タグ別アーカイブ: セキュリティ

SaaS環境のクラウドセキュリティについて ~第18回CSA勉強会

日本クラウドセキュリティアライアンス 業務執行理事
諸角 昌宏

12月16日に行われた第18回CSA勉強会では、SaaS環境のクラウドセキュリティについてということで、セールスフォース・ドットコムの高橋悟史氏に講演していただいた。関心の高いテーマということで、多数の申込者があり、また、質疑も活発に行われて有意義な勉強会になった。また、SaaSだけではなくPaaSにも焦点を当てたクラウドセキュリティということで、非常に幅広くカバーしていただいた。

ここでは、大きく4つの点(プラットフォームセキュリティ、信頼性、セキュリティ管理機能、透明性)で勉強会の概要を説明する。

  1. プラットフォームセキュリティ
    セールスフォース・ドットコムでは、インフラ、ネットワーク、アプリケーションのすべての層においてセキュリティ対策を施している。インフラ、ネットワークでは、セールスフォース・ドットコムがセキュリティ対応をできるように24時間365日で管理を行っている。
    アプリケーションにおいては、シングルコードによる高い品質を維持し常に最新のものを使用することでセキュリティレベルを高めている。
    また、信頼を確保するために、年間数千億円の投資を行っており、外部の監査も定期的に受けている。
  2. 信頼性
    セールスフォース・ドットコムが一番強調しているのは信頼性である。稼働率はともかく、今まで一度もセキュリティ侵害を受けたことがないということはすごいことである。
    また、データのミラーリングやグローバルのデータセンターを用いたバックアップサイトを運用することでデータの可用性を高めている。
    バックアップサイトを日本に作る計画も進んでおり、これにより法域の問題やデータセンターへの立ち入り監査の問題に対応できるようになる。
    さらに、大規模マルチテナントであることから、作業できる要員の集中化を実現している。データセンターの運用に携われるのは信頼のおける人間のみとしており、プロバイダの人的な問題にも対応している。
  3. セキュリティ管理機能
    二要素認証、シングルサインオン(SAML2.0およびOpenID Connectに対応)、および、IDプロビジョニングによるID管理の安全化を行っている。
    データの暗号化については、鍵管理がサーバ側になっているが、SalesForce Shieldというオプションの暗号化機能を使うとサーバ内に鍵を保存することなく、必要なときにのみ鍵が生成されることになる。クラウドにおける鍵管理の原則は、利用者側で鍵を管理することであるが、それを実現するための1つの方法となっている。また、HSMによる厳重な鍵管理も行われており、非常に高度な暗号化と鍵管理を実現している。
    マルチテナントデータベースのセキュリティ対策として、テナント(利用者)ごとのテーブル構造が分からないようにしている。これは、メタデータによりテナントごとのマッピングを行うことで、自分のデータは自分しか見えないようにしている。これにより、データベース管理者がテーブルごとデータを抜き出したとしてもデータが漏洩することにならないようなセキュリティ対策が施されている。
    ネットワークについては、TLS1.2+AES256に対応した安全な通信を行っている。また、PCIDSS 3.1へのコンプライアンスとして、来年にはTLS1.0の接続をシャットアウトする予定とのことである。これは、利用者によっては問題になる場合もあるが、より安全なネットワーク環境の提供を行うということで進めている。
    データセンターの運用として、データセンター内にサーバにログイン可能な環境はなく、すべてリモートで運用を行っている。これにより、データセンター内で問題が起こらないように対策を取っている。また、データベースまでアクセスできる要員は少数の従業員のみとしている。
    さらに、社内にEthical Hackingチーム(redチームと呼ばれる)があり、ハッキングおよびペネトレーションの調査等を行っている。これは、独立した組織として活動しており、問題を見つけた場合にはすぐに対応を指示できるようにしている。
  4. 透明性
    http://trust.salesforce.comというウエブページに情報を公開し、稼働状況やメンテナンスのスケジュール等を公開し顧客が見える形で情報を提供している。また、もし顧客から要請があれば包み隠さず情報を提供する体制になっている。また、レギュレーションについても、要請があれば提供できる体制になっている。
    バージョンアップなどについては、顧客に事前情報提供を徹底し、できるだけ顧客に影響が出ないようにしている。

セールスフォース・ドットコムのセキュリティということで、非常に深く対策が取られていることがわかった。その上で、透明性を高めて利用者に対する説明責任を果たしている。このように、クラウドプロバイダとしての方向性を決めていくようなセキュリティ対策となっていると思われる。

CSAのガイダンスで述べているように、IaaSと違いSaaS/PaaSに関しては、プロバイダのセキュリティ対策に依存しなければならないところが多い。しかしながら、説明責任は利用者側に残る(セキュリティ対策はプロバイダ側に移動したとしても説明責任は利用者側に残る)ことに基づき、利用者のリスク管理の一部としてプロバイダのセキュリティレベルをきちんと確認しておくことが重要になる。セールスフォース・ドットコムのセキュリティ対策は、プロバイダが行うべきセキュリティ対策として、利用者が確認しておくべきことの指針になるものと思われる。

なお、勉強会の資料は2週間後を目途に一般公開される予定なので、詳細についてはそちらを参照してください。

CSA Japan Congress 2015 盛況裡に閉幕

一般社団法人日本クラウドセキュリティアライアンス 業務執行理事
勝見 勉

11月18日(水)、日本でのCongressとしては2回目の開催となるCSA Japan Congress 2015が開催されました。朝から空模様があやしく、午後からは雨になった中、140人の多数にご参加いただきました。運営スタッフ、講演者、プレス関係などを入れると170名を超え、ほぼ会場キャパシティ一杯になるという盛況でした。

今回の「目玉」は日本情報経済推進協会(JIPDEC)・情報セキュリティマネジメントセンター、高取敏夫参事による特別招待講演「ISMSをベースにしたクラウドセキュリティ~ISO27017の最新動向」です。クラウドに特化した初めての国際標準規格であるISO/IEC27017の正式リリースがもう間もなく、という時期に、この27017に基づく、ISMSのクラウド情報セキュリティに関するアドオン認証の創設という話題を中心にお話し頂きました。このクラウドセキュリティアドオン認証は、11月16日にJIPDECから発表されたばかりの、湯気がホカホカ立っているような情報で、世界に先駆けてクラウドのISMS認証を制度化するという画期的なものでした。受講者の多くもこの解説を目当てに参加されたものと思われます。27017そのものが日本の提案を基に日本主導で開発が進められたという意味でも、ISO/IECベースの国際標準化の歴史の中では画期的なことでした。クラウドサービスの開発では世界をリード、と言えない日本も、クラウドの最大の関心事であるセキュリティに関しては世界をリードする立場に立っていると言えます。その意味で世界最先端・最新の情報に接することができて、聴衆の皆様共々、感慨深いものがありました。

Japan Congress 2015のもう一つのテーマは、新しいクラウドセキュリティ技術でした。中でも特別テーマ講演にお招きしたヤフー株式会社上席研究員の五味秀仁氏からは、「FIDO-次世代認証方式とクラウド」というタイトルで、クラウドにおけるユーザ認証に親和性の高い、パスワードレスの認証スキームであるFIDO(Fast IDentity Online)について紹介と解説を頂きました。この他にスポンサー講演、ゲスト講演、パネルディスカッション等を通じて取り上げられた新しい技術トピックとしては、CASB(Cloud Access Security Broker)、SDP(Software Defined Perimeter)、コンテナ、トランスペアレントな暗号化、27018(クラウドにおける個人情報保護)が挙げられます。

クラウドはコンピューティングプラットフォームとして広く定着する方向を見せています。昨今のサイバーセキュリティ脅威や情報漏えいに対する管理・防御を考える時、専門家により安定的・トラブルレスの運転が期待でき、セキュリティ管理も充実しているクラウド環境は、ITに多くの予算と人材を割けない中小企業こそ、積極的に活用すべき社会的リソースと言えます。そしてそのセキュリティは、技術面からも、マネジメントシステムの面からも、ますます充実していくことが期待できます。今回のCongressは、こういった流れを明確に打ち出し、理解を深めるとともに、そのための最新トピックを盛りだくさんに提供する素晴らしい機会になったと言えると思います。

更に付け加えるならば、冒頭の日本クラウドセキュリティアライアンス会長・吉田眞東大名誉教授のご挨拶では、春に開催するSummitが発信の場と位置付けられるとすれば、秋に開催するCongressは「クラウドのセキュリティについて多面的に取り上げ、最新の情報を提供し、クラウドとセキュリティのベンダ、サービスプロバイダ、インテグレータ、ユーザ、関係機関が一堂に会し、クラウドを取り巻くセキュリティ課題を議論する 」場である、と整理されました。多士済々のスピーカと、パネルも含むプログラム構成はこれを十全に体現したと言え、充実した一日を、多くの関心高い人たちと共有できたと思います。

おわりに、最後まで熱心に聴講いただいた受講者の皆さまと、設営・運営スタッフ、そしてたいへんバリューの高いプレゼンを頂いた講演者の皆さまに、この場をお借りして感謝の意を表して、Congressレポートのブログのまとめにしたいと思います。どうもありがとうございました。

 

IoTがもたらすさまざまな影響

日本クラウドセキュリティアライアンス
業務執行理事 諸角昌宏

IoTの活用がいろいろなところで語られているが、その実態はどうなのであろうか。IoTが、単なるバズワードで終わらないということは、5月に行われた「CSA Japan Summit 2015」において森川博之氏の講演でも触れられていた。森川氏によると、「データが集まれば、様々な産業が集まり、今までなかったもののデータが重要になり、これを扱うIoT自体が、産業セグメントを変えていく。特に、IoTが大きな影響を与える分野として、医療(医療に関しては、日本が世界で最大のデータを持っている)、土木系(地すべり対策としてセンサーを設置するなど)など、今までは経験と勘に頼っていたものに新たにデータが加わってくることで生産性の低い分野にチャンスを与えることになる」ということである(参照:CSAジャパンブログ)。産業セグメントを変えていくという新たな潮流をIoTが担うということで、1つの大きな変革になるということである。

9月18日に行われた「ID & IT Management Conference 2015」では、「IoT活用がもたらす産業・社会変革」というタイトルで東京大学先端科学技術研究センター特任教授 稲田修一 氏が講演を行ったが、新たなIoTの見方があって大変興味深かった。

稲田氏によると、まず、IoTの前にOT(Operational Technology)があるということである。OTは、企業間にまたがるバリューチェーンの最適化を図ることであり、いわゆるIndustry4.0の中核をなす考え方である。この最適化を行うには、企業間をまたがるデータ共有が必要であり、これがIoTにつながっていくということになる。さて、この企業間をまたがったデータ共有というものが日本でどのようになっているかというと、非常にお寒い状況のようである。まず、データの利用に対する考え方が間違っている。データは、ビジネスにおける課題の発見と解決のために使われなければならないところを、データをどのように活用するかというところに目が行っている。これは、多分に経営者の問題であり、データの利用を担当者に丸投げしているため、まったく新しいアイデアが出てこない。まさに、オペレーションとイノベーションの区別がついていない。まず、経営者が戦略・方針を示し、そのうえでデータを活用していくということが日本には求められるということである。

稲田氏は、もう1点、IoTが果たす役割について述べていた。それは、IoTが一般のインターネットと違い安全を必要とする点が重要であるということである。医療や自動車など、IoTが利用されるところでは、多くの部分で命に関わってくる。このような環境では、今までのソフトウエアのやり方を根本的に変える必要がある。バグが直接命に関わることになるので、今までのように利用者にバグ出しさせるとか、バグなのか仕様なのかがはっきりしない、はたまた、再現できないバグは修正できない(再現っていったい???)というようなことは許されなくなる。ソフトウエア関係者が良く使う「Best Effort」の対応などということは全く通用しない、保証「Guarantee」のある世界をIoTが作っていくことになる。つまり、IoTをきっかけにインターネットやソフトウエアの世界が大きく変わっていく可能性を秘めている。

IoTは、これからもさまざまな世界を切り開いていくことが期待できる。その中で、IoTをどのようにクラウドセキュリティに結び付けていくか。CSAジャパンのIoTワーキンググループでもいろいろと議論を進めているので、興味のある方はぜひご参加ください。

以上

CASB (Cloud Access Security Broker)概要、ケーススタディー(第14回CSA勉強会)

CASB (Cloud Access Security Broker)概要、ケーススタディー(第14回CSA勉強会)

日本クラウドセキュリティアライアンス
諸角 昌宏

7月28日に行われた第14回CSA勉強会について報告します。テーマは、「CASB (Cloud Access Security Broker)概要、ケーススタディー」ということでした。クラウドセキュリティの新たな潮流であるCASBは、あらゆるクラウドサービスの安全な利用のためのテクノロジになります。今回、日本で真っ先にCASBソリューションを展開しているマクニカネットワークスさんのみなさまに、CASBとはなにか、どのように使われるものかについて、デモを交えて説明していただきました。

まず、ブローカーという言葉とクラウドセキュリティをどのように結び付けているのか、というのがCASBという言葉を最初に聞いた時の感覚でした。ユーザの代理でクラウドセキュリティを担保してくれるようなサービスであれば、それは望ましいことですが、果たしてそんなことが可能なのでしょうか。もし、サービスを使っている状況でセキュリティ侵害が発生したら、保証問題になってしまうのでしょうか。ということで、あまりビジネスモデルが思いつかない状況で今回の勉強会を聞きました。

さて、クラウドの利用者は、どのような基準でプロバイダやクラウドサービスを選べばよいのでしょうか。CSAのガイダンスでも言っているように、基本はプロバイダとの契約にどこまで要件等を落とし込めるかになります。しかしながら、プロバイダが提供している情報でどこまでプロバイダを選定することができるか、また、クラウドの場合、サービス自体がサプライチェーンとなっている場合も多く、それらを含めてすべて理解することはほぼ不可能です。そのように考えていくと、CASBが徐々に見えてきます。CASBは、最初にガートナーが定義したところによると、「1つ以上のクラウドベースサービス全体で、単一のポリシーを適用できる」とのことです。要は、クラウドサービス(群)とユーザの間にアクセスポイントを提供し、そこでセキュリティポリシーを強化していく技術であるということになります。特に、シャドーITのように、利用者側で使われているクラウドサービスがコントロールできないような環境において、CASBが仲介することでコントロールを可能にするテクノロジになります。

CASBは、ガートナーの予想では、今年の市場規模が$100M、2018年には$400Mに達するということで、既に10社を超えるCASBベンダーが存在しているようで、この3年間で最も注目されるテクノロジとのことです。また、別のデータとして、1企業が利用しているSaaSアプリケーションの平均が1.083個であるとのことです。これは、シャドーITを含めた数字になりますが、相当数のSaaSアプリが既に使われていることがわかります。
さて、CASBですが、以下の4つの柱からできています:

  1. 可視化
  2. コンプライアンス
  3. データセキュリティ
  4. 脅威防御

この4つの柱を見ていくと、CASBの活用事例が見えてきます。まず、クラウド利用の現状を把握します。いわゆるシャドーITの実態を可視化により把握できるようにします。次に、クラウドサービスを管理された状態にします。これにより、コンプライアンス要件を満たしていくようにします。また、既存のテクノロジ(DLP等)と連携し、データ保護、脅威防御を実現し、オフプレミスでのデータ活用を促進できるようにします。最後に、クラウドサービスのライフサイクル全体を支援することで、ビジネスの俊敏性を実現していくことになります。

勉強会では、さらにSkyHighのデモを交えて、具体的にCASBでどのようなことができるかを説明していただきました。2つのIT(シャドーITと許可されたIT(sanctioned IT))で、どのようにCASBが利用されるかというデモでした。

  1. シャドーIT
    シャドーITに対しては、CASBの持つ可視化機能によって、すべてのクラウド利用状況を把握することができるようになります。また、クラウドサービスのリスク判定を行い、リスクアセスメントポイントを設定しています。これは、SkyHighがCSAのCCMをベースに独自に調査を行ったもので、既に4,000以上のSaaSアプリケーションが登録されています。ユーザは、このポイントを基にリスクを判断し利用するかどうかを決定することができます。
  2. 許可されたIT
    ログ等を集め解析を行います。これにより、監査証跡、ポリシーの強化、コンプライアンス対応等を行うことができます。また、イベントに基づく検知や脅威防御を、DLP製品等と連携して行うことができます。

以上のように、クラウド利用において問題となるセキュリティ対策を、利用者とクラウドサービスの間に立って行うことができるということから、今後、期待されるテクノロジということができます。解決しなければならない問題、たとえば、CASB自体が単一障害点になったり、ボトルネックになったりする可能性や、モバイルを用いた外部ネットワークからのアクセスの対処などが考えられるようですが、解決が難しい問題ではないと考えられます。

最後に余談ですが、CASBとタイプしようとして、CSABとタイプしてしまうことが結構あり、職業病かなと思うところもあります。CSAB(CSA Broker)なんて存在が必要にならないよう、CSAも地に足を付けて頑張らなければと思います。

以上、概略ですが、勉強会の報告といたします。

以上

 

SDPと2015年度データ漏洩/侵害調査報告書の報告(第13回CSA勉強会)

SDPと2015年度データ漏洩/侵害調査報告書の報告(第13回CSA勉強会)

2015年7月1日
日本クラウドセキュリティアライアンス 諸角昌宏

6月29日に行われた第13回CSA勉強会について報告します。テーマは、「SDPと2015年度データ漏洩/侵害調査報告書」ということで、ベライゾンジャパンの皆様に講師をやっていただきました。SDPは、Software Defined Perimeterということで、5月のCSA Summit Japan 2015でJim Reavisが触れていたクラウドセキュリティの新しい潮流の1つです。ベライゾンは、SDP仕様書V1.0の作成を中心となって行っており、SDPに関しては事例も含めて先進的に進めている会社になります。また、ベライゾンはセキュリティの調査レポートを毎年出しており、今回は8回目として”2015 DATA BREACH INVESTIGATIONS REPORT”を公開しています。

それでは、まずSDPについて勉強会の内容を報告します。

そもそもSDPとは?ということですが、”Temporal Network”ということで「一時的なネットワーク」という表現をされています。つまり、伝統的な固定ネットワークではなく、ダイナミックに接続先が決まることで攻撃のターゲットが明確にならないようにして守っていくという手法になっています。個人的には別のスライドで使われていた” Secure Non Discoverable Network”、つまりデバイスやIDが認証されるまでネットワーク上で見ることができないという表現の方がわかり易い感じがしますが、いずれにしろ、サーバのどこにアクセスするかは認証して接続するまで決まらないことでネットワーク上のセキュリティを保つためのアーキテクチャということになります。以下のような特徴を持っています。

  • ネットワークベースの攻撃からアプリケーションを守るためのセキュリティ・フレームワーク
  • “Need-To-Know”という形で、ダイナミックなネットワーク構築に基づいた「必要な時」に接続するモデル
  • DNSやIPアドレスをあらかじめ見せない

また、SDPは既存の標準に基づいて設計されているため、非常に安定したものであるということが言えます。また、CSAがオープンスタンダードとして使用を公開しているため、誰でも利用することができます。

さて、実際にSDPがどのように動作するかということですが、簡単に言うと以下の流れになります:

  1. デバイス(ブラウザなど)から、SDP Controllerにアクセス
  2. デバイスの認証を実施
  3. ユーザ認証および使用するアプリケーションの認可を確認
  4. アプリケーション・サーバをダイナミックにプロビジョニング
  5. デバイスがアプリケーションを利用

勉強会では、SDPを用いたいくつかの事例について紹介されました。また、CSA Conferenceで行われたハッカソンについての説明もあり、世界中からの150億アタックに対して、一度も破られなかったということでした。また、勉強会参加者から、SDPのユーザーズガイドやインプリメンテーションガイドが欲しいという意見、SDP Controllerでのポリシー管理に対する質問等が出され、活発なディスカッションになりました。今後、CSAジャパンを中心として幅広い情報共有や実装に向けての議論を進めることが必要であることを感じました。

次に、2015年度データ漏洩/侵害調査報告書について報告します。

まず、ベライゾンが強調していたのは、実際のデータに基づいたレポートとなっている点です。一般的に、このようなレポートはアンケート結果に基づくものがほとんどで、データに基づいた調査結果であり非常に信頼性が高いということができるようです。2015年の情報漏洩データとして、2,122件の漏洩事故および79,790件のセキュリティインシデントを分析したとのことで、特に今回はJPCERTのデータとして日本でのデータを含めたレポートとなっているとのことです。

この中で、いくつか特徴的な点として感じた点を以下にあげます。

  • フィッシングメールへの対応フィッシングメールの添付ファイルをクリックする確率が11%ということで、10通送れば1通は開かれるという状況とのことで、攻撃者から見ると非常に効率的な攻め方のようです。対策として最も重要なのはトレーニングで、セキュリティ対策では人が最終的な検知装置であることを認識する必要があるとのことです。
  • 脆弱性脆弱性を突いた攻撃の97%は、わずか10個の脆弱性に対する攻撃だそうです。さらに、攻撃の99.9%が、CVEの公表から1年以上経過したものだそうです。脆弱性に関する情報をきちんと入手および管理することと、パッチ適用などの伝統的な対策をきちんと行うことが重要になります。
  • 情報漏洩情報漏洩の原因として、Webアプリケーションを狙った攻撃はかなり少なくなっていて、反対に人をターゲットにした攻撃が増えていて、全体の90%以上を占めているとのことです。
  • 業界業界別では、製造業、小売業に対する攻撃が目立っているとのことです。また、教育機関への攻撃も多いとのことです。

その他、実際のデータに基づく非常に詳細な分析が行われています。このレポートの日本語版も近々公開されるとのことですので、期待したいと思います。

以上、非常に概略になりますが、勉強会の報告といたします。

CSA Summit @サンフランシスコ の報告(第12回CSA勉強会)

2015年5月28日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

5月26日に行われた第12回CSA勉強会について書きます。テーマは、「CSA Summit報告会」ということで、4月にサンフランシスコで行われたCSA Summitの内容を笹原英司氏に説明していただいた。Summit Japanが開かれたのが5月で、時系列的に逆になってしまったが、大変興味深い内容であった。

まず、大きなトピックとして、以下の3つであった。

  • SDP(Software Defined Perimeter)
  • STAR Watch
  • ワーキンググループの報告
    SDPは、Summit中に3回目のハッカソンが行われ、安全な環境を提供するアーキテクチャとして、着実に進んでいるようである。STAR Watchは、STARのSaaS版であり、ベータ版の公開を開始している。また、CSAの活動の中心であるワーキンググループについては、各グループから詳細な報告があった。

さて、CSAの活動の特徴として今回目立ったのは、米国とEUの協調の橋渡しとしてCSAが寄与してきているということであった。つまり、グローバルな標準化に向けて、CSAが大きな役割を担ってきているということである。典型的なのは、スノーデン事件の影響で、米国とEUの関係がぎくしゃくしている状態で、その間を取り持つ形でCSAが機能しているということである。CSAヨーロッパがEUと米国の合意形成に寄与することで、国に対する影響力も強めているということである。また、中国では、中国政府の認証機関CEPREIと共同でSTAR認証の中国版を作成している。これは、6月中には発表される予定で、米国、EU、中国という主要市場でSTAR認証の制度が確立することになる。

また、クラウドセキュリティの世界では、今まではGoogle, AWS等のビッグプレーヤーがセキュリティの標準というものを作っていたが、最近の傾向としては、プラットフォーム上で新しいセキュリティを作っていく新しい企業やベンチャー企業が進出してきているということである。いわゆる、クラウドブローカの流れで、新興企業による新しい産業の創出(Open-Innovation)が起こっているということである。日本でも、FinTechを中心に新しい企業を支援する動きがあり、これが新たな潮流になってきているとのことである。笹原氏によると、ITの定義自体が、Information TechnologyからInnovation Technologyに代わってきているというなかなか面白い表現で、これはもしかするとヒットする用語になるかもしれないと思われた。また、笹原氏はセキュリティに対する今後の日本のかかわり方として、以下の2つのアプローチがあることを強調されていた。

  • 安全を担保するための情報共有を積極的に行っていくこと
  •  Innovationを起こして、産業を創出していくこと

その他、各ワーキンググループからの報告で特に印象に残ったのは以下の点である。

  1. STAR WG
    先ほども触れたSTARWatchがアナウンスされた。STAR認証をSaaS型で実現するもので、EXCELを埋めていく従来のやり方から一歩進んだ形になっている。日本側でも、この運用をどうするかを早急に検討する必要がある。ベータ版が公開されていることから、検討を開始したい。
    また、STARへの新たなマッピングとして、FedRAMP、27018、NIST Cyber Security Frameworkが追加されることになっている。
  2. IoT WG
    モバイルワーキンググループから独立して、活動を開始していて、CSAジャパンの活動もグローバルから評価されている。新しいドキュメントとして、”New Security Guidance for Early Adopter of the IoT”がリリースされている。IoT WGの最終的なターゲットは、企業向けIoTのセキュリティであり、特にプライバシーの保護をどのように進めるかが今後の研究テーマとなっているようである。
  3. CISC(Cyber Incident Sharing Center)
    これは、以前CloudCERTと呼ばれていたものある。ホワイトハウスが進めている情報共有の動きに合わせて活動を行っている。CSAの役割としては、民間、政府などと違ってニュートラルなポジションにいることを生かして、情報を集めるときに発生する利害関係をCSAが間に入ることで円滑に進めていくということである。
    CISCは、日本企業、特に米国の日系企業にはインパクトが大きく、米国の情報をどのように本国で対応していくかなど、法的な問題も含めて見ていく必要がある。

以上、CSA Summitの報告を簡単にまとめてみた。グローバルという観点で見た場合のCSAの重要度が感じられる内容で、CSAジャパンとしてもさらに活動を活発化していく必要があることを強く感じた。

 

CSA Japan Summit 2015 を終えて

2015年5月25日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

CSA Japan Summit 2015が、5月20日に開催された。今後のクラウドおよびクラウドセキュリティの動向をグローバルの視点を含めて聞くことのできた講演であった。

さて、全体を通じてまず感じたことは、クラウドに対する見方が大きく変わってきているということである。つまり、「クラウドを使っても大丈夫か」ではなく、「クラウドをどのようにビジネスに活用するか」というように変化していることである。以前のCSA勉強会で渥美俊英氏が述べていたように、もはやクラウドを技術的に考えるのではなくビジネス的に考えなければいけなくなっている。また、クラウドを使わずには、企業が生き残っていくことができないという段階に来ているということを改めて感じた。今回のCSA Japan Summit 2015は、クラウドを支えるべく技術的な動向、IoT等の新たな動向、金融機関における業務のクラウド化の紹介、また、法律の観点からの考察ということで幅広くこのクラウドに対する見方の変化についてカバーしていた。

以下、私なりに3つのポイントで今回のSummitをまとめてみる。

  1. クラウドの利用を支える新しい技術
    企業がクラウドを使っていく場合、もはや、「パブリックは危険」で「プライベートは高価」という概念を取り払う段階に来ているようである。パブリッククラウド環境にプライベートクラウドを構築するバーチャルプライベートクラウドを用いて、如何に安全にクラウドに移行するかを考えていくことが重要である。ソニー銀行の大久保光伸氏の講演では、銀行業務のかなりの部分をAWS VPCに移行させた事例を紹介していた。信頼が非常に重要な銀行業務においてクラウド化を実現した理由は、限られたIT予算内で「固定的ITコスト」を減らし「戦略的ITコスト」に振り向けることとのことであった。以前からクラウドに移行するメリットとして挙げられている理由ではあるが、銀行という業種の言葉として非常に重みを感じる。AWS VPCが信頼できるプラットフォームとして選ばれた理由は、ISO27001とFISCの安全対策基準に準拠しているということであった。どのような形でプロバイダを選定するかについて、吉井和明氏の講演では、「利用者側で、事業者側を管理することや責任を取ることはかなり難しい。利用者側ができることは、リスク軽減の考え方に基づいてクラウドの選択を行うことが重要である。経産省/金融庁等のガイドラインやCSA STARなどを使ってプロバイダの能力を判断することが最良の策である。」とのことであった。このように、バーチャルプライベートクラウドを積極的に利用していくこと、またそのためのセキュリティ対策をきちんと行うことが今後のビジネスにおいて重要になると思われる。
  2. クラウドセキュリティを支える新たなソリューション
    Jim Reavis氏の講演では、CSAにおいて以下の技術をもってバーチャルプライベートクラウドのセキュリティの研究を進め、安全なクラウドに向けての活動を行っているとのことであった:

    • 暗号化と鍵管理バーチャルプライベートクラウドにおいては、データおよび通信の暗号化は非常に重要である。CSAのSecurity as a Serviceワーキンググループでは、クラウドのセキュリティの研究において、特にこの分野にフォーカスしている。
    • CASB: Cloud Access Security Broker クラウドアクセスセキュリティブローカ (クラウドへの安全なアクセスを提供する業者) 。クラウドプロバイダのセキュリティ対策を補完し、利用者が必要とするクラウドセキュリティ対策をまさに代行して行うもので、非常に有効なクラウドのセキュリティ対策になる。
    • 仮想化バーチャルプライベートクラウドは、基本的に仮想化環境で動くことになる。仮想化のセキュリティに関しては、ガイダンスで扱っている内容であり、引き続き研究を進めていく。また、新たなコンテナ技術(Dockerなど)に対するセキュリティの研究も進めている。
    • SDP(Software Defined Perimeter) SDPは、認証ができるまでネットワークを非公開に保つことができ、ネットワークの高い安全性と信頼性を構築できるアーキテクチャとなっている。現在は、パイロットやユースケースの拡大の段階ではあるが、実用化に向けての研究を進めている。

      そのほか、プロバイダの認証としてのSTARプログラムを展開しプロバイダのレベルの透明性や認証を進め、利用者が安全なプロバイダを選定できる体制を整えている。また、利用者のリテラシーの向上に向け、クラウドの認定資格のCCSKを進めている。

      また、クラウドで重要となるID管理をSaaS化するIDaaSについて、江川淳一氏からお話があった。IDaaS自体は、4~5年前から米国で増えてきたサービスで、ID情報マスタをIDaaSで管理する。クラウドを利用する場合、オンプレミスよりID管理が面倒になる。また、利用者もクラウド事業者もどちらもID情報は預かりたくないというのが本音である。そうであれば、ID管理を専門に行っていて、信頼できるサービスを利用するというのが、セキュリティの観点からも有用になってくる。もちろん、IDaaS事業者には厳格なリスク評価が要求されるが、サプライチェーンをコントロールできる点を考えてみても有用なサービスになってくると思われる。

      もう1つ、夏目道生氏からはシャドーIT対策として、現状(利用状況)の把握、モニタリング、リスク評価、アナライズ、セキュリティ対策というサイクルでの対応が必要となるというお話があった。それを実現する製品としてSkyHighが紹介されていた。SkyHighは、Jim Reavis氏の講演でフォーカスされていたCSABを提供しており、クラウド環境での新たなセキュリティ対策として注目していきたい。バーチャルプライベートクラウドにより、機密性の高い業務をクラウド化することが十分現実味をおびてきている。一方、クラウドに対するセキュリティ技術自体も進化している。アンテナを高く張って、クラウドを安全に使う技術を習得し続ける必要がある。

  3. IoTの動向とセキュリティ
    今回のSummitにおけるメインテーマの1つがIoTであった。IoTは、最近流行りのバズワードと思われる点もあるが、森川博之氏によると、バズワードでは終わらないということであった。それは、データが集まれば、様々な産業が集まり、今までなかったもののデータが重要になり、これを扱うIoT自体が、産業セグメントを変えていくということである。特に、IoTが大きな影響を与える分野として、医療(医療に関しては、日本が世界で最大のデータを持っている)、土木系(地すべり対策としてセンサーを設置するなど)など、今までは経験と勘に頼っていたものに新たにデータが加わってくることで生産性の低い分野にチャンスを与えることになるということである。講演タイトルの「未来を創るIoT」において必要とされることについては、「フィールド志向」と「デザイン能力」とのことであった。IoTで最も重要なのはユーザ企業。現場で使っているものを理解する必要がある。自分で飛び込んでいって解決させていく「フィールド志向」が必要になる。また、従来必要とされた能力である「考える、試す」に対して、これから必要とされる能力は、「気づく(柔軟な発想)、伝える(説明の仕方によりインパクトが違ってくる)」ということで、この「デザイン能力」を意識的に磨いていくことが重要とのことである。

    また、IoTのセキュリティについて研究を行っている二木真明氏は、いろいろなデバイスがシステムとして動くようになった場合のシステムとしてのリスクとして、システム全体として障害を起こした場合の方がクリティカルになると述べていた。そのため、CSAジャパン IoTクラウドWGでは、システムの中のサービスにフォーカスして活動しているとのことである。このような状況でのセキュリティ対策として、サービス事業者はリスク評価を正しく行い、セキュリティ対策を講じることが必要ということであった。

    IoTについては、Jim Reavis氏も触れていたように、CSAとしても重要なテーマの1つとして研究を進めていくということであった。

最後に、クラウドセキュリティには直接関係しないが、飯塚久夫氏のTelecom-ISACの話は興味深かった。詳細には触れないが、「受動的な無責任を改めよ!大事なのは安全の確保であって、安心の確保ではない。日本では、自己の確立ではなく自我の確立に走っていた。また、安全・安心は誰かが与えてくれるという観念があり、リスク対応が不得手である。」ということで、リスク文化の転換が必要であるということを強調されていた。

クラウドセキュリティについて語ると、どうしてもクラウドにおけるリスク中心の話になりがちである。結果、利用者から「クラウドはやっぱり危険なんですね」という意見をいただくことが多い。クラウドセキュリティに関わるものとして、リスクを正しく伝えることは重要であるが、クラウドを安全に使うためのガイドをもっと出していかなければならない。うまく使えば、クラウドの方がセキュリティレベルは高いはずである。

その他、盛りだくさんだったSummitの内容については、後日公開される資料集を参照してください。

 

第11回CSA勉強会「NIST draft SP800-125a Security Recommendations for Hypervisor Deploymentの解読」

2015年5月1日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

4月28日に行われたCSA勉強会「NIST draft SP800-125a Security Recommendations for Hypervisor Deploymentの解読」に参加しました。講師は、株式会社 東芝 インダストリアルICTソリューション社の外山春彦氏です。

そもそもハイパーバイザの脅威とは何かということですが、ハイパーバイザに入れればなんでもできてしまうということとハードウエアリソースの共有による可用性の問題の2点があげられます。CAIの観点からいうと、VMの操作・情報漏えいに関わるCIとVMの可用性を妨害するAということになります。NIST SP800-125aでは、ハイパーバイザのセキュリティに関するベストプラクティスを集めた形でまとめられています。NIST SP800-125aは、2011年に出された125に次いで出される形になっていて、125では仮想化全体についてのハイレベルな記載になっていたのに対して、125aではハイパーバイザを体系的に捉えることと運用に焦点を当てたセキュリティの推奨事項を22項目にわたってまとめています。特に、以下の3つの観点でまとめられています。

  1. ハイパーバイザのアーキテクチャおよびその選択
  2. ハイパーバイザのベースラインに対する脅威
  3. セキュアブートをサポートしたアーキテクチャを前提

アーキテクチャの選択基準としては、ブートインテグリティ保証があることやCPUの仮想化機能を持っていることを前提としているなど、たぶんにIntelアーキテクチャ、特に最新のものを前提としているようです。これにより、仮想化機能の実現手段として、ハードウエアからの支援とソフトウエアの両面から行っていくことが推奨されます。ベースラインに対する脅威としては、境界面からの脅威があげられています。脅威源として、リソース、ゲストに加えて管理コンソールへの攻撃を注意する必要があります。ハイパーバイザ固有の攻撃としては、悪意のあるVM,通信のなりすまし、リソースの食いつぶし、特権インターフェースの利用の4点があげられます。したがって、ベースライン機能に対するセキュリティ推奨としては、実行のアイソレーション、デバイスエミュレーションとアクセス制御、VMの管理、アドミン管理が必要とのことでした。

最後にまとめとして挙げられたセキュリティの推奨事項として以下の3点がありました。

  1. ハイパーバイザプラットホーム選択
  2. ホスト上の複数VM(設定・状態)を管理する必要性
  3. ハイパーバイザホスト&ソフトの管理者設定

ハイパーバイザのリスクは、ENISAの「クラウドコンピューティング情報セキュリティに関わる利点、リスクおよび推奨事項」の中の「V5.ハイパーバイザの脆弱性」でまとめて記述されているような固有の脆弱性を持っています。また、CSAのガイダンスにおいては、ハイパーバイザのセキュリティ対策として、第13章「仮想化」で詳しく触れています。また、ハイパーバイザのセキュリティは、ハードウエアやソフトウエアの支援の下に実現していくことが大切であると感じました。Intelアーキテクチャのハードウエア支援や、VMWareのvShield機能などを利用して対策を取っていきたいと思います。SP800-125aは、まだドラフトですが、今後のハイパーバイザ/仮想化の基準として抑えていく必要がありそうです。

なお、本勉強会の詳細については、改めて公開される勉強会資料を参照してください。

以上

第10回CSA勉強会「ISO/IEC27001:2013とISO/IEC27017の重要なポイントの解説」

2015年3月27日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

第10回CSA勉強会は、工学院大学の山﨑哲氏に、ISMSの基準となるISO/IEC27001:2013の改訂における重要ポイントと、クラウドサービス事業に大きな影響を与えるクラウドセキュリティの管理策体系であるISO/IEC27017(今年秋に正式発行予定)の要点について解説していただきました。
27001については、JIS規格が出されたのが2014年3月であり約1年を経過しているにも関わらず、2013についてほとんど勉強していませんでした。したがって、今回の勉強会は私にとって非常に有意義なものとなりました。また、27017に関しては、今年の10月に規格化されるようで、また、クラウドセキュリティに関わっているものとして、こちらも有意義な最新情報をいただくことができました。
非常に中身の濃い、ボリュームのある内容でしたので、ここでは概要と印象に残ったことについて書いていきます。かなり私見も入っていますし、間違い、勘違い、認識不足もあると思います。ぜひ、このブログにコメントを書き込んでいただいて、いろいろと教えていただければと思います。よろしくお願いします。

  1. ISO/IEC27001:2013の改訂のポイント
    27001の改訂内容として、主に以下の3点があげられます。

①      ISMSの意義として、経営陣の目的・目標を要求事項とし、経営陣の方針から管理策への展開が規定されています。また、CISO(トップマネージメント)の設置も規定され、情報セキュリティを統括することが求められています。
情報セキュリティ管理は、経営陣の支持のもとに進めるというのが大原則で、これにより経営とセキュリティ管理の一体化が図られることが必要ですが、なかなか実践できている企業は少ないと思われます。セキュリティ管理プロセスにおいても、まず最初に、acknowledgementということで、経営陣の認識および支持を取りつけることが必要ですが、実際には経営陣の支持を得ることが難しい(そのための方法もあまり確立されていない)というのが現状です。これを27001:2013では、CISOを中心とした経営陣による目的・目標の設定を規定することで、経営とセキュリティが一体となった取り組みができるようになりました。セキュリティについて経営陣主導の体制が整えられることで、望ましい状況になっていくことが期待できます。

②      マネージメントシステム企画の共通化、用語の共通化が行われています
27001:2013では、マネージメントシステム(MSS)企画を共通化することで、統合的なセキュリティの構築を行えるようにしています。すべてのMSS規格に共通の目次を持たせることで統一して扱えるようになっています。また、用語の統一も図られ、27000の用語集をもとに統一させています。
この中で、リスクに対する定義が改訂され、「リスクを、目的に対する不確かさの影響」とし、組織の状況の理解に基づいてリスクアセスメントを行う形になりました。これに伴い、リスク値の定義も変更され、今までの「リスク値 = 資産x脅威x脆弱性」が、「リスク値 = 結果x起こりやすさ」として定義されることになりました。「結果: 目的に影響を与える事象の結末」、「起こりやすさ:何かが起こる可能性」ということで、情報セキュリティの目的および計画策定に基づいたリスク判断ということになるようです。今までの定義に基づいてリスク値の説明を行ってきたものにとっては、新しい定義を腹に落とすことが必要になります。また、リスク対応も、今までの4つの手法から7つの手法に変更されており、この新しい定義の理解も必要になってきます。

③      分野別ISMSを確立するための国際規格となっています
27001:2013でもう1つの大きな点は、Sector specific control set standardということで、分野別のISMS体系にしたことです。これにより、一般的な27001と分野別の基準を合わせて、分野対応のISMS認証を行うようになりました。たとえば、後で述べますが、クラウドセキュリティに関しては、27001(generic)+27017でクラウドセキュリティ分野のISMS認証が取得できることになります。

このように、27001:2013では、「経営陣と管理者・従業員とのパイプ役となる情報セキュリティ目的・目標を設定する」ことで、「経営陣と管理者・従業員が、情報セキュリティ目的・目標を共有することでコミュニケーションギャップをなくす」ことができるように改訂されています。今までは、このギャップがさまざまなセキュリティ問題の根底にありましたが、この改訂でかなり解消されることが期待できますし、CISOの設置により、より明確な責任のもとセキュリティプロセスが運営できることが期待できます。特に、日本においては、CISOの設置と合わせて、より経営陣の支持を得たセキュリティプロセスが展開できるようになることが期待できます。

  1. 分野別ISMS規格”ISO/IEC27017”の意義と解説
    クラウドセキュリティにおいては、「クラウドの課題を解決するためには、基準(Criteria)に基づいて、クラウドの利用者と事業者の間で、(国際環境において)共通の理解を実現するための仕組みの確立が必要である」ということから規格化が行われています。今年の10月には、公開されるということです。また、CSAもこの規格の作成には非常に協力しているということです。今後、27017、CCM(Cloud Control Matrix)との関係等、CSA、ひいては、CSAジャパンも幅広く活動していく必要があります。ここでは、27017のいくつかのポイントをあげていきます。

①      27017の適用範囲(Scope)
Cloud Service Provider(事業者)、Cloud Service Customer(利用者側組織)、および、Cloud Service User(実際にクラウドを使う人)を適用範囲とし、Cloud Service Partner(開発者、ブローカー、監査)は、今のところ適用範囲とはしないということです。

②      27001の分野別標準及び分野別管理策となります
27017は、27002をベースとしたクラウドサービスの情報セキュリティコントロールとなります。したがって、章立ては27002と同じになります。また、Annexにクラウド特有のコントロールが追加されています。

③      クラウドコンピュー ティングの用語
用語については、SC38:ISO/IEC17788を用いるということで、NISTの定義などとは違ってきています。
特に、クラウドのモデルに関しては、NISTのサービスモデルと展開モデルとは違い、Cloud Service categoryとCloud Capability Typeを用いた分類となるようです。詳細は省きますが、CSAもNISTのモデルに基づいて定義していますので、今後ガイダンスを含めて影響を受けるものと思われます。

④      クラウド利用者、クラウド事業者双方の視点
27017の管理策であるImplementation guidanceがテーブル形式となっており、それぞれの項目に対して、利用者(CSC),事業者(CSP)のどちらあるいは両方が対応するかどうかがまとめられるようになっています。これにより、利用者、事業者双方の視点でガイダンスを見ていくことができるようになります。

以上、本当に簡単ですが、勉強会の内容の報告とさせていただきます。

SLA-Readyがヨーロッパで発足

クラウドのSLAをガイドするSLA-Readyがヨーロッパで発足

2015年2月13日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

クラウドサービスの利用する場合、通常、SLA(Service Level Agreement)に基づく契約を行うことになります。CSAのガイダンスでは、「SLAが利用者に提示された時、サービスとプロバイダに対するサービスレベル、セキュリティ、ガバナンス、コンプライアンスおよび法的責任に対して期待される点が、契約上規定され、管理され、強制される」というように記述されています。したがって、利用者は、クラウドサービスを利用する前にプロバイダが提示するSLAを詳細に確認および理解し、クラウドサービスの利用上問題がないことを確認する必要があります。また、必要に応じてプロバイダと交渉しSLAの変更を行うことも必要になります。しかしながら、SLAを理解することは非常に難しいというのが現状です。特に、中小企業(SME)にとっては、クラウドサービスに対する専門家や知識の不足などから、SLAを理解することが難しい状況です。また、SLAの複雑で誤解を招く記述や、ワンクリックで合意しなければならないことが、中小企業のクラウドサービスの採用の足かせとなっています。

SLA-Readyは、SLAの共通の理解を働きかけ、SLAの標準化や透明性の確保を行っていくために設立されました。これにより、どのようなサービスを利用するかという企業の意思決定や信頼性についての情報を提供していくようです。

SLA-Readyは、ヨーロッパのクラウドマーケットの信頼性を構築することに貢献していくことになるようです。今後の動向に注力していきたいと思います。なお、CSAも、このコンソーシアムのメンバーですので、今後CSAがどのように関わっていくかも見ていきたいと思います。

SLA-Readyの情報は、http://www.sla-ready.eu/ で提供されていますので、今後の動向も含めて参照してください。