クラウド・セキュリティを学んでみよう！：ガバナンス編

脅威情報
2011.7.1

※本記事は、マカフィー株式会社　コーポレートサポート本部　本部長　諸角昌宏によるものです。

前回は、クラウド・セキュリティ・ガイダンスの、ドメイン4：電子情報開示と、ドメイン5：コンプライアンスと監査について説明しました。今回は、ガバナンス編の最終回として、「ドメイン6：情報ライフサイクル管理」と「ドメイン7:移植性および相互運用性」について説明した上で、「クラウドの統制」のカテゴリについて、まとめを行いたいと思います。

ドメイン6：情報ライフサイクル管理
クラウドを利用しているかどうかに関わらず、情報としてのデータは、ライフサイクル全体に渡って維持・管理されなければなりません。特に、企業においてデータベース等で管理されず、ファイルとして存在しているデータである、非構造化データのライフサイクルを管理することが必要です。クラウド上にデータを置くということは、そのデータの所有者あるいは管理者が、直接、物理的なコントロールをできなくなるということでもあります。このセクションでは、情報ライフサイクル管理としてセキュリティ上必要となることを説明した上で、クラウドに展開した場合の問題点およびガイダンスを説明します。

まず、データのセキュリティライフサイクルですが、これはCSAガイダンスのバージョン2.1に説明されているように、以下の6つのフェーズから成っています。

※Security Guidance for Critical Area of Focus in Cloud Conputing V2.1 より引用

この図では、それぞれのフェーズでセキュリティ上必要な内容が記述されています。例えば、データの作成(Create)においては、データの分類およびアクセス権の付与が必要になります。クラウド上にデータを置く場合には、このデータセキュリティライフサイクルに対して、いくつかのポイントを検討する必要があります。

すべてのコントロールに対する認証
物理的にコントロールを行う部分、および、クラウド上の論理的なコントロールを行う部分のすべてに渡って、アクセス・コントロールが行われなければなりません。
データの完全性
クラウド上では、データが暗号化されている必要があるため、通常、クラウドプロバイダは、データの完全性を保証することができません。データが完全で、壊れていないことを、どのように保証するかを検討しておく必要があります。
アクセスできる人の認証とコントロール
クラウド上では、データが暗号化されている必要があるため、通常、クラウドプロバイダーは、データの完全性を保証することができません。データが完全で、壊れていないことを、どのように保証するかを検討しておく必要があります。
企業の機密事項などをコントロールすることに対して、サービスの対応が可能かどうか
クラウドの利用者は、データの価値を明確にすることで、情報漏洩が起きた際のペナルティーについて、予め決めておく必要があります。また、クラウドプロバイダーに対しても、事前の交渉が必要です。
プライバシー要件
利用者側で決めているプライバシー要件、公開要件について、クラウドプロバイダーがサポートできるかどうかを確認しておく必要があります。
バックアップ、リカバリ
クラウドプロバイダーが提供するバックアップ機能は、物理的に他の利用者と一緒に扱われている可能性があります。利用者は、論理的にどのように隔離されているかをきちんと検証しておく必要があります。
データの保存および破棄
データをどのように保存し破棄するかは、利用者の責任です。クラウドの場合、データ破棄にいては、通常より複雑になるため、データが再利用されないことをきちんと確認しておく必要があります。
保全命令、召喚、ディスカバリ要求への対応、公開義務への対応
利用者は、情報開示義務に従う場合、改ざんなどが行われていない完全なデータを提供する必要があります。
クロス・バウンダリーの問題
ほとんどの国は、管轄範囲にあるすべてのデータに対して、独自のプライバシーや保全、公開のための法律を持っています。従って、データの場所によって、どの法律が適用されるかが決定されます。
可用性、継続性
サービスプロバイダーが存在しなくなった場合、そこに保管されていたデータがどうなるかを検討しておく必要があります。場合によっては、データの可用性と同様に、利用者自らが、別の場所にデータを保管しておくことも必要です。

ドメイン7:移植性および相互運用性
クラウドの利用者は、最悪の事態に備えておく必要があります。サービスプロバイダーが倒産した際などは、クラウドプロバイダーを切り替える必要が発生します。また、大規模なアプリケーションを使用するように、複数のプロバイダーに渡ってアプリケーションを稼働させる場合には、1つのプロバイダーが稼働できなくなるとアプリケーション全体が利用不能に陥ることがあります。このように、事業継続性(BCP)を、どのように策定し、どのように運用していくかを検討しておく必要があります。

クラウドプロバイダーを切り替えなければならない状況については、以下のような状況が考えられます。

契約更改において、大きなコストの増大となる
サービスプロバイダーが、突然倒産する
サービスプロバイダーが、突然、サービスの中止を行う
サービスプロバイダーのサービス品質が著しく低下する

このような事態には、クラウドサービス別に対処法を検討しておく必要があります。

SaaS

データを新しいアプリケーションに移行できるように、ドキュメント化されたフォーマットを用いてデータを作成する
クラウドの外で定期的にデータのバックアップを取る
予め別のプロバイダーの検討を行い、必要な場合に乗り換えられるようにしておく

IaaS

アプリケーションを仮想マシンイメージの上に展開し、抽象化レイヤーのAPIで吸収できるようにする。これにより、移植が最低限に抑えることが可能になる
データのバックアップは、クラウドとは独立したフォーマットで保存する
バックアップのコピーは、クラウドの外で定期的に実行する

PaaS

抽象化レイヤーを構築するようなアプリケーション開発アーキテクチャを採用し、容易な移行を実現する。潜在的なロックインを最小限にするためは、移植性が重要になる
データ保存は、クラウドの外で行う
運用に関する透明性のレベルを確認する。これにより、企業のセキュリティポリシーなどが継続的に満たされるかどうかを確認する

なお、複数のクラウドサービス形態を採用した、クロスクラウドでは、複数のクラウド上でアプリケーションが稼働しているため、システムに対する信頼性は、システムの最も弱い部分に影響されます。従って、それぞれのクラウド上のアプリケーションの信頼性を予め確認しておくことが必要です。一方で、クラウド事業者間で冗長性を確保し、事業継続性を持たせるためにクロスクラウドを採用するケースもあります。ただ実際は、アプリケーションの移植性の点からはメリットがあるものの、ユーザーが冗長性の管理を行わなければならないため、余り大きなメリットはありません。

以上のように、クラウド環境で事業継続性を策定することは有益です。そして事業継続性を実現するためには、クラウド間の違いを抽象化し、データを簡単に移動することができるようにすることが重要です。

ガバナンス編：まとめ
以上で、クラウド・セキュリティ・ガイダンスの「ガバナンス編」の説明は終了です。次回は、最後のカテゴリである「クラウドにおける運用」について説明するわけですが、一度、クラウド・セキュリティについて総括したいと思います。

当初、「クラウドのセキュリティ対策としてどうするべきか」、あるいは「クラウドのセキュリティ対策は今までのセキュリティ対策に比べて堅牢なのか脆弱なのか」という視点から、クラウド・セキュリティ・ガイダンスを読み始めました。そもそも、セキュリティ対策に完璧はありませんし、インターネットや外部デバイスを接続できる環境にあれば、そのリスクは高まります。セキュリティ対策として可能な限りのことを行うということは必要ですが、同時に、インシデントを前提としたセキュリティ対策が必要といえるでしょう。そしてこれは、クラウド・セキュリティにおいても同様です。

このような状況からクラウド・セキュリティと一般的なセキュリティを比べてみると、クラウド・セキュリティは社内のセキュリティポリシーの延長上にあるといえます。社内のセキュリティポリシーをきちんと策定することが、安全なクラウド環境の前提となります。そして、クラウド・セキュリティにおいてはガバナンスを直接行うことができないことが、一般的なセキュリティ対策と最大の違いとなっています。クラウド・セキュリティ・ガイダンスでは、この「クラウドの統制」を1つ目のテーマとして掘り下げています。特に、法律、Eディスカバリ、コンプライアンスと監査は、クラウド・セキュリティを考える上で最も重要な点である一方で、まだまだ未整備な部分も多くため、グローバルの視野に立った検討も必要でしょう。

次回は、運用編の第1回として、クラウド・セキュリティ・ガイダンスのドメイン8からドメイン15について説明します。

*本記事は、弊社「クラウド・セキュリティ・勉強会」メンバーである、藤井大翼、桐谷彰一、中山幹夫の協力により、執筆されました。