クラウド&データセンター完全ガイド:特集
セキュリティ強化策としてのデータセンター/クラウド活用
「データセンターセキュリティガイドブック」が示す重要ポイント[Part3]
2015年12月21日 00:00
[Part3] 「データセンターセキュリティガイドブック」が示す重要ポイント
日本データセンター協会(JDCC)では、データセンターにまつわる各種課題に対するノウハウを共有すべく、さまざまなドキュメントを発行している。ここでは、同協会のセキュリティワーキンググループ(WG)が2015年8月に発行した「改訂版 データセンター セキュリティガイドブック」から、データセンターのセキュリティにおいて今、何に着目すべきかのポイントを読み解いてみたい。 text:柏木恵子 photo:河原 潤
セキュリティガイドブック発行の背景
「データセンター セキュリティ ガイドブック」が最初に発行されたのは2013年8月。JDCCのWGは、同WGが中心となって研究・蓄積してきたノウハウやベストプラクティスを一般公開のかたちで広めてきた。その後、データセンターを取り巻く環境がまた変化したことを受けて内容をアップデートしたのが、これから紹介する改訂版である。
基本的には、JDCCのWebページ(http://www.jdcc.or.jp/pdf/DC_Security_Guidebook_2015.pdf)からダウンロードして読んでいただきたい。以下では、2015年12月2日開催のデータセンターコンファレンス2015 Winter(主催:データセンター完全ガイド編集部)に登壇したJDCCセキュリティWGリーダの松本泰氏(セコム IS研究所、写真1)の特別講演の模様から、セキュリティガイドブックの読み解き方として、同ガイドブックの作成・改訂に携わった専門家が挙げるアップデートのポイントや、データセンターを利用する上での着目点などを紹介していく。
JDCCは、データセンター事業者やゼネコン、ファシリティ管理会社などのメンバーで構成される業界団体だ。JDCCの各WGで研究するテーマやその成果物としてのドキュメントは事業者間でのノウハウ共有を目的としているものが多いが、このガイドブックは、「特にデータセンターを利用する企業ユーザーに読んでいただきたい」(松本氏)ということで、ユーザーに今日のデータセンターのセキュリティレベルを理解して、自社の情報資産を安全に運用してもらうことを啓蒙する内容となっている。
松本氏は、セキュリティガイドブックを作成・公開にするに至った背景に「データセンターの社会基盤化」があると話す。かつて、インターネットデータセンター(iDC)が登場した当初、データセンターはインターネットにつながっていること自体が重要で、セキュリティはあまり重視されていなかった、と松本氏。「というよりも、セキュリティを重視するような情報やシステムはデータセンターに預けなかった。しかし歳月が流れて状況が大きく変わり、現在はむしろ、重要なものを社内で十分に管理できないので、データセンターに預けるケースが多くなっている」(同氏)
世の中の情報資産のかなりの部分がデータセンターに集まり、さまざまなサービスがデータセンターを通して提供されるようになった現在、データセンターは社会インフラになったと言っても過言ではない。つまり現在では、データセンターのセキュリティは社会インフラのセキュリティになりつつあるということだ。「そこでは、データセンターの事業者と利用者がセキュリティについて議論できる共通言語が必要だ。このセキュリティガイドデックは、そのたたき台となることを目指している」と松本氏は同ガイドブックがはなすべき役割を説明している。
コンセプトと想定読者
セキュリティには秘匿性、完全性、可用性の3つの分野がある。このうち可用性については国内で事実標準となったデータセンターファシリティ指標であるJDCCファシリティスタンダードで扱うものとし、セキュリティガイドブックでは秘匿性と完全性についての考え方を示している。
「可用性については、電源や空調の冗長化など、定量的に評価することが比較的容易だが、それ以外のセキュリティは定量的評価が難しい。このため、さまざまな基準やガイドラインを示すことで、このガイドブックの読み手がセキュリティを基礎から理解できるように心がけた」
ただし、データセンターの利用者は多様で、業界ごとに求められるセキュリティが異なる。それぞれにガイドラインがあり、ドキュメントもたくさん出ているため、複雑化している面もある。「そこで、このガイドブックでは、『最高の』セキュリティではなく『適切な』セキュリティを、また『基準』ではなく『考え方』を示すことを目指している」と松本氏は説明し、想定する読者として以下の3つを挙げる。
(1)データセンター利用者
データセンターに重要な情報資産を含んだ情報システムをアウトソースしたいと考えているが、データセンター事業者がどういったセキュリティを提供しているのか理解したい、あるいはセキュリティの問題についての経営層への説明に困っている利用者。
また、データセンターが提供するセキュリティだけで完結するわけではないので、それを理解することで自社が構築する情報システムにおけるバランスのよいセキュリティを実現したいと考える利用者。
(2)データセンター事業者
データセンターのセキュリティについて網羅的に理解したい事業者。
また、自社データセンターのセキュリティの改善を検討中で、提供サービスにセキュリティに関する付加価値をつけたいと考える事業者。
さらには、多様な業界にサービスを提供していくにあたって、各業界のセキュリティ要求を理解したい事業者。
ガイドブックの各章の概要
それでは、セキュリティガイドブックの中身として、各章の概要を見ていくことにする。
1章:概要
10ページからなる1章は、「この章だけを読んでも、それなりにためになるように書かれている」(松本氏)という、いわゆるエグゼクティブサマリーである。1章を読むことでセキュリティガイドブックの全体像をつかみ、その後、自身にとって必要な章を選んで活用するという利用方法が想定されている。また、セキュリティの技術的な知識がなくても読めるようになっており、企業の経営層やビジネス部門長クラスに、データセンターセキュリティの動向全般を理解してもらうのに格好の章とも言える。
2章:データセンターのサービス(構造)
データセンターを構成するサービスや名称、用語およびサービスレイヤ/構造を解説した章。事業者にはいわずもがなの内容であり、ユーザー向けの章と言える。この2章で説明させている用語やサービス構造を前提にして、以降の章での解説が進むかたちだ。
セキュリティに関しては、物理ネットワークと物理セキュリティ区画の関係が図と共に解説されている(図1)。
また、改訂版で追加された内容として、IoT(Internet of Things)/CPS(Cyber Physical System)時代のDCIM(Data Center Infrastructure Management)を中心に統合管理されるデータセンターを想定し、その基盤となるBEMS(Building Automation System)やBEMS(Building and Energy Management System)について解説している。
3章:データセンターのセキュリティと管理策
セキュリティガイドブックのメインとなる章である。最初に、データセンターのサービスに対する、各種のセキュリティ上の脅威を説明している。その後、サービスを利用するにあたってユーザーが実施すべき脅威分析の方法が述べられている。
必読と言えるのが、実際のデータセンターでセキュリティ管理策をどのように実装していくかは、「架空のデータセンター」をモデルに解説している部分だ。セキュリティ管理策を実施する空間の定義(ゾーニング)の解説の後、JDCCファシリティスタンダードをベースとして、建物内をさらに「検査区画・共有区画」と「重要区画」の2つのレベルに分け、セキュリティレベルをレベル1からレベル5までの5段階で分類していく方法が、図解とともにステップバイステップで示されている(図2・3)。
4章:基準・ガイドライン・認証制度
4章では、データセンターのセキュリティに関連する基準・ガイドライン・認証制度をいくつかにカテゴライズして解説している(表2)。上述したように、データセンターを利用する業界が増えたことで、事業者には多様な基準・ガイドライン・認証制度への対応・考慮が求められ、複雑でわかりにくくなっている状況を整理するのに便利だ。一方、ユーザーは、自社が属する業界についてのみ参照すればよいだろう。
データセンターセキュリティの直近の課題
松本氏は、氏が長らくデータセンターセキュリティに携わる中で、今後注目しなければならないと感じているトピックを2つ挙げている。
1つは、重要社会インフラのセキュリティである。周知のように、2020年の東京オリンピック・パラリンピック開催に伴い国内でテロ対策の重要性が浮上し、とりわけサイバーテロにより重要社会インフラの制御システムを攻撃されるおそれが現実味を帯びている。また、データセンターを外から物理的に攻撃・破壊され、電源を全部落とされるといった事態も考えられなくはない。そのため、物理セキュリティと情報セキュリティを包括的に管理した防御のアプローチが求められており、JDCCにおいても、セキュリティWGを中心にこの課題への取り組みを進めているところだ。ただし、松本氏によれば、公表することで攻撃対象になるリスクもあるので、現在のところ外部には公開していない。
もう1つは、データセキュリティというトピックだ。昨今、大規模な情報漏洩事件が実際に起きていることから、データ自体のセキュリティへの関心が高まっている。情報漏洩の主要な原因として内部不正が問題になるが、これを完全に防ぐのは非常に難しい。加えて、近年はサイバー攻撃による情報漏洩事案が後を絶たず、この両面での際策が喫緊の課題となっている。
情報漏洩を防ぐという課題の一方で、日本の成長戦略には「ビッグデータ&パーソナルデータの利活用」が組み込まれていて、いかにデータをポジティブに活用していくかという課題もあることを松本氏は挙げる。分かりやすい動きの1つが、2015年10月より配布が始まった、社会保障・税番号制度(マイナンバー制度)の施行だ。また、マイナンバー制度の影に隠れた感があるが、同年10月には個人情報保護法の改正も成立している。
2005年より全面施行されて10年目を迎えた個人情報保護法は、情報を扱う企業にとっては迷惑な面もあったが、情報セキュリティビジネスには多大な影響を与えた。とはいえ、情報の利活用という意味では、個人情報を「金庫に入れて」保護する、つまり利用しないという方向に行ったために課題もある。今回の個人情報保護法改正では、ビッグデータ利活用による新事業・新サービス創出を促進する、そのための「個人情報の利活用と保護」が目的の1つになっている。「データセンター事業者にとっては、個人情報を金庫に閉じ込めておくための情報セキュリティから、個人情報を利活用するための情報セキュリティへと変化を遂げている」(松本氏)ということだ。
これまで、情報セキュリティに対する投資は利益を生まないコストと考えられてきた。しかし企業の競争力のための個人情報の利活用、そのための個人情報保護ということになれば、情報セキュリティ投資は企業の競争力のための投資ということになろう。
また、個人情報を利活用するためには、データセンターと顧客との信頼関係を築く情報システムが必要になる。松本氏は、そのためにも今後は「セキュリティ・バイ・デザイン」(情報セキュリティを企画・設計段階から確保するための方策)と「プライバシー・バイ・デザイン」(情報プライバシーを企画・設計段階から確保するための方策)がキーワードになると指摘している。
(データセンター完全ガイド2016年冬号)