クラウドセキュリティ動向 標準化の必要性とその動向(後編)

クラウドを実現する技術の標準化


 前編で説明したように、オンプレミス、複数のクラウドが混在した環境の問題を解決するには、標準化がポイントとなります。後編では、クラウドを実現する技術の標準化と、クラウドサービス運用の標準化の動向についてご紹介します。


クラウドを実現する技術の標準化


(1)クラウドサービス環境を利用するための管理インターフェイスの標準化
 IaaSクラウドサービスとして、Amazon Web Services LLCが提供するAmazon Web Services(AWS)が有名です。利用者からは管理インターフェイスとして、HTTP(S)を通じRESTやSOAPプロトコルで遠隔にあるマシン環境を利用します。AWSの代表例として仮想マシン(EC2)、仮想ストレージ(S3)等のサービスがあります。

 AWSと同等な機能のクラウドサービスは多く存在し、それらのサービスで利用者とのインターフェイスをAWS互換としているベンダーも多数あります。現在普及が進んでいるAWSのインターフェイスを採用することにより、すでにクラウド上に置いている情報を流用できたり、同一のインターフェイスのサービス同士で比較的容易に移行できるメリットがあります。このように、AWS互換インターフェイスは、現在のIaaSクラウドサービスのデファクトスタンダードに近い位置づけになっています。

 また、このAWS互換インターフェイスを持ったオープンソースのクラウドコンピューティングプラットフォームとして、EucalyptusやOpenStack等があります。これらを使用すれば、クラウドコンピューティングのプラットフォームを独自に構築できるようになります。例えば、いままで外部のAWS互換インターフェイスのクラウドサービスを利用していた企業が、プライベートクラウドを構築・移行するといった選択肢も出てきます。

◇Amazon Web Services
 http://aws.amazon.com/jp/
◇Eucalyptus
 http://open.eucalyptus.com/
◇OpenStack
 http://openstack.org/

(2)クラウド環境基盤技術のオープンソース化
 上記にてご紹介したオープンソースのクラウドコンピューティングプラットフォームの1つ、OpenStackについてここで簡単にご紹介します。

 OpenStackは、オープンソースのクラウドコンピューティングプラットフォームの1つであり、現在活発な活動が行われています。RackspaceHosting社とNASA(アメリカ航空宇宙局)が中心となり、多数の大手ITベンダーが参加して、オープンソースのクラウドコンピューティングプラットフォームの実現を目的としたプロジェクトが立ち上がっています。

 この狙いの1つとして、オープンソース化で普及と標準化を促進することによって、ベンダーロックインを解決することが挙げられます。リリースもかなりの頻度で行われ、企業でも、積極的に活動に参加するとともに、OSS(Open Source Software)ソリューションとして利用しています。

 これらの活動が普及することにより、クラウドコンピューティングの利用者・運用者が導入しやすい環境に発展することが期待されます。



クラウドサービス運用の標準化


(1)企業のセキュリティ運用への影響
 多くの企業で、情報セキュリティマネジメントシステムとしてISO/IEC 27001(JIS Q 27001)認証を取得し、もしくはこれを参考基準として運用しています。ISO/IEC27001を実運用する上のセキュリティ管理策のガイドラインとしてISO/IEC 27002(JIS Q 27002)にベストプラクティスが示されています。  しかし、現行のISO/IEC 27002は、クラウドコンピューティング環境を考慮した枠組みとはいえず、以下で紹介したクラウドコンピューティングに特有な脅威やリスクなどの問題があります。

◇クラウドコンピューティングのセキュリティ その課題と対策
 (2)安全でないクラウド利用手段
  http://cloud.watch.impress.co.jp/docs/special/20120403_522822.html

 すでにクラウドサービスを利用している企業の現場では、独自に対策案を検討して運用を見直ししていることでしょう。しかし、信頼できるガイドラインが存在しないと、企業としても対策案の妥当性に確信を持てないのではないでしょうか。

(2)クラウドサービスを考慮したセキュリティマネジメントの標準化動向
 上記の問題を解決するための1つの指針として、経済産業省から2011年4月に「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」が公表されました。これは、クラウドサービス利用に関する情報セキュリティ対策の観点から策定されています。ISO/IEC 27002に相当した、クラウドコンピューティング運用環境のガイドラインとなっています。

◇経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」
 http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html

ガイドラインの概要過去の障害事例と、それに対応するガイドラインの目次
※上図2点は、経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」より引用

 ただし、利用する際の注意点として、本ガイドラインはクラウドを全面的に利用した環境、すなわちクラウド運用環境に特化したものとなっています。

 多くの企業では、オンプレミスとクラウドとが混在する環境を採用していることから、クラウド化されていない運用箇所はISO/IEC 27002を適用し、クラウド化の影響を受ける運用箇所を明確にした上で本ガイドラインを適用していく必要があります。もちろん、各企業に特化した条件や運用方針などを考慮したうえで具体的な対策を決めていくこととなります。

 本ガイドラインは、ISO/IEC 27000シリーズに標準として組み込むことを目指して、提案・協議されています。ISO/IEC JTC 1 SC27のWG1()のベルリン会議(2010年10月)において、クラウドコンピューティングサービスのセキュリティ規格化案として、本ガイドラインをベースとした案を日本から提案しています。

 その後、シンガポール会議(2011年3月)、ナイロビ会議(2011年11月)で規格化に向けた検討作業が進められています。これらの協議は、SC27 のWG 4/WG 5と協調し、SC38やITU-Tともリエゾンを組みながら(連携しながら)推進されています。

ISO/IEC JTC 1は、国際標準を策定するISOとIECの合同委員会です。SC27はISO/IEC 27000シリーズの情報セキュリティ標準化を扱う副委員会です。WG1は情報セキュリティマネジメントシステムを扱うワーキンググループ、WG4はセキュリティコントロールとサービスを扱うワーキンググループ、WG5はアイデンティティ管理とプライバシー技術を扱うワーキンググループです。

◇ISO/IEC JTC 1
 http://www.iso.org/iso/jtc1_home.html
◇ITSCJ
 http://www.itscj.ipsj.or.jp/index.html



塚本修也(NTTソフトウェア株式会社)
 クラウドセキュリティに関する分野の業務は2年ほどになります。他の業務と並行で細く長く活動していますので、最近の多様化するクラウドや急速に普及するスマートフォンといった新しい流れに取り残されそうで、業務の合間に必死に情報を追っています。
 活動はチームとして行っていて、クラウド分野に限らず、セキュリティに関すること全般を扱っています。最近はクラウドやスマートフォンに関係する調査や開発を扱うことが多く、ナレッジやノウハウも溜まりつつある状況です。
関連情報