クラウド時代の到来をふまえ、ITのセキュリティを再構築する時が来た
~IPAクラウドセキュリティシンポジウム・基調講演
独立行政法人情報処理推進機構(以下、IPA)は16日、「IPAクラウドセキュリティシンポジウム」を開催した。IPAのクラウドセキュリティへの取り組みや国際連携についての報告や、Cloud Security Alliance(CSA)のJim Reavis氏による招待講演、クラウドセキュリティの課題についてのパネルディスカッションが行われている。
■「ITのセキュリティを再構築する時」~CSA Jim Reavis氏
Cloud Security Alliance事務局長 Jim Reavis氏 |
Security Alliance(CSA)のJim Reavis氏は、「Cloud Security Challenges, today and tomorrow: Global perspective」と題して、クラウドセキュリティの課題と世界における取り組み状況を解説。クラウド時代の到来をふまえ、「データの所有者や処理者のモデルが変わるなど、ITのセキュリティを再構築する時が来た」と語った。
CSAはクラウドセキュリティに関する非営利の団体で、業界80社と個人会員が参加している。CSAではクラウドをとりまくガバナンスやリスク管理、コンプライアンスといった分野についてリサーチし、ベストプラクティスのガイドラインなどを発表している。
Reavis氏は、今日のクラウドセキュリティの課題として、クラウドプロバイダの信頼性、データの安全性、クラウドソフトウェアのセキュリティ、クラウドサービスの不正利用、アカウントやサービスの乗っ取り、内部の人間の悪意、クラウド内からの攻撃の7点を指摘。
また、これからの課題としては、国境を超えた法や政策の整備、プライベートクラウドのセキュリティをパブリッククラウドと同じレベルにする必要性、リアルタイムのリスク管理とコンプライアンス、ID、セキュリティインシデントへの対応を挙げた。
Reavis氏が最も重要だと語るのが、ガバナンス、リスク管理、コンプライアンス(GRC)。具体的には、クラウドプロバイダの認定や、プライベートクラウドの認定、継続的なモニタリングと検証の必要性を挙げ、CSAが発表した「CSA GRC Stack」を紹介した。
CSA GRC Stackは、セキュリティ監査ツール群「CloudAudit」、セキュリティ管理のフレームワーク「Cloud ControlMatrix」、クラウドセキュリティの要件集「Consensus Assessments Initiative Questionnaire」からなるという。
また、ID課題も多大きな課題であるとし、CSAがまとめたベストプラクティスのホワイトペーパーを紹介。ユーザーが多数のIDを持たなくてよいようにすること、すべてのデータやアプリケーションなどに適用されるべきこと、二要素認証が必要であることなど摘要を語った。
また、クラウドセキュリティ問題への対応のため、保守的な態度ではなく、積極的に公的な政策に取り組み、世界中で通用するものとなるよう働きかけるべきと主張。「G-20」のような国際首脳サミットや、国際的な犯罪追跡のルールの必要性などを語った。
最後にReavis氏は、「われわれのリサーチに協力いただきたい。いっしょにクラウドをセキュリティにしていきましょう」と語って講演を締めくくった。
CSAが発表した「CSA GRC Stack」 | 公的な政策への働きかけの提言 |
■IPAによるクラウドやそのセキュリティへの取り組みを報告
IPA セキュリティセンター研究員 勝見勉氏 |
IPAの勝見勉氏は、「日本におけるクラウドセキュリティへの取り組みとIPAの国際連携」と題して、クラウドやそのセキュリティへのIPAの取り組みについて紹介した。
具体的には、「クラウドコンピューティング社会の基盤に関する研究会」を設立し、3月に報告書を公開したことが報告された。報告書では、クラウドのなりたちや導入事例、今後の課題などをレポートしているという。
また報告書では、クラウドのセキュリティについても扱っていることを紹介。セキュリティへの脅威について、さまざまなモデルで分析したことや、IPAがベンダーでもユーザーでもない中立的な課題として、インシデント情報窓口や事業者のサービスレベル情報の開示などが必要なこと、クラウドを活用してセキュリティ高める方向の提言などが語られた。
そのほかの取り組みとしては、2009年11月から開催されている「IPAクラウドセキュリティ勉強会」が紹介された。ベンダーや研究者などが参加し、相互交流をはかっているという。また、米国でのクラウドインシデントの情報収集や、中小企業のIT化をクラウドによって推進する「中小企業等によるクラウド利用検討ワーキンググループ」の調査なども解説された。
クラウドセキュリティについての国際連携については、IP-CSA相互協力協定や国際会議への参加、ENISAレポートの翻訳・公開、NISTとの定例会議などが報告された。
IPAや経済産業省、総務省によるクラウドコンピューティングへの取り組み | 米国でのクラウドインシデントの事例 |