タグ別アーカイブ: 勉強会

第7回クラウド利用者会議 レポート

第7回クラウド利用者会議 レポート

2017年7月12日
CSAジャパン 諸角昌宏

第7回クラウド利用者会議では、BSIジャパン株式会社の中村良和氏に講演していただいた。会議は、6月27日(火)に開催し、クラウド利用者を中心として14名に参加いただいた。
今回は、「クラウドセキュリティに対する日本の認証規格」について講演していただくとともに議論を行った。

中村氏から、まず、日本の認証規格の状況について説明していただいた。

クラウドセキュリティに関する認証規格は、日本では以下の2つが展開されている。

  • ISO/IEC 27018
    27018は、パブリッククラウドにおけるプライバシのガイドラインを提供している。本規格の認証については認定機関が認証機関を認定するスキームは無く、認証機関が独自に認証サービスを提供する形しかない。認証スキームとしては、規格の適用範囲にもあるようにあくまでパブリッククラウドが対象であり、プライベートクラウドは対象とならない。また、PIIのProcessor(基本的にはプロバイダ)が対象であり、Controllerは対象にならないという規格の適用範囲となる。
  • ISO/IEC 27017
    27017は、以下の2つ構成を提供している:

    • 27002の実践規範に対する追加/拡張の管理策 27002の実践規範ではクラウド固有の要素が不足しているため、クラウド固有の要素を追加したものになっている。この際には27002も考慮した考えが必要となる。
    • クラウド独自の追加管理策(附属書A)
      27002の実践規範の項目では不足している、クラウド独自の管理策についてCLDと言う形でさらに追加の実践規範を設定している。ただし27017の本文の位置づけと同様である。

また、認証制度として以下の2つの注意点がある。

  • 認証制度
    他のクラウドを利用し、自社のクラウドサービスを提供しているクラウドサービスプロバイダーは、CSC(カスタマ)とCSP(プロバイダ)の両方の立場で見る必要がある(サプライチェーンを構成している可能性)。認証範囲はISO27001の認証している範囲内である必要があるため、クラウドサービスの提供が範囲外の場合はISO27001の適用範囲を拡大しなければならない。またISO27017の追加の管理策は原則除外ができない。
    注意点: SIerの存在で、SIer的に動いている(カスタマのクラウド環境を構築している)が、クラウドサービス自体を提供していない場合には、CSPとして認証を取ることはできない。
  • 審査員の力量
    ISMS審査員がクラウドセキュリティの審査員になるためには、追加でクラウド基盤・要素技術などの力量が必要になる。

さて、中村氏の説明の後、いつものように参加者によるディスカッションが行われた。

まず、カスタマが要求したことに対して、プロバイダは情報を提供するのか、という点が議論になった。情報の提供を契約にしておくことが望ましいが、プロバイダが個別に契約することを行わないケースもある。しかしながら、現状では、ほとんどのプロバイダが情報を提供している。たとえば、AWSでは、セキュリティ管理策について詳細に書かれた「ホワイトペーパーのどこどこの記述を見てください」というレベルの回答は必ず返ってくるようである。また、少なくとも27017に基づくクラウドセキュリティ認証を取っているプロバイダであれば、情報を提供しなければならないことになる(開示レベルは組織によって違うと想定される)。したがって、カスタマ側のリスク管理上必要となる情報はプロバイダから何らかの形で提供されると思ってよさそうである。もちろん、27017で言っているように、プロバイダが情報を出さない、あるいは、プロバイダの管理策が不十分である場合には、カスタマが追加の管理策を行わなければならないという大原則があることは理解した上で進める必要がある。

次に、27017では、対象となるのがパブリッククラウドなのかプライベートクラウドなのかが明記されていない点に議論が移った。プライベートクラウドの場合には、27017の管理策の大部分が不要になるのではないかということである。たとえば、オンプレのプライベートクラウドを考えた場合、論理境界に絡むセキュリティ対策は基本的に要らなくなるのではないかという点である。ISMS自体は、もともとオンプレを前提としているという意見もあった。そのため、クラウドに移行した場合、ユーザがコントロールできる範囲がどこまでか、また、それを超えた場合の管理をどうするかを定めたのが27017であると考えるとしっくりくる。したがって、パブリッククラウド/プライベートクラウドの利用における現実に即した管理ということをベースに考える必要がある。

また、27017の使い勝手はどうなのかということも議論された。ISMS上は、リスク管理に基づいて作成した管理策に対して、27017(27002を含む)の管理策と照らし合わせた時にギャップが存在しないかどうかを確認するというのが手順になる。しかしながら、逆に、27017をベースにして管理策を作成し、後は気になるところだけ検討していくという方が合理的ではないかという意見が出た。これについては、そもそもの認証に対する考え方の問題であり、認証を受けるという観点からするとそうなるかもしれないが、リスク管理の観点からは、まず管理策を策定するというのが必要になるということになった。27017自体は良いフレームワークとして使うことが望ましいということである。

それから、クラウド環境でのデータ削除に関する議論も行われた。プロバイダは、データにアクセスできないようにすることで削除したと判断する(判断するしかない)が、これで本当に安全な削除と言えるのかどうかという点である。そもそもオンプレでの仮想化環境ではデータが安全に削除されたかどうかを気にすることは無いのに、クラウドではなぜリスクになるのかという意見が出た。カスタマは、プロバイダのデータ削除が不十分であれば、独自に削除方法を検討するというのが基本スタンスであり、これに基づいてプロバイダを評価するのが必要という議論の結論となった。

最後に、プロバイダの管理策を実証するにはどうすればよいのかという議論になった。プロバイダを直接監査することは難しいため、プロバイダが提供する情報をもとに判断することになるが、そもそもプロバイダが提供する情報として何が必要なのだろうかというである。監査に基づく証明書では不十分であり、なんらかの報告書(アセスメントレポート)が必要になるということになった。AWSでは、SOCのレポートも開示されており、これが報告書として使えるのではないかということになった。

以上のように、クラウドセキュリティ認証というものに対して、様々な観点から議論を進めることができた。また、文章では表せない(筆者の能力は別として)ところでの議論も活発に行われたため、非常に中身の濃い会議となった。

以上

 

AWS導入事例からみるクラウドの利用方法 ~ 第3回クラウド利用者会議

第3回クラウド利用者会議 レポート

2016年11月15日
CSAジャパン 諸角昌宏

第3回クラウド利用者会議は、「AWSクラウドの進化と真価 ~クラウド利用の新しい段階~」というテーマで、渥美俊英氏に講演していただいた。会議は、9月30日(金)に開催し、クラウド利用者を中心として12名に参加いただいた。ここでは、会議の概要について記述する。

渥美氏からは、以下の3点について説明していただいた:

  1. AWSのエンタープライズ拡大と効果 - 組織・開発の在り方の変化
    AWSは、日本において20,000ユーザ、世界で100万以上のユーザを抱えている、文字通り世界のIaaS市場のリーダーである。AWSの機能は年々拡張されており、今では提供するサービスの数は70を超えている。その中で、特徴的なのは、新たに提供された機能のおよそ1/4がいわゆるセキュリティ機能で、コンプライアンス、統制、監査が含まれている点である。
    機能拡張は、基本的に利用者からの要望に基づいてAWSが自ら考えて社内実装している。これまでの他のITベンダは、事業拡大に際して買収合併を通じて新しい製品や機能を追加することが少なくない。このため必ずしも首尾一貫した製品体系でなかったり、利用者にとっては不必要な機能過多で、価格がより高額になることが現実に多い。この点、AWSの姿勢は大きく異なり、利用者が必要な機能について優先的に基本機能を早期に提供し、細かな機能は利用者からのフィードバックから次々と機能を追加し完成度の高い製品に仕上げてゆく。これを実現できるのは少数精鋭(2枚のピザを共に食べられる程度の小さなチーム)の社内開発チーム組織による。そして、このAWS自身の高速な開発を支える仕組み、開発・配備・運用のIT基盤自体も新しいサービスとして次々と提供している。利用者はこれらの様々な機能を使い自らの開発の仕方も変えてゆく段階に入っている。
    今年6月に開催されたAWSサミットでは、国内の大手企業による事例やクラウドの取組みを語る講演において、AWSは単なるIaaSとしてではなく、自社の開発やビジネスの在り方、社内組織の在り方、SIerとの付き合い方を変えてゆく段階にはいっていることが数々と語られた。
  2. AWSのセキュリティ - コンプライアンスの進化
    顧客の要求に対しては高額な対価で個別に対応するのが今までの多くのITベンダーのビジネスのやり方であった。これらは、エンジニアやコンサルタントの人手をかけた人間的な対応ということで行われていることが多い。これに対して、AWSでは、あらゆる顧客の要求というものに対して、自前でソフトウエアで対応しサービス化するという方法を取っている。これにより、重要顧客への個別対応ということではなく、すべての顧客に対して利用できるようにし、全く同じ機能をその他の顧客に対しても(個人であっても)同じプライスで提供している。金融機関や医療系、政府系などのセキュリティ、統制が厳しい利用者の要求を満たした同じサービスが、自分から要件を固めなくても安価に利用できる。小規模で資金の乏しいスタートアップ企業でも、グローバルの巨大企業と同じレベルのIT基盤サービスを利用できるわけで、これがいわゆる、ITの民主化というものを実現している。
    AWSのサービスは責任共有モデル(OSより上はユーザ責任で、仮想OS以下はAWSが責任を持つ)という考え方による。AWSにおけるセキュリティとコンプライアンスの対応は、この数年で以下のように進化してきている:

    ①   ISMS等の認証取得や業界ガイドラインへの準拠
    ②   Customer enabler docs(ホワイトペーパー等の様々な公開文書)
    ③   Customer case studies(利用者の事例と知見の共有)
    ④   Security by Design (設計にセキュリティを組み込む)

    上記の流れを説明すると次のようになる。最初は、ISMS等の認証を取得することで、安全かつ信頼できるプロバイダであることを示してきた。2番目のステージでは、その対策や管理策を文書の形で公開することで、顧客に対して透明性を保つようにした。これにより、顧客は自社のリスク管理に対して、クラウドを利用した場合のプロバイダのセキュリティ対策を判断できるようになる。さらに3番目のステージでは利用者の数々の事例が公開され、利用者側がセキュリティをどう考えてコントロールしているかなどの情報が共有される。個々の要件に対して人間系の個別対応ではなく共通のソフトウェアでサービス提供をしているので、他社の事例は具体的な実装の参考にし易い。 さて、このような流れの延長として次に進められているのが4番目のステージで、Security by Designという考え方である。これは、顧客が必要とするセキュリティ対策をAPIを用いてコントロールできるようにし、それをシステムの設計段階からアーキテクチャの中に組み込んでいくものである。AWSのインフラストラクチャーで共通の、アクセス管理、ログ記録、暗号化、鍵管理、監視、構成変更、アプリケーション配備等のサービスを組み合わせて、システム開発から運用監視、監査までも含めて一気通貫でコントロールすることが現実的なソリューションになりつつある。さらに人間系の設定ミスや考慮漏れを低減するサービスも高度化されてきている。たとえば、AWS Trusted Advisorサービスでは、利用者の現状のシステム構成や設定に関して、AWSのベストプラクティスの蓄積データから、コスト削減やセキュリティ上の警告、改善のアドバイスが人手を介さずにソフトウェアで自動的に開示される。また、Amazon Inspectorサービスでは、顧客毎にポリシーを設定し、それに反する設定はリアルタイムで通知がされる。これらは全てソフトウェアによるサービスのため、無料か、サポートに含まれるか、または極めて安価である。AWSはこのように様々なサービスを組み合わせることで、オンプレミスの代替えというIaaSの段階を越えて、システム開発から運用までを、安全に効率化、俊敏化する利用価値を持つものに進化している。今年12月に行われるAWS最大のイベント、re:Invent では毎年数多くの革新的なサービスが発表され、興味深い先進的なユーザ事例を聞くことができる。ここで新たに公開される情報に期待する。

  3. クラウドを取り巻くガイドライン、規制 - FISC安全対策基準、EUデータ保護
    AWSは、数多くの認証、国際標準や各国の業界ガイドラインを満たしてきているが、満たすだけではなくクラウド事業者の透明性として幅広くその情報を公開している(重要なものは日本語化されている)。例えば、クラウドセキュリティの統制に特化した第三者監査のSOC2対応については、利用者はNDAベースでAWSから監査レポートを取得することでセキュリティ対策についての情報を入手することができるようになっている。このように、セキュリティ監査の仕組みを取り入れて利用者に開示することで、「技術」+「監査/コンプライアンス」というAWSの保証プログラムが展開できている。 金融機関はクラウドから縁遠いと思われているが、既にソニー銀行、ジャパンネット銀行では業務システムでAWSを利用する事例が公開されており、また、今年のAWSサミットではMUFGの役員がパネル登壇してクラウドの必要性を語っている。金融機関のITシステムは、金融庁の外郭団体である金融情報システムセンター(FISC)が発行する「金融機関向け安全対策基準」を業界ガイドラインとしている。2012年のAWSサミットでは、このFISC安全対策基準にAWSが準拠しうる、というドキュメント一式がボランティアで作成され無償公開が発表された。その後、2015年の安全対策基準追補改訂においてクラウド利用の項目が追加され、AWSのようなデータセンターの訪問を認めないクラウドについて、金融機関がリスク管理する実践策の例としてSOC2監査レポートの活用が具体的に示された。このように金融業界においても金融機関が直面するグローバルな競争を鑑み、クラウド活用を推進する方向にある。
  4. また、プライバシーの観点からは、EUのデータ保護指令(2018年からデータ保護規則として施行)に対してAWSは個人データの国外移転に関してEUとの調整が完了している。これにより、AWSの利用者は一定の手続きで、EUで自社が管理する個人データをAWS上の各国のリージョンに移転が可能で、個人情報を一貫して扱うことができる(注:AWSだけでなく、マイクロソフト、セールスフォース等がこの調整を完了している)。しかしながら、日本でEUの個人情報を扱う場合には、AWSのクラウド上でデータを扱うことはできるが、日本国内の他のデータセンターにダウンロードしたりプリントしたりすることは、そのままではできないことに注意が必要である。そのほか、日本の個人情報保護法では個人データの国外移転に関してクラウド環境は念頭におかれていない。各国で定められている個人情報に関する規則のうち、日本の個人情報保護法はAWSをはじめとするグローバルなクラウド事業者との調整対象から外れているというのが現状である。

以上の渥美氏からの講演を受けて、参加者全員でディスカッションを行った。今回は、上記の講演中に突っ込んだ議論が行われたため、ディスカッションにあまり時間が割けなかった。その中で、ディスカッションの中心は、これだけ進化しているAWSを支えているAWSの文化という点になった。

まず、このように進化しているAWSを利用者側の企業が積極的に使っているのかどうかという点では、まず大局的な動向として、AWS、MSのクラウド事業は年40%以上拡大しており文字通り急成長している。この数年の利用者は先進的なユーザが多く、これからは必ずしも先進的ではないマジョリティユーザの比重が大きくなってくるため、現場では様々な考え方がでてくる。これらのユーザ企業では、社内的にAWSを積極的に利用していきたいという人とオンプレや従来の慣習にこだわる人がいて、なかなかAWSの採用に踏み切れないケースもあるということであった。AWSなのかオンプレなのか、何らかの評価方法があれば判断できるのかもしれないが、コスト比較の積み上げでも既存のデータセンターや組織維持のコストが過少になりがちであったり、適正な比較が難しいケースもある。さらに、日本では購買部署においてITベンダへの個別値引きを当然とする長年の慣習があるが、AWSでは個別値引きやパートナーの仕入れ価格という考え方は基本的に無く、定価そのものを誰に対しても共通に値下げをするというこれまでのITベンダに無い独特の考え方がある。これが理解できないと、現場部門では技術やサービス面で良い評価なのに購買規定や購買慣習で意外に手間取るケースもある。今後クラウド市場は伸びるが、CIOあるいはCISOが部長レベルである日本企業においては、企業としてAWSを採用するというような意思決定には、まだまだ様々な有形無形の抵抗要因があるようである。

一方、会議参加者の中から、クラウドプロバイダとしてAWSを採用しているファイルフォースは、その経緯について次のように説明している。IaaSを利用するにあたっていくつかのクラウドを評価した結果、AWSは他のクラウドに比べて価格は高い。しかしながら、複雑なECOシステムを構築するにあたっては、マネージドされたサービスが提供されているAWSが魅力であるということであった。クラウドをコスト削減の選択肢という観点だけで捉えるのでは不十分であり、総合的にプロバイダを評価することが重要であるとのことである。

それでは、この進化し続けるAWSを支えている要因はということであるが、以下のようなAWSの企業としての特徴によるものと考えられるということであった。

  • 徹底した顧客(エンドユーザ)志向。顧客志向という言葉はおよそどの企業でも掲げているが、従来のITベンダでは、ややもすると新製品や買収の投資回収のために、高価格、高付加価値、高機能スイート製品のまとめ買いの営業を重視することが現実だった。AWSは徹底して、低価格、ユーザが必要とする機能、革新的な製品を素早く提供することを重視し、組織もそれに特化している。
  • 従来のITビジネスの基本である仕入れ、仕切りの考え方が基本的に無い。エンドユーザもパートナーもAWS利用料は基本的に変わらない。「パートナーに与えるマージンやキックバックの余裕が少しでもあるなら、全てエンド向けの製品サービスの値下げをする」とAWSのトップは公言している。SIerの伝統的な経営には辛いスキームで、これゆえにSIer社内にはAWSビジネスへの抵抗や無関心も当然あるが、中期的にはSIerならではのソリューションに特化することが求められており、これは結局IT業界としてエンドユーザへの貢献となる。
  • AWSは従来のITベンダ(だけではないが)が常識としてきている営業接待にはコストをかけず、その余裕があれば値下げをする。前述の米国で開催されるre:Invent イベントへの日本からの参加(今年は500名以上)は、ユーザ企業もパートナー企業も開発者個人も基本的に自費である。AWS推進者の多くはAWSを追う強い熱意を持っており、このような意識の関係者がAWSを支えている。
  • AWSは他企業の買収は限られたケースだけで他のITベンダのような多数の関連買収を行わない。自前の開発にこだわっている。顧客の要望(XXに困っている、というレベルでもいい)、要件をソフトウエアでゼロから実装するため、出来上がったものの一貫性が保たれるとともに完成度も高くなる。
    AWSは顧客とのミーティングを重視している。特に米国本社のトップ、製品マネージャとのミーティングは、経営や製品開発への直接のインプットとして最大限重視している。但し、日本企業の幹部がやりがちな、いわゆる、”Say Hello”的な挨拶や面識作りだけの顧客訪問は時間の無駄として良しとされない。これは他のこれまでのITベンダの営業文化とは大きく異なる。顧客とAWSが、要望や要件をベースに真摯に話し合い、それをソフトウエアで実装していく。顧客も、エスカレーションや自分の意見を積極的に示す姿勢であることが期待されている。

これらは、AWSが持っている独特の文化、行動様式であり、これが続く限り、そう簡単に他社の追従を許すことはないだろうという結論になった。

最後に、これは時間が足りずに議論することができなかったのであるが、今後クラウド利用者会議で議論していきたい話題を1つあげる。それは、クラウドがセキュリティ人材の不足問題を解決するのではないかということである。セキュリティを、ソフトウエアおよびサービスで提供するAWSのアプローチは、提供されたセキュリティ機能を利用してセキュリティ対策を行うとともに、サービス化された仕組みを組み合わせて、自らのガバナンス、ポリシーを効率的に実現することができるようになる。しかも、グローバルで一貫しているので、企業の規模などにとらわれずにセキュリティ対策を取ることができるようになる。このクラウドにおけるセキュリティ対策により、有象無象なセキュリティ課題に対して一貫した対策を取ることができ、セキュリティ人材の不足をカバーすることができるのではないかと思われる。また本格的なクラウドの進展により、求められる人材像も変わってくる。これまでの個々のベンダー製品に関する製品固有の知識やコマンド操作ではなく、本来のセキュリティやネットワークの原理・原論の知識と応用、利用企業のビジネス要求の理解とコントロールのしっかりした考え方は、逆に極めて重要になってくる。さらに進んで、言われた通りのベンダー製品の導入運用監視をするだけのセキュリティ人材は、かつての電話交換手のように、いらなくなる時代が来るかもしれない。

クラウド、特にAWSのセキュリティの進化には、これからも注目していきたい。

以上

 

日本型クラウド利用について ~ 第2回クラウド利用者会議

第2回クラウド利用者会議 レポート

2016年8月22日
CSAジャパン 諸角昌宏

第2回クラウド利用者会議は、クラウド事業者としてユニアデックス株式会社様をお招きし、クラウド利用者を中心とした11名にご参加いただき8月4日(木)に開催した。ここでは、会議の概要について記述する。

まず、ユニアデックス様が提供しているU-Cloud IaaSサービスについて説明していただいた。U-Cloud IaaSでは、所有と利用を適材適所で組み合わせた、 ハイブリッド型の企業情報システムを提供している。これにより、どうしてもクラウドを自社で所有したい場合とクラウドサービスを利用する場合との両方の要件を満たしている。また、U-Cloud IaaSを特徴づけているのは、マネージド型クラウドで、AWS等のセルフサービス型クラウドと比較して以下の特徴を持っている。

  • 運用監視、セキュリティなどをオプションで提供している
  • 障害対応など、クラウドサービスチェックリストに基づく実証報告を行い、サービスレベルを高めている

これにより、企業基幹システムをクラウド化する場合に求められる要件である、 高いサービスレベル、強固なセキュリティ、きめ細やかな 導入支援/運用サービスを提供することが可能になっている。そのほか、マネージド型とセルフサービス型の比較は以下を参照していただきたい(ユニアデックス様資料より引用)。

uniadex

さて、会議ではマネージド型クラウドに対する様々な質問が上がった。運用監視について、SEが要件を聞いた上で構築を行うということがクラウド環境で本当に必要なのかどうか、また、利用者はそこまで支援してもらえないとクラウドが使えないのかとういう問題提起がなされた。また、クラウドサービスチェックリストに基づく報告に意味があるのかどうか、特に各種ガイドラインで示されている内容で十分なのかどうかが議論された。たとえば、FISCのガイドラインを見ると、リスクの管理すべき項目をチェックしているが実装のレベルは求められていない。したがって、準拠しているかどうかの粒度は違ってくる。そもそも、準拠しているかどうかという質問自体がおかしく、○×ではなく内容の説明が必要である。利用者は、中身の精査を行うことが必要で、利用者の企業の基準に合っているかどうかをきちんと判断することが必要である。

さて、今回の会議で大きなポイントとなったのは、日本においてはマネージド型クラウドが必要なのかどうか、また、マネージド型クラウドでないと日本の利用者はクラウドを利用することが難しいのかどうかという点である。つまり、マネージド型クラウドが日本独自のクラウド利用形態なのかどうかということである。

グローバルにクラウドの導入を行っている企業では、導入時に、海外がイニシアティブをとっているところではセルフサービス型、日本がイニシアティブをとっているところはマネージド型となっているケースが多いようである。そのようなケースを考えると、海外ではセルフサービス型クラウドが利用され、日本ではマネージド型クラウドが利用されているのはなぜかという話になってくる。その一つの状況が、企業におけるITのリテラシである。海外においてはIT部門に所属する人の70%以上が技術に詳しいエンジニアであるが、日本の場合はおそらく20%以下であろう日本においては、80%以上が外注に出している状況である。このような状況で、セルフサービス型を使った自前の実装・管理は成り立たないと言わざるを得ない。(注:ここに出ている数値は、客観的に統計データとして出ている数字ではなく、あくまで会議参加者が把握あるいは推測している内容である)。。

また、不正競争防止法があり、経営秘密に対する安全管理処置が必要になる。クラウド業者の選定に当たっては、全体としての安全措置が確保されている必要があるため、委託先の守秘義務の整備、ファシリティ対策、不正アクセス対策等を行っていくことが必要になるため、どうしてもマネージド型が必要になってくる。また、日本でAWSを使っている場合でも、ほとんどパートナーが面倒を見ており、日本の利用者が裸でクラウドを使うことはありえないとのことである。

以上のような状況ではあるが、今後この状況が変わっていく動きもある。それは、ビジネスのスタートアップ企業が増えてきている中で、ITサービスをオンプレで賄うことができなくなってきているためである。また、既存の企業においても、スタートアップ企業との競争に勝っていくためにはIT投資を抑えるための取り組みとITリテラシの向上の取り組みが進んできているということである。これらが組み合わさって、海外の企業の考え方や利用の仕方が促進されてきている傾向が見られる。

一方、マネージド型クラウドのベースにあるSIerという考え方は、日本独自というわけではなく、インド、韓国等でもSIer文化が出来上がっているとのことである。マネージド型クラウドは、決して日本独自のクラウド利用形態ということではなく、セルフサービス型クラウドとマネージド型クラウドでそれぞれ利点を生かしつつ共存していくということが言えると思われる。

以上

 

欧州の社会課題解決型イノベーションと個人データ保護 ~第19回CSA勉強会

日本クラウドセキュリティアライアンス
諸角 昌宏

1月25日に行われた第19回CSA勉強会では、「欧州の社会課題解決型イノベーションと個人データ保護」ということで、笹原英司氏に講演していただいた。今回は、勉強会としては初めて「特定非営利活動法人横浜コミュニティデザイン・ラボ」との共同開催ということで、いつもとは違った交流を行うことができた。

ここでは、勉強会で解説された内容をいくつかトピック的に記述する。なお、内容について笹原氏にレビューしていただいた。

  1. EUにおけるeHealthの考え方
    EUにおいては、イノベーションのベネフィットと個人データ保護のリスクのバランスを図ることが政策目標となっている。EUでは、国境を超えたヘルスケアが日常的なため、複数の国で利用されることを前提としつつ、eHealthによるイノベーションの成果を社会課題解決のためのソリューションとしてパッケージ化して海外に輸出することによって、雇用創出や経済発展につなげようとする考え方が一般的だ。このようなEUの発想は、日本にとって参考になる点が多い。
  2. EUにおける個人データ保護
    EUの方が米国等に比べて、個人データの対象範囲が広く、かつ、厳しくなっている。ただし、あくまでもイノベーションと消費者保護のバランスを取りながら、時代の経済政策と共に変化している。 昨年(2015年)、新たに「EU保護規則」が合意された。従来の「指令」が「規則」に代わったことにより、すべてのEU加盟国に一律適用されるものとなった。ちなみに、「指令」の場合は、EUが定めた共通ルールに基づいて各国が具体的な対応策を決めることになる。これらの動きと同時並行で、IoTやBigDataのセキュリティ/プライバシー保護に関するルール作りも進んでいる。
  3. デンマークの医療
    デンマークは、電子政府/オープンデータ基盤を非常にうまく利用している。高い普及率の電子カルテシステムをベースに、ナショナルデータベースを構築・運用しており、これに基づいた分析データが様々に利用されている。これは、国民共通番号制に基づくデータの収集および利活用を、中央政府と地方政府、市民、企業が協働することで実現しており、その背景には、子どもの時からの教育重視の姿勢がある。デンマークの教育では、社会参加意識を非常に重視しており、市民参加を誘発するように教えられている。たとえば、デンマークで電子投票を行うと90%以上が投票するということである。また、ノーマライゼーションの原則があり、障害者と健常者が区別されることなく社会生活を共にするという意識が徹底されている。このような文化が根付いているデンマークでは、個人データの収集と利活用が全国民参加の上で実現できている。
  4. 日本におけるデジタルヘルスラボ・プロジェクト
    演者が関わっている活動の1つとして、デジタルヘルスラボ・プロジェクトがある。これは、デジタルハリウッド大学大学院と横浜市が協業して行っているもので、「デジタル」+「医療・健康」の分野で起業またはサービス開発を支援し、その「実装」を本気で追究している。通常、ビジネスモデルの検討で行き詰るのは、お金の問題等で実装ができないということが多い。このプロジェクトでは、実装を追求することで企業およびサービス開発を支援していくということである。医療系のサービス開発に際しては、個人情報保護やセキュリティ対策が常につきまとうので、早期から取組を始める必要がある。
  5. CSAは何をやっているか?
    EUとCSAの協業活動として、以下の2つを進めている。

    1. Cloud Security Alliance Privacy Level Agreement WG
      EUのレベルでの個人情報保護のチェックリストを作成し、米国のクラウドベンダーがEUでビジネスを行うためにどうすれば良いかを記述したドキュメントを公開している。これには、従来のセーフハーバー対策も含まれており、今後は「プライバシーシールド」への対応がテーマとなる。
    2. SLA-Ready
      EUの活動の一環として、中小企業向けの振興策としてのクラウド利用に対して、どのようなSLAであればセキュリティが担保できるかの検討を行っています。SLA-Readyについては、以下のCSAジャパンブログで触れているので、こちらを参照していただきたい。 http://cloudsecurityalliance.jp/newblog/2015/02/13/sla-ready%e3%81%8c%e3%83%a8%e3%83%bc%e3%83%ad%e3%83%83%e3%83%91%e3%81%a7%e7%99%ba%e8%b6%b3/

さて、上記のようなEUにおける個人情報の扱いを踏まえて、日本が今後どうなっていくのか。グローバルの視点に立って、我々も考えていく必要がある。また、「Privacy Level Agreement WG」や「SLA-Ready」の内容については、日本にも適用できる部分も大きいので、いろいろと検討を進めていきたい。

以上

SaaS環境のクラウドセキュリティについて ~第18回CSA勉強会

日本クラウドセキュリティアライアンス 業務執行理事
諸角 昌宏

12月16日に行われた第18回CSA勉強会では、SaaS環境のクラウドセキュリティについてということで、セールスフォース・ドットコムの高橋悟史氏に講演していただいた。関心の高いテーマということで、多数の申込者があり、また、質疑も活発に行われて有意義な勉強会になった。また、SaaSだけではなくPaaSにも焦点を当てたクラウドセキュリティということで、非常に幅広くカバーしていただいた。

ここでは、大きく4つの点(プラットフォームセキュリティ、信頼性、セキュリティ管理機能、透明性)で勉強会の概要を説明する。

  1. プラットフォームセキュリティ
    セールスフォース・ドットコムでは、インフラ、ネットワーク、アプリケーションのすべての層においてセキュリティ対策を施している。インフラ、ネットワークでは、セールスフォース・ドットコムがセキュリティ対応をできるように24時間365日で管理を行っている。
    アプリケーションにおいては、シングルコードによる高い品質を維持し常に最新のものを使用することでセキュリティレベルを高めている。
    また、信頼を確保するために、年間数千億円の投資を行っており、外部の監査も定期的に受けている。
  2. 信頼性
    セールスフォース・ドットコムが一番強調しているのは信頼性である。稼働率はともかく、今まで一度もセキュリティ侵害を受けたことがないということはすごいことである。
    また、データのミラーリングやグローバルのデータセンターを用いたバックアップサイトを運用することでデータの可用性を高めている。
    バックアップサイトを日本に作る計画も進んでおり、これにより法域の問題やデータセンターへの立ち入り監査の問題に対応できるようになる。
    さらに、大規模マルチテナントであることから、作業できる要員の集中化を実現している。データセンターの運用に携われるのは信頼のおける人間のみとしており、プロバイダの人的な問題にも対応している。
  3. セキュリティ管理機能
    二要素認証、シングルサインオン(SAML2.0およびOpenID Connectに対応)、および、IDプロビジョニングによるID管理の安全化を行っている。
    データの暗号化については、鍵管理がサーバ側になっているが、SalesForce Shieldというオプションの暗号化機能を使うとサーバ内に鍵を保存することなく、必要なときにのみ鍵が生成されることになる。クラウドにおける鍵管理の原則は、利用者側で鍵を管理することであるが、それを実現するための1つの方法となっている。また、HSMによる厳重な鍵管理も行われており、非常に高度な暗号化と鍵管理を実現している。
    マルチテナントデータベースのセキュリティ対策として、テナント(利用者)ごとのテーブル構造が分からないようにしている。これは、メタデータによりテナントごとのマッピングを行うことで、自分のデータは自分しか見えないようにしている。これにより、データベース管理者がテーブルごとデータを抜き出したとしてもデータが漏洩することにならないようなセキュリティ対策が施されている。
    ネットワークについては、TLS1.2+AES256に対応した安全な通信を行っている。また、PCIDSS 3.1へのコンプライアンスとして、来年にはTLS1.0の接続をシャットアウトする予定とのことである。これは、利用者によっては問題になる場合もあるが、より安全なネットワーク環境の提供を行うということで進めている。
    データセンターの運用として、データセンター内にサーバにログイン可能な環境はなく、すべてリモートで運用を行っている。これにより、データセンター内で問題が起こらないように対策を取っている。また、データベースまでアクセスできる要員は少数の従業員のみとしている。
    さらに、社内にEthical Hackingチーム(redチームと呼ばれる)があり、ハッキングおよびペネトレーションの調査等を行っている。これは、独立した組織として活動しており、問題を見つけた場合にはすぐに対応を指示できるようにしている。
  4. 透明性
    http://trust.salesforce.comというウエブページに情報を公開し、稼働状況やメンテナンスのスケジュール等を公開し顧客が見える形で情報を提供している。また、もし顧客から要請があれば包み隠さず情報を提供する体制になっている。また、レギュレーションについても、要請があれば提供できる体制になっている。
    バージョンアップなどについては、顧客に事前情報提供を徹底し、できるだけ顧客に影響が出ないようにしている。

セールスフォース・ドットコムのセキュリティということで、非常に深く対策が取られていることがわかった。その上で、透明性を高めて利用者に対する説明責任を果たしている。このように、クラウドプロバイダとしての方向性を決めていくようなセキュリティ対策となっていると思われる。

CSAのガイダンスで述べているように、IaaSと違いSaaS/PaaSに関しては、プロバイダのセキュリティ対策に依存しなければならないところが多い。しかしながら、説明責任は利用者側に残る(セキュリティ対策はプロバイダ側に移動したとしても説明責任は利用者側に残る)ことに基づき、利用者のリスク管理の一部としてプロバイダのセキュリティレベルをきちんと確認しておくことが重要になる。セールスフォース・ドットコムのセキュリティ対策は、プロバイダが行うべきセキュリティ対策として、利用者が確認しておくべきことの指針になるものと思われる。

なお、勉強会の資料は2週間後を目途に一般公開される予定なので、詳細についてはそちらを参照してください。

CSA Japan Congress 2015 盛況裡に閉幕

一般社団法人日本クラウドセキュリティアライアンス 業務執行理事
勝見 勉

11月18日(水)、日本でのCongressとしては2回目の開催となるCSA Japan Congress 2015が開催されました。朝から空模様があやしく、午後からは雨になった中、140人の多数にご参加いただきました。運営スタッフ、講演者、プレス関係などを入れると170名を超え、ほぼ会場キャパシティ一杯になるという盛況でした。

今回の「目玉」は日本情報経済推進協会(JIPDEC)・情報セキュリティマネジメントセンター、高取敏夫参事による特別招待講演「ISMSをベースにしたクラウドセキュリティ~ISO27017の最新動向」です。クラウドに特化した初めての国際標準規格であるISO/IEC27017の正式リリースがもう間もなく、という時期に、この27017に基づく、ISMSのクラウド情報セキュリティに関するアドオン認証の創設という話題を中心にお話し頂きました。このクラウドセキュリティアドオン認証は、11月16日にJIPDECから発表されたばかりの、湯気がホカホカ立っているような情報で、世界に先駆けてクラウドのISMS認証を制度化するという画期的なものでした。受講者の多くもこの解説を目当てに参加されたものと思われます。27017そのものが日本の提案を基に日本主導で開発が進められたという意味でも、ISO/IECベースの国際標準化の歴史の中では画期的なことでした。クラウドサービスの開発では世界をリード、と言えない日本も、クラウドの最大の関心事であるセキュリティに関しては世界をリードする立場に立っていると言えます。その意味で世界最先端・最新の情報に接することができて、聴衆の皆様共々、感慨深いものがありました。

Japan Congress 2015のもう一つのテーマは、新しいクラウドセキュリティ技術でした。中でも特別テーマ講演にお招きしたヤフー株式会社上席研究員の五味秀仁氏からは、「FIDO-次世代認証方式とクラウド」というタイトルで、クラウドにおけるユーザ認証に親和性の高い、パスワードレスの認証スキームであるFIDO(Fast IDentity Online)について紹介と解説を頂きました。この他にスポンサー講演、ゲスト講演、パネルディスカッション等を通じて取り上げられた新しい技術トピックとしては、CASB(Cloud Access Security Broker)、SDP(Software Defined Perimeter)、コンテナ、トランスペアレントな暗号化、27018(クラウドにおける個人情報保護)が挙げられます。

クラウドはコンピューティングプラットフォームとして広く定着する方向を見せています。昨今のサイバーセキュリティ脅威や情報漏えいに対する管理・防御を考える時、専門家により安定的・トラブルレスの運転が期待でき、セキュリティ管理も充実しているクラウド環境は、ITに多くの予算と人材を割けない中小企業こそ、積極的に活用すべき社会的リソースと言えます。そしてそのセキュリティは、技術面からも、マネジメントシステムの面からも、ますます充実していくことが期待できます。今回のCongressは、こういった流れを明確に打ち出し、理解を深めるとともに、そのための最新トピックを盛りだくさんに提供する素晴らしい機会になったと言えると思います。

更に付け加えるならば、冒頭の日本クラウドセキュリティアライアンス会長・吉田眞東大名誉教授のご挨拶では、春に開催するSummitが発信の場と位置付けられるとすれば、秋に開催するCongressは「クラウドのセキュリティについて多面的に取り上げ、最新の情報を提供し、クラウドとセキュリティのベンダ、サービスプロバイダ、インテグレータ、ユーザ、関係機関が一堂に会し、クラウドを取り巻くセキュリティ課題を議論する 」場である、と整理されました。多士済々のスピーカと、パネルも含むプログラム構成はこれを十全に体現したと言え、充実した一日を、多くの関心高い人たちと共有できたと思います。

おわりに、最後まで熱心に聴講いただいた受講者の皆さまと、設営・運営スタッフ、そしてたいへんバリューの高いプレゼンを頂いた講演者の皆さまに、この場をお借りして感謝の意を表して、Congressレポートのブログのまとめにしたいと思います。どうもありがとうございました。

 

CASB (Cloud Access Security Broker)概要、ケーススタディー(第14回CSA勉強会)

CASB (Cloud Access Security Broker)概要、ケーススタディー(第14回CSA勉強会)

日本クラウドセキュリティアライアンス
諸角 昌宏

7月28日に行われた第14回CSA勉強会について報告します。テーマは、「CASB (Cloud Access Security Broker)概要、ケーススタディー」ということでした。クラウドセキュリティの新たな潮流であるCASBは、あらゆるクラウドサービスの安全な利用のためのテクノロジになります。今回、日本で真っ先にCASBソリューションを展開しているマクニカネットワークスさんのみなさまに、CASBとはなにか、どのように使われるものかについて、デモを交えて説明していただきました。

まず、ブローカーという言葉とクラウドセキュリティをどのように結び付けているのか、というのがCASBという言葉を最初に聞いた時の感覚でした。ユーザの代理でクラウドセキュリティを担保してくれるようなサービスであれば、それは望ましいことですが、果たしてそんなことが可能なのでしょうか。もし、サービスを使っている状況でセキュリティ侵害が発生したら、保証問題になってしまうのでしょうか。ということで、あまりビジネスモデルが思いつかない状況で今回の勉強会を聞きました。

さて、クラウドの利用者は、どのような基準でプロバイダやクラウドサービスを選べばよいのでしょうか。CSAのガイダンスでも言っているように、基本はプロバイダとの契約にどこまで要件等を落とし込めるかになります。しかしながら、プロバイダが提供している情報でどこまでプロバイダを選定することができるか、また、クラウドの場合、サービス自体がサプライチェーンとなっている場合も多く、それらを含めてすべて理解することはほぼ不可能です。そのように考えていくと、CASBが徐々に見えてきます。CASBは、最初にガートナーが定義したところによると、「1つ以上のクラウドベースサービス全体で、単一のポリシーを適用できる」とのことです。要は、クラウドサービス(群)とユーザの間にアクセスポイントを提供し、そこでセキュリティポリシーを強化していく技術であるということになります。特に、シャドーITのように、利用者側で使われているクラウドサービスがコントロールできないような環境において、CASBが仲介することでコントロールを可能にするテクノロジになります。

CASBは、ガートナーの予想では、今年の市場規模が$100M、2018年には$400Mに達するということで、既に10社を超えるCASBベンダーが存在しているようで、この3年間で最も注目されるテクノロジとのことです。また、別のデータとして、1企業が利用しているSaaSアプリケーションの平均が1.083個であるとのことです。これは、シャドーITを含めた数字になりますが、相当数のSaaSアプリが既に使われていることがわかります。
さて、CASBですが、以下の4つの柱からできています:

  1. 可視化
  2. コンプライアンス
  3. データセキュリティ
  4. 脅威防御

この4つの柱を見ていくと、CASBの活用事例が見えてきます。まず、クラウド利用の現状を把握します。いわゆるシャドーITの実態を可視化により把握できるようにします。次に、クラウドサービスを管理された状態にします。これにより、コンプライアンス要件を満たしていくようにします。また、既存のテクノロジ(DLP等)と連携し、データ保護、脅威防御を実現し、オフプレミスでのデータ活用を促進できるようにします。最後に、クラウドサービスのライフサイクル全体を支援することで、ビジネスの俊敏性を実現していくことになります。

勉強会では、さらにSkyHighのデモを交えて、具体的にCASBでどのようなことができるかを説明していただきました。2つのIT(シャドーITと許可されたIT(sanctioned IT))で、どのようにCASBが利用されるかというデモでした。

  1. シャドーIT
    シャドーITに対しては、CASBの持つ可視化機能によって、すべてのクラウド利用状況を把握することができるようになります。また、クラウドサービスのリスク判定を行い、リスクアセスメントポイントを設定しています。これは、SkyHighがCSAのCCMをベースに独自に調査を行ったもので、既に4,000以上のSaaSアプリケーションが登録されています。ユーザは、このポイントを基にリスクを判断し利用するかどうかを決定することができます。
  2. 許可されたIT
    ログ等を集め解析を行います。これにより、監査証跡、ポリシーの強化、コンプライアンス対応等を行うことができます。また、イベントに基づく検知や脅威防御を、DLP製品等と連携して行うことができます。

以上のように、クラウド利用において問題となるセキュリティ対策を、利用者とクラウドサービスの間に立って行うことができるということから、今後、期待されるテクノロジということができます。解決しなければならない問題、たとえば、CASB自体が単一障害点になったり、ボトルネックになったりする可能性や、モバイルを用いた外部ネットワークからのアクセスの対処などが考えられるようですが、解決が難しい問題ではないと考えられます。

最後に余談ですが、CASBとタイプしようとして、CSABとタイプしてしまうことが結構あり、職業病かなと思うところもあります。CSAB(CSA Broker)なんて存在が必要にならないよう、CSAも地に足を付けて頑張らなければと思います。

以上、概略ですが、勉強会の報告といたします。

以上

 

SDPと2015年度データ漏洩/侵害調査報告書の報告(第13回CSA勉強会)

SDPと2015年度データ漏洩/侵害調査報告書の報告(第13回CSA勉強会)

2015年7月1日
日本クラウドセキュリティアライアンス 諸角昌宏

6月29日に行われた第13回CSA勉強会について報告します。テーマは、「SDPと2015年度データ漏洩/侵害調査報告書」ということで、ベライゾンジャパンの皆様に講師をやっていただきました。SDPは、Software Defined Perimeterということで、5月のCSA Summit Japan 2015でJim Reavisが触れていたクラウドセキュリティの新しい潮流の1つです。ベライゾンは、SDP仕様書V1.0の作成を中心となって行っており、SDPに関しては事例も含めて先進的に進めている会社になります。また、ベライゾンはセキュリティの調査レポートを毎年出しており、今回は8回目として”2015 DATA BREACH INVESTIGATIONS REPORT”を公開しています。

それでは、まずSDPについて勉強会の内容を報告します。

そもそもSDPとは?ということですが、”Temporal Network”ということで「一時的なネットワーク」という表現をされています。つまり、伝統的な固定ネットワークではなく、ダイナミックに接続先が決まることで攻撃のターゲットが明確にならないようにして守っていくという手法になっています。個人的には別のスライドで使われていた” Secure Non Discoverable Network”、つまりデバイスやIDが認証されるまでネットワーク上で見ることができないという表現の方がわかり易い感じがしますが、いずれにしろ、サーバのどこにアクセスするかは認証して接続するまで決まらないことでネットワーク上のセキュリティを保つためのアーキテクチャということになります。以下のような特徴を持っています。

  • ネットワークベースの攻撃からアプリケーションを守るためのセキュリティ・フレームワーク
  • “Need-To-Know”という形で、ダイナミックなネットワーク構築に基づいた「必要な時」に接続するモデル
  • DNSやIPアドレスをあらかじめ見せない

また、SDPは既存の標準に基づいて設計されているため、非常に安定したものであるということが言えます。また、CSAがオープンスタンダードとして使用を公開しているため、誰でも利用することができます。

さて、実際にSDPがどのように動作するかということですが、簡単に言うと以下の流れになります:

  1. デバイス(ブラウザなど)から、SDP Controllerにアクセス
  2. デバイスの認証を実施
  3. ユーザ認証および使用するアプリケーションの認可を確認
  4. アプリケーション・サーバをダイナミックにプロビジョニング
  5. デバイスがアプリケーションを利用

勉強会では、SDPを用いたいくつかの事例について紹介されました。また、CSA Conferenceで行われたハッカソンについての説明もあり、世界中からの150億アタックに対して、一度も破られなかったということでした。また、勉強会参加者から、SDPのユーザーズガイドやインプリメンテーションガイドが欲しいという意見、SDP Controllerでのポリシー管理に対する質問等が出され、活発なディスカッションになりました。今後、CSAジャパンを中心として幅広い情報共有や実装に向けての議論を進めることが必要であることを感じました。

次に、2015年度データ漏洩/侵害調査報告書について報告します。

まず、ベライゾンが強調していたのは、実際のデータに基づいたレポートとなっている点です。一般的に、このようなレポートはアンケート結果に基づくものがほとんどで、データに基づいた調査結果であり非常に信頼性が高いということができるようです。2015年の情報漏洩データとして、2,122件の漏洩事故および79,790件のセキュリティインシデントを分析したとのことで、特に今回はJPCERTのデータとして日本でのデータを含めたレポートとなっているとのことです。

この中で、いくつか特徴的な点として感じた点を以下にあげます。

  • フィッシングメールへの対応フィッシングメールの添付ファイルをクリックする確率が11%ということで、10通送れば1通は開かれるという状況とのことで、攻撃者から見ると非常に効率的な攻め方のようです。対策として最も重要なのはトレーニングで、セキュリティ対策では人が最終的な検知装置であることを認識する必要があるとのことです。
  • 脆弱性脆弱性を突いた攻撃の97%は、わずか10個の脆弱性に対する攻撃だそうです。さらに、攻撃の99.9%が、CVEの公表から1年以上経過したものだそうです。脆弱性に関する情報をきちんと入手および管理することと、パッチ適用などの伝統的な対策をきちんと行うことが重要になります。
  • 情報漏洩情報漏洩の原因として、Webアプリケーションを狙った攻撃はかなり少なくなっていて、反対に人をターゲットにした攻撃が増えていて、全体の90%以上を占めているとのことです。
  • 業界業界別では、製造業、小売業に対する攻撃が目立っているとのことです。また、教育機関への攻撃も多いとのことです。

その他、実際のデータに基づく非常に詳細な分析が行われています。このレポートの日本語版も近々公開されるとのことですので、期待したいと思います。

以上、非常に概略になりますが、勉強会の報告といたします。

CSA Summit @サンフランシスコ の報告(第12回CSA勉強会)

2015年5月28日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

5月26日に行われた第12回CSA勉強会について書きます。テーマは、「CSA Summit報告会」ということで、4月にサンフランシスコで行われたCSA Summitの内容を笹原英司氏に説明していただいた。Summit Japanが開かれたのが5月で、時系列的に逆になってしまったが、大変興味深い内容であった。

まず、大きなトピックとして、以下の3つであった。

  • SDP(Software Defined Perimeter)
  • STAR Watch
  • ワーキンググループの報告
    SDPは、Summit中に3回目のハッカソンが行われ、安全な環境を提供するアーキテクチャとして、着実に進んでいるようである。STAR Watchは、STARのSaaS版であり、ベータ版の公開を開始している。また、CSAの活動の中心であるワーキンググループについては、各グループから詳細な報告があった。

さて、CSAの活動の特徴として今回目立ったのは、米国とEUの協調の橋渡しとしてCSAが寄与してきているということであった。つまり、グローバルな標準化に向けて、CSAが大きな役割を担ってきているということである。典型的なのは、スノーデン事件の影響で、米国とEUの関係がぎくしゃくしている状態で、その間を取り持つ形でCSAが機能しているということである。CSAヨーロッパがEUと米国の合意形成に寄与することで、国に対する影響力も強めているということである。また、中国では、中国政府の認証機関CEPREIと共同でSTAR認証の中国版を作成している。これは、6月中には発表される予定で、米国、EU、中国という主要市場でSTAR認証の制度が確立することになる。

また、クラウドセキュリティの世界では、今まではGoogle, AWS等のビッグプレーヤーがセキュリティの標準というものを作っていたが、最近の傾向としては、プラットフォーム上で新しいセキュリティを作っていく新しい企業やベンチャー企業が進出してきているということである。いわゆる、クラウドブローカの流れで、新興企業による新しい産業の創出(Open-Innovation)が起こっているということである。日本でも、FinTechを中心に新しい企業を支援する動きがあり、これが新たな潮流になってきているとのことである。笹原氏によると、ITの定義自体が、Information TechnologyからInnovation Technologyに代わってきているというなかなか面白い表現で、これはもしかするとヒットする用語になるかもしれないと思われた。また、笹原氏はセキュリティに対する今後の日本のかかわり方として、以下の2つのアプローチがあることを強調されていた。

  • 安全を担保するための情報共有を積極的に行っていくこと
  •  Innovationを起こして、産業を創出していくこと

その他、各ワーキンググループからの報告で特に印象に残ったのは以下の点である。

  1. STAR WG
    先ほども触れたSTARWatchがアナウンスされた。STAR認証をSaaS型で実現するもので、EXCELを埋めていく従来のやり方から一歩進んだ形になっている。日本側でも、この運用をどうするかを早急に検討する必要がある。ベータ版が公開されていることから、検討を開始したい。
    また、STARへの新たなマッピングとして、FedRAMP、27018、NIST Cyber Security Frameworkが追加されることになっている。
  2. IoT WG
    モバイルワーキンググループから独立して、活動を開始していて、CSAジャパンの活動もグローバルから評価されている。新しいドキュメントとして、”New Security Guidance for Early Adopter of the IoT”がリリースされている。IoT WGの最終的なターゲットは、企業向けIoTのセキュリティであり、特にプライバシーの保護をどのように進めるかが今後の研究テーマとなっているようである。
  3. CISC(Cyber Incident Sharing Center)
    これは、以前CloudCERTと呼ばれていたものある。ホワイトハウスが進めている情報共有の動きに合わせて活動を行っている。CSAの役割としては、民間、政府などと違ってニュートラルなポジションにいることを生かして、情報を集めるときに発生する利害関係をCSAが間に入ることで円滑に進めていくということである。
    CISCは、日本企業、特に米国の日系企業にはインパクトが大きく、米国の情報をどのように本国で対応していくかなど、法的な問題も含めて見ていく必要がある。

以上、CSA Summitの報告を簡単にまとめてみた。グローバルという観点で見た場合のCSAの重要度が感じられる内容で、CSAジャパンとしてもさらに活動を活発化していく必要があることを強く感じた。

 

第11回CSA勉強会「NIST draft SP800-125a Security Recommendations for Hypervisor Deploymentの解読」

2015年5月1日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

4月28日に行われたCSA勉強会「NIST draft SP800-125a Security Recommendations for Hypervisor Deploymentの解読」に参加しました。講師は、株式会社 東芝 インダストリアルICTソリューション社の外山春彦氏です。

そもそもハイパーバイザの脅威とは何かということですが、ハイパーバイザに入れればなんでもできてしまうということとハードウエアリソースの共有による可用性の問題の2点があげられます。CAIの観点からいうと、VMの操作・情報漏えいに関わるCIとVMの可用性を妨害するAということになります。NIST SP800-125aでは、ハイパーバイザのセキュリティに関するベストプラクティスを集めた形でまとめられています。NIST SP800-125aは、2011年に出された125に次いで出される形になっていて、125では仮想化全体についてのハイレベルな記載になっていたのに対して、125aではハイパーバイザを体系的に捉えることと運用に焦点を当てたセキュリティの推奨事項を22項目にわたってまとめています。特に、以下の3つの観点でまとめられています。

  1. ハイパーバイザのアーキテクチャおよびその選択
  2. ハイパーバイザのベースラインに対する脅威
  3. セキュアブートをサポートしたアーキテクチャを前提

アーキテクチャの選択基準としては、ブートインテグリティ保証があることやCPUの仮想化機能を持っていることを前提としているなど、たぶんにIntelアーキテクチャ、特に最新のものを前提としているようです。これにより、仮想化機能の実現手段として、ハードウエアからの支援とソフトウエアの両面から行っていくことが推奨されます。ベースラインに対する脅威としては、境界面からの脅威があげられています。脅威源として、リソース、ゲストに加えて管理コンソールへの攻撃を注意する必要があります。ハイパーバイザ固有の攻撃としては、悪意のあるVM,通信のなりすまし、リソースの食いつぶし、特権インターフェースの利用の4点があげられます。したがって、ベースライン機能に対するセキュリティ推奨としては、実行のアイソレーション、デバイスエミュレーションとアクセス制御、VMの管理、アドミン管理が必要とのことでした。

最後にまとめとして挙げられたセキュリティの推奨事項として以下の3点がありました。

  1. ハイパーバイザプラットホーム選択
  2. ホスト上の複数VM(設定・状態)を管理する必要性
  3. ハイパーバイザホスト&ソフトの管理者設定

ハイパーバイザのリスクは、ENISAの「クラウドコンピューティング情報セキュリティに関わる利点、リスクおよび推奨事項」の中の「V5.ハイパーバイザの脆弱性」でまとめて記述されているような固有の脆弱性を持っています。また、CSAのガイダンスにおいては、ハイパーバイザのセキュリティ対策として、第13章「仮想化」で詳しく触れています。また、ハイパーバイザのセキュリティは、ハードウエアやソフトウエアの支援の下に実現していくことが大切であると感じました。Intelアーキテクチャのハードウエア支援や、VMWareのvShield機能などを利用して対策を取っていきたいと思います。SP800-125aは、まだドラフトですが、今後のハイパーバイザ/仮想化の基準として抑えていく必要がありそうです。

なお、本勉強会の詳細については、改めて公開される勉強会資料を参照してください。

以上