対応などということは全く通用しない、保証「Guarantee」のある世界をIoTが作っていくことになる。つまり、IoTをきっかけにインターネットやソフトウエアの世界が大きく変わっていく可能性を秘めている。

IoTは、これからもさまざまな世界を切り開いていくことが期待できる。その中で、IoTをどのようにクラウドセキュリティに結び付けていくか。CSAジャパンのIoTワーキンググループでもいろいろと議論を進めているので、興味のある方はぜひご参加ください。

以上

クラウド環境での暗号化/鍵管理 - Salesforce.comのアプローチ

コメントをどうぞ

日本クラウドセキュリティアライアンス
業務執行理事 諸角昌宏

クラウド環境では、データの転送時、データの保存時にデータを暗号化することがクラウドセキュリティのための推奨事項になっていて、CSAのガイダンスでも推奨されている。暗号化せずにクラウドに置かれているデータは、公開されているデータと見做される場合もある。また、暗号化と対になるのが暗号鍵の管理になる。暗号鍵を適切に管理/保管することも非常に重要になる。クラウド環境における鍵の管理について、CSAのガイダンスではユーザ側で管理することを強く推奨している。これは、プロバイダが鍵管理を行った場合に、鍵が漏れてしまうことによるデータ漏洩や、プロバイダの管理者が鍵を不正使用することによるデータ漏洩の危険を避けるためである。しかしながら、IaaSではユーザが鍵管理を行うことができる可能性が高いが、PaaS/SaaSにおいてはユーザが鍵管理を行うことは難しくなる。クラウド上のアプリケーションがデータを処理するためには、暗号化されたデータを復号する必要があり、そのための鍵が必要になるからである。このような状況では、プロバイダ側の鍵管理の状況を明確に把握し、必要に応じて強固な鍵管理を要請することが必要になってくる。

このような状況の中で、この問題を解決する可能性のある方法をSalesForce.comがリリースしたので、これについて紹介する。

SalesForce.comは、SalesForce Shieldという名前で、提供するクラウド環境のセキュリティを強化したソリューションを出してきている。SalesForce Shieldは、以下の3つの機能からなっている:

  • Event Monitoring
  • Field Audit Trail
  • Platform Encryption

この中で、暗号化/鍵管理にあたるところが、Platform Encryptionになる。なお、Platform Encryptionの特徴は以下になるようである:

  • データ保存時の暗号化(encrypted at rest)
  • 法律/コンプライアンスへの対応
  • 追加のハードウエア不要
  • 鍵のライフサイクル全般に渡っての管理
  • 鍵管理を完全にユーザがコントロール可能

さて、Platform Encryptionでは、どのようにして鍵をユーザがコントロールできるようになっているのだろうか?詳細は、ホワイトペーパーが以下のURLで公開されているので、一読いただければと思う(ダウンロードするには、登録が必要になる)。

https://www.salesforce.com/assets/pdf/misc/Platform_Encryption_Architecture_White_Paper.pdf

ここでは、その概要について記述する。

SalesForce.comでは、いわゆるSplit KeyあるいはKey Segmentationという方法を用いて実現している。これは、暗号鍵をどこかに保存しておく代わりに、論理的あるいは物理的に分離されたHSM (Hardware Security Module)からオンデマンドで引き出す形をとっている。ここでは、SalesFormce.com側が管理する鍵(master secret)とユーザ側が管理する(tenant secret)という2つの鍵を用いる。master secretは、SalesForce.com固有のHSMから作成され、SalesForce.comの内部システムに安全に保管される。また、ユーザ用に作成されるtenant secretは、ユーザがオンデマンドで作成し、ユーザのデータベースに保管する。これらの2つの鍵を用いて、初めて暗号鍵を引き出して使用できるようになる。したがって、暗号鍵がどこかに保存されるという必要もなくなるし、ユーザ側でtenant secretを完全にコントロールし、作成、削除等が行えるようになる。これにより、SaaS環境でのユーザ側での鍵管理を、実質的に実現できるようになっている。

鍵管理は、CCM(Cloud Control Matrix)のEKM-04において「鍵は(当該クラウドプロバイダの)クラウド内に保管するのではなく、クラウドの利用者または信頼できる鍵管理プロバイダが保管しなければならない。」と言っており、プロバイダではなく利用者あるいは信頼できる鍵管理プロバイダが保管することを推奨している。このような状況の中で、特定の鍵の保管なしに利用者が管理できることを実現していることは、今後注視していきたい。

以上

 

CASB (Cloud Access Security Broker)概要、ケーススタディー(第14回CSA勉強会)

コメントをどうぞ

CASB (Cloud Access Security Broker)概要、ケーススタディー(第14回CSA勉強会)

日本クラウドセキュリティアライアンス
諸角 昌宏

7月28日に行われた第14回CSA勉強会について報告します。テーマは、「CASB (Cloud Access Security Broker)概要、ケーススタディー」ということでした。クラウドセキュリティの新たな潮流であるCASBは、あらゆるクラウドサービスの安全な利用のためのテクノロジになります。今回、日本で真っ先にCASBソリューションを展開しているマクニカネットワークスさんのみなさまに、CASBとはなにか、どのように使われるものかについて、デモを交えて説明していただきました。

まず、ブローカーという言葉とクラウドセキュリティをどのように結び付けているのか、というのがCASBという言葉を最初に聞いた時の感覚でした。ユーザの代理でクラウドセキュリティを担保してくれるようなサービスであれば、それは望ましいことですが、果たしてそんなことが可能なのでしょうか。もし、サービスを使っている状況でセキュリティ侵害が発生したら、保証問題になってしまうのでしょうか。ということで、あまりビジネスモデルが思いつかない状況で今回の勉強会を聞きました。

さて、クラウドの利用者は、どのような基準でプロバイダやクラウドサービスを選べばよいのでしょうか。CSAのガイダンスでも言っているように、基本はプロバイダとの契約にどこまで要件等を落とし込めるかになります。しかしながら、プロバイダが提供している情報でどこまでプロバイダを選定することができるか、また、クラウドの場合、サービス自体がサプライチェーンとなっている場合も多く、それらを含めてすべて理解することはほぼ不可能です。そのように考えていくと、CASBが徐々に見えてきます。CASBは、最初にガートナーが定義したところによると、「1つ以上のクラウドベースサービス全体で、単一のポリシーを適用できる」とのことです。要は、クラウドサービス(群)とユーザの間にアクセスポイントを提供し、そこでセキュリティポリシーを強化していく技術であるということになります。特に、シャドーITのように、利用者側で使われているクラウドサービスがコントロールできないような環境において、CASBが仲介することでコントロールを可能にするテクノロジになります。

CASBは、ガートナーの予想では、今年の市場規模が$100M、2018年には$400Mに達するということで、既に10社を超えるCASBベンダーが存在しているようで、この3年間で最も注目されるテクノロジとのことです。また、別のデータとして、1企業が利用しているSaaSアプリケーションの平均が1.083個であるとのことです。これは、シャドーITを含めた数字になりますが、相当数のSaaSアプリが既に使われていることがわかります。
さて、CASBですが、以下の4つの柱からできています:

  1. 可視化
  2. コンプライアンス
  3. データセキュリティ
  4. 脅威防御

この4つの柱を見ていくと、CASBの活用事例が見えてきます。まず、クラウド利用の現状を把握します。いわゆるシャドーITの実態を可視化により把握できるようにします。次に、クラウドサービスを管理された状態にします。これにより、コンプライアンス要件を満たしていくようにします。また、既存のテクノロジ(DLP等)と連携し、データ保護、脅威防御を実現し、オフプレミスでのデータ活用を促進できるようにします。最後に、クラウドサービスのライフサイクル全体を支援することで、ビジネスの俊敏性を実現していくことになります。

勉強会では、さらにSkyHighのデモを交えて、具体的にCASBでどのようなことができるかを説明していただきました。2つのIT(シャドーITと許可されたIT(sanctioned IT))で、どのようにCASBが利用されるかというデモでした。

  1. シャドーIT
    シャドーITに対しては、CASBの持つ可視化機能によって、すべてのクラウド利用状況を把握することができるようになります。また、クラウドサービスのリスク判定を行い、リスクアセスメントポイントを設定しています。これは、SkyHighがCSAのCCMをベースに独自に調査を行ったもので、既に4,000以上のSaaSアプリケーションが登録されています。ユーザは、このポイントを基にリスクを判断し利用するかどうかを決定することができます。
  2. 許可されたIT
    ログ等を集め解析を行います。これにより、監査証跡、ポリシーの強化、コンプライアンス対応等を行うことができます。また、イベントに基づく検知や脅威防御を、DLP製品等と連携して行うことができます。

以上のように、クラウド利用において問題となるセキュリティ対策を、利用者とクラウドサービスの間に立って行うことができるということから、今後、期待されるテクノロジということができます。解決しなければならない問題、たとえば、CASB自体が単一障害点になったり、ボトルネックになったりする可能性や、モバイルを用いた外部ネットワークからのアクセスの対処などが考えられるようですが、解決が難しい問題ではないと考えられます。

最後に余談ですが、CASBとタイプしようとして、CSABとタイプしてしまうことが結構あり、職業病かなと思うところもあります。CSAB(CSA Broker)なんて存在が必要にならないよう、CSAも地に足を付けて頑張らなければと思います。

以上、概略ですが、勉強会の報告といたします。

以上

 

SDPと2015年度データ漏洩/侵害調査報告書の報告(第13回CSA勉強会)

コメントをどうぞ

SDPと2015年度データ漏洩/侵害調査報告書の報告(第13回CSA勉強会)

2015年7月1日
日本クラウドセキュリティアライアンス 諸角昌宏

6月29日に行われた第13回CSA勉強会について報告します。テーマは、「SDPと2015年度データ漏洩/侵害調査報告書」ということで、ベライゾンジャパンの皆様に講師をやっていただきました。SDPは、Software Defined Perimeterということで、5月のCSA Summit Japan 2015でJim Reavisが触れていたクラウドセキュリティの新しい潮流の1つです。ベライゾンは、SDP仕様書V1.0の作成を中心となって行っており、SDPに関しては事例も含めて先進的に進めている会社になります。また、ベライゾンはセキュリティの調査レポートを毎年出しており、今回は8回目として”2015 DATA BREACH INVESTIGATIONS REPORT”を公開しています。

それでは、まずSDPについて勉強会の内容を報告します。

そもそもSDPとは?ということですが、”Temporal Network”ということで「一時的なネットワーク」という表現をされています。つまり、伝統的な固定ネットワークではなく、ダイナミックに接続先が決まることで攻撃のターゲットが明確にならないようにして守っていくという手法になっています。個人的には別のスライドで使われていた” Secure Non Discoverable Network”、つまりデバイスやIDが認証されるまでネットワーク上で見ることができないという表現の方がわかり易い感じがしますが、いずれにしろ、サーバのどこにアクセスするかは認証して接続するまで決まらないことでネットワーク上のセキュリティを保つためのアーキテクチャということになります。以下のような特徴を持っています。

  • ネットワークベースの攻撃からアプリケーションを守るためのセキュリティ・フレームワーク
  • “Need-To-Know”という形で、ダイナミックなネットワーク構築に基づいた「必要な時」に接続するモデル
  • DNSやIPアドレスをあらかじめ見せない

また、SDPは既存の標準に基づいて設計されているため、非常に安定したものであるということが言えます。また、CSAがオープンスタンダードとして使用を公開しているため、誰でも利用することができます。

さて、実際にSDPがどのように動作するかということですが、簡単に言うと以下の流れになります:

  1. デバイス(ブラウザなど)から、SDP Controllerにアクセス
  2. デバイスの認証を実施
  3. ユーザ認証および使用するアプリケーションの認可を確認
  4. アプリケーション・サーバをダイナミックにプロビジョニング
  5. デバイスがアプリケーションを利用

勉強会では、SDPを用いたいくつかの事例について紹介されました。また、CSA Conferenceで行われたハッカソンについての説明もあり、世界中からの150億アタックに対して、一度も破られなかったということでした。また、勉強会参加者から、SDPのユーザーズガイドやインプリメンテーションガイドが欲しいという意見、SDP Controllerでのポリシー管理に対する質問等が出され、活発なディスカッションになりました。今後、CSAジャパンを中心として幅広い情報共有や実装に向けての議論を進めることが必要であることを感じました。

次に、2015年度データ漏洩/侵害調査報告書について報告します。

まず、ベライゾンが強調していたのは、実際のデータに基づいたレポートとなっている点です。一般的に、このようなレポートはアンケート結果に基づくものがほとんどで、データに基づいた調査結果であり非常に信頼性が高いということができるようです。2015年の情報漏洩データとして、2,122件の漏洩事故および79,790件のセキュリティインシデントを分析したとのことで、特に今回はJPCERTのデータとして日本でのデータを含めたレポートとなっているとのことです。

この中で、いくつか特徴的な点として感じた点を以下にあげます。

  • フィッシングメールへの対応フィッシングメールの添付ファイルをクリックする確率が11%ということで、10通送れば1通は開かれるという状況とのことで、攻撃者から見ると非常に効率的な攻め方のようです。対策として最も重要なのはトレーニングで、セキュリティ対策では人が最終的な検知装置であることを認識する必要があるとのことです。
  • 脆弱性脆弱性を突いた攻撃の97%は、わずか10個の脆弱性に対する攻撃だそうです。さらに、攻撃の99.9%が、CVEの公表から1年以上経過したものだそうです。脆弱性に関する情報をきちんと入手および管理することと、パッチ適用などの伝統的な対策をきちんと行うことが重要になります。
  • 情報漏洩情報漏洩の原因として、Webアプリケーションを狙った攻撃はかなり少なくなっていて、反対に人をターゲットにした攻撃が増えていて、全体の90%以上を占めているとのことです。
  • 業界業界別では、製造業、小売業に対する攻撃が目立っているとのことです。また、教育機関への攻撃も多いとのことです。

その他、実際のデータに基づく非常に詳細な分析が行われています。このレポートの日本語版も近々公開されるとのことですので、期待したいと思います。

以上、非常に概略になりますが、勉強会の報告といたします。

CSA Summit @サンフランシスコ の報告(第12回CSA勉強会)

コメントをどうぞ

2015年5月28日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

5月26日に行われた第12回CSA勉強会について書きます。テーマは、「CSA Summit報告会」ということで、4月にサンフランシスコで行われたCSA Summitの内容を笹原英司氏に説明していただいた。Summit Japanが開かれたのが5月で、時系列的に逆になってしまったが、大変興味深い内容であった。

まず、大きなトピックとして、以下の3つであった。

  • SDP(Software Defined Perimeter)
  • STAR Watch
  • ワーキンググループの報告
    SDPは、Summit中に3回目のハッカソンが行われ、安全な環境を提供するアーキテクチャとして、着実に進んでいるようである。STAR Watchは、STARのSaaS版であり、ベータ版の公開を開始している。また、CSAの活動の中心であるワーキンググループについては、各グループから詳細な報告があった。

さて、CSAの活動の特徴として今回目立ったのは、米国とEUの協調の橋渡しとしてCSAが寄与してきているということであった。つまり、グローバルな標準化に向けて、CSAが大きな役割を担ってきているということである。典型的なのは、スノーデン事件の影響で、米国とEUの関係がぎくしゃくしている状態で、その間を取り持つ形でCSAが機能しているということである。CSAヨーロッパがEUと米国の合意形成に寄与することで、国に対する影響力も強めているということである。また、中国では、中国政府の認証機関CEPREIと共同でSTAR認証の中国版を作成している。これは、6月中には発表される予定で、米国、EU、中国という主要市場でSTAR認証の制度が確立することになる。

また、クラウドセキュリティの世界では、今まではGoogle, AWS等のビッグプレーヤーがセキュリティの標準というものを作っていたが、最近の傾向としては、プラットフォーム上で新しいセキュリティを作っていく新しい企業やベンチャー企業が進出してきているということである。いわゆる、クラウドブローカの流れで、新興企業による新しい産業の創出(Open-Innovation)が起こっているということである。日本でも、FinTechを中心に新しい企業を支援する動きがあり、これが新たな潮流になってきているとのことである。笹原氏によると、ITの定義自体が、Information TechnologyからInnovation Technologyに代わってきているというなかなか面白い表現で、これはもしかするとヒットする用語になるかもしれないと思われた。また、笹原氏はセキュリティに対する今後の日本のかかわり方として、以下の2つのアプローチがあることを強調されていた。

  • 安全を担保するための情報共有を積極的に行っていくこと
  •  Innovationを起こして、産業を創出していくこと

その他、各ワーキンググループからの報告で特に印象に残ったのは以下の点である。

  1. STAR WG
    先ほども触れたSTARWatchがアナウンスされた。STAR認証をSaaS型で実現するもので、EXCELを埋めていく従来のやり方から一歩進んだ形になっている。日本側でも、この運用をどうするかを早急に検討する必要がある。ベータ版が公開されていることから、検討を開始したい。
    また、STARへの新たなマッピングとして、FedRAMP、27018、NIST Cyber Security Frameworkが追加されることになっている。
  2. IoT WG
    モバイルワーキンググループから独立して、活動を開始していて、CSAジャパンの活動もグローバルから評価されている。新しいドキュメントとして、”New Security Guidance for Early Adopter of the IoT”がリリースされている。IoT WGの最終的なターゲットは、企業向けIoTのセキュリティであり、特にプライバシーの保護をどのように進めるかが今後の研究テーマとなっているようである。
  3. CISC(Cyber Incident Sharing Center)
    これは、以前CloudCERTと呼ばれていたものある。ホワイトハウスが進めている情報共有の動きに合わせて活動を行っている。CSAの役割としては、民間、政府などと違ってニュートラルなポジションにいることを生かして、情報を集めるときに発生する利害関係をCSAが間に入ることで円滑に進めていくということである。
    CISCは、日本企業、特に米国の日系企業にはインパクトが大きく、米国の情報をどのように本国で対応していくかなど、法的な問題も含めて見ていく必要がある。

以上、CSA Summitの報告を簡単にまとめてみた。グローバルという観点で見た場合のCSAの重要度が感じられる内容で、CSAジャパンとしてもさらに活動を活発化していく必要があることを強く感じた。

 

CSA Japan Summit 2015 を終えて

コメントをどうぞ

2015年5月25日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

CSA Japan Summit 2015が、5月20日に開催された。今後のクラウドおよびクラウドセキュリティの動向をグローバルの視点を含めて聞くことのできた講演であった。

さて、全体を通じてまず感じたことは、クラウドに対する見方が大きく変わってきているということである。つまり、「クラウドを使っても大丈夫か」ではなく、「クラウドをどのようにビジネスに活用するか」というように変化していることである。以前のCSA勉強会で渥美俊英氏が述べていたように、もはやクラウドを技術的に考えるのではなくビジネス的に考えなければいけなくなっている。また、クラウドを使わずには、企業が生き残っていくことができないという段階に来ているということを改めて感じた。今回のCSA Japan Summit 2015は、クラウドを支えるべく技術的な動向、IoT等の新たな動向、金融機関における業務のクラウド化の紹介、また、法律の観点からの考察ということで幅広くこのクラウドに対する見方の変化についてカバーしていた。

以下、私なりに3つのポイントで今回のSummitをまとめてみる。

  1. クラウドの利用を支える新しい技術
    企業がクラウドを使っていく場合、もはや、「パブリックは危険」で「プライベートは高価」という概念を取り払う段階に来ているようである。パブリッククラウド環境にプライベートクラウドを構築するバーチャルプライベートクラウドを用いて、如何に安全にクラウドに移行するかを考えていくことが重要である。ソニー銀行の大久保光伸氏の講演では、銀行業務のかなりの部分をAWS VPCに移行させた事例を紹介していた。信頼が非常に重要な銀行業務においてクラウド化を実現した理由は、限られたIT予算内で「固定的ITコスト」を減らし「戦略的ITコスト」に振り向けることとのことであった。以前からクラウドに移行するメリットとして挙げられている理由ではあるが、銀行という業種の言葉として非常に重みを感じる。AWS VPCが信頼できるプラットフォームとして選ばれた理由は、ISO27001とFISCの安全対策基準に準拠しているということであった。どのような形でプロバイダを選定するかについて、吉井和明氏の講演では、「利用者側で、事業者側を管理することや責任を取ることはかなり難しい。利用者側ができることは、リスク軽減の考え方に基づいてクラウドの選択を行うことが重要である。経産省/金融庁等のガイドラインやCSA STARなどを使ってプロバイダの能力を判断することが最良の策である。」とのことであった。このように、バーチャルプライベートクラウドを積極的に利用していくこと、またそのためのセキュリティ対策をきちんと行うことが今後のビジネスにおいて重要になると思われる。
  2. クラウドセキュリティを支える新たなソリューション
    Jim Reavis氏の講演では、CSAにおいて以下の技術をもってバーチャルプライベートクラウドのセキュリティの研究を進め、安全なクラウドに向けての活動を行っているとのことであった:

    • 暗号化と鍵管理バーチャルプライベートクラウドにおいては、データおよび通信の暗号化は非常に重要である。CSAのSecurity as a Serviceワーキンググループでは、クラウドのセキュリティの研究において、特にこの分野にフォーカスしている。
    • CASB: Cloud Access Security Broker クラウドアクセスセキュリティブローカ (クラウドへの安全なアクセスを提供する業者) 。クラウドプロバイダのセキュリティ対策を補完し、利用者が必要とするクラウドセキュリティ対策をまさに代行して行うもので、非常に有効なクラウドのセキュリティ対策になる。
    • 仮想化バーチャルプライベートクラウドは、基本的に仮想化環境で動くことになる。仮想化のセキュリティに関しては、ガイダンスで扱っている内容であり、引き続き研究を進めていく。また、新たなコンテナ技術(Dockerなど)に対するセキュリティの研究も進めている。
    • SDP(Software Defined Perimeter) SDPは、認証ができるまでネットワークを非公開に保つことができ、ネットワークの高い安全性と信頼性を構築できるアーキテクチャとなっている。現在は、パイロットやユースケースの拡大の段階ではあるが、実用化に向けての研究を進めている。

      そのほか、プロバイダの認証としてのSTARプログラムを展開しプロバイダのレベルの透明性や認証を進め、利用者が安全なプロバイダを選定できる体制を整えている。また、利用者のリテラシーの向上に向け、クラウドの認定資格のCCSKを進めている。

      また、クラウドで重要となるID管理をSaaS化するIDaaSについて、江川淳一氏からお話があった。IDaaS自体は、4~5年前から米国で増えてきたサービスで、ID情報マスタをIDaaSで管理する。クラウドを利用する場合、オンプレミスよりID管理が面倒になる。また、利用者もクラウド事業者もどちらもID情報は預かりたくないというのが本音である。そうであれば、ID管理を専門に行っていて、信頼できるサービスを利用するというのが、セキュリティの観点からも有用になってくる。もちろん、IDaaS事業者には厳格なリスク評価が要求されるが、サプライチェーンをコントロールできる点を考えてみても有用なサービスになってくると思われる。

      もう1つ、夏目道生氏からはシャドーIT対策として、現状(利用状況)の把握、モニタリング、リスク評価、アナライズ、セキュリティ対策というサイクルでの対応が必要となるというお話があった。それを実現する製品としてSkyHighが紹介されていた。SkyHighは、Jim Reavis氏の講演でフォーカスされていたCSABを提供しており、クラウド環境での新たなセキュリティ対策として注目していきたい。バーチャルプライベートクラウドにより、機密性の高い業務をクラウド化することが十分現実味をおびてきている。一方、クラウドに対するセキュリティ技術自体も進化している。アンテナを高く張って、クラウドを安全に使う技術を習得し続ける必要がある。

  3. IoTの動向とセキュリティ
    今回のSummitにおけるメインテーマの1つがIoTであった。IoTは、最近流行りのバズワードと思われる点もあるが、森川博之氏によると、バズワードでは終わらないということであった。それは、データが集まれば、様々な産業が集まり、今までなかったもののデータが重要になり、これを扱うIoT自体が、産業セグメントを変えていくということである。特に、IoTが大きな影響を与える分野として、医療(医療に関しては、日本が世界で最大のデータを持っている)、土木系(地すべり対策としてセンサーを設置するなど)など、今までは経験と勘に頼っていたものに新たにデータが加わってくることで生産性の低い分野にチャンスを与えることになるということである。講演タイトルの「未来を創るIoT」において必要とされることについては、「フィールド志向」と「デザイン能力」とのことであった。IoTで最も重要なのはユーザ企業。現場で使っているものを理解する必要がある。自分で飛び込んでいって解決させていく「フィールド志向」が必要になる。また、従来必要とされた能力である「考える、試す」に対して、これから必要とされる能力は、「気づく(柔軟な発想)、伝える(説明の仕方によりインパクトが違ってくる)」ということで、この「デザイン能力」を意識的に磨いていくことが重要とのことである。

    また、IoTのセキュリティについて研究を行っている二木真明氏は、いろいろなデバイスがシステムとして動くようになった場合のシステムとしてのリスクとして、システム全体として障害を起こした場合の方がクリティカルになると述べていた。そのため、CSAジャパン IoTクラウドWGでは、システムの中のサービスにフォーカスして活動しているとのことである。このような状況でのセキュリティ対策として、サービス事業者はリスク評価を正しく行い、セキュリティ対策を講じることが必要ということであった。

    IoTについては、Jim Reavis氏も触れていたように、CSAとしても重要なテーマの1つとして研究を進めていくということであった。

最後に、クラウドセキュリティには直接関係しないが、飯塚久夫氏のTelecom-ISACの話は興味深かった。詳細には触れないが、「受動的な無責任を改めよ!大事なのは安全の確保であって、安心の確保ではない。日本では、自己の確立ではなく自我の確立に走っていた。また、安全・安心は誰かが与えてくれるという観念があり、リスク対応が不得手である。」ということで、リスク文化の転換が必要であるということを強調されていた。

クラウドセキュリティについて語ると、どうしてもクラウドにおけるリスク中心の話になりがちである。結果、利用者から「クラウドはやっぱり危険なんですね」という意見をいただくことが多い。クラウドセキュリティに関わるものとして、リスクを正しく伝えることは重要であるが、クラウドを安全に使うためのガイドをもっと出していかなければならない。うまく使えば、クラウドの方がセキュリティレベルは高いはずである。

その他、盛りだくさんだったSummitの内容については、後日公開される資料集を参照してください。