クラウドコンピューティングにおけるセキュリティ対策-第4回

• 脅威情報
• 2011.3.1

※本記事は、マカフィー株式会社　コーポレートサポート本部　本部長　諸角昌宏によるものです。

前回は、現在考えられる主要なクラウドの利用形態を6つあげ、その利用形態ごとに対し、どのようなセキュリティ対策が必要であるかについて解説しました。最終回となる今回は、クラウドセキュリティに対する様々な取り組み、および、その中でクラウドコンピューティングのセキュリティを確保するための米国の業界団体であるCSA(Cloud Security Alliance)の取り組みについて解説します。

1. クラウドセキュリティに対する取り組みと今後
現在、さまざまな団体やグループがクラウドセキュリティについて活動を行っています。以下は、米国で活動している主な団体のリストです。

団体名	主要目的	主要メンバー
OCC(Open Cloud Consortium)	API、SLA、データのポータビリティ、セキュリティ等の標準化	Cisco, MIT Lincoln Labs, Yahoo
Cloud Computing Interoperability forum	インターオペラビリティ（相互運用性）の標準化を図る	Cisco, Sun, IBM
Open Cloud Standards Incubator	クラウド管理技術の標準化	Fujitsu(USA),DELL,HP,Microsoft
Cloud Security Alliance	クラウドのセキュリティの標準化	eBay,DELL,Sun,salesforce.com

日本より先行してクラウド普及期に入った欧米では、社会インフラとしてのクラウドの在り方を担保するため、クラウドのセキュリティがより重要視されています。これらの活動は、NISTやISO27002などの標準化団体との連携を強めており、今後さまざまな形での標準化や利用にあたってのガイドラインの提供等が行われていくものと思われます。さらに、法的整備や国際協調等、グローバルでの取り決めや活動が進んでいきますので、日本としても積極的に加わっていく必要があります。

また、米国ではSCAP(Security Content Automation Protocol)プロジェクトもスタートしています。これは、脆弱性情報やシステム設定情報を機械が認識できる形で提供し、脆弱性やシステム情報の管理を自動化するプロジェクトです。このプロジェクトが有効に機能すれば、セキュリティ脅威そのものが格段に低下すると同時に、クラウドセキュリティにとって非常に大きなセキュリティ対策手段となるため、今後注目していく必要があるでしょう。

2. CSA(Cloud Security Alliance)の取り組み
CSAは、民間の非営利組織として、2008年11月にスタートしました。ここでは、ユーザー企業が主体になって、クラウドコンピューティングのセキュリティをいかにして保証するかにフォーカスし、ガイダンス(Security Guidance for Critical Areas of Focus in Cloud Computing)を作成・公開しています。2009年4月にガイダンスのバージョン1.0をリリースし、2009年12月にはバージョン2.1をリリースしました。

クラウドコンピューティングのセキュリティというと、共有する基盤上の論理的な境界線をどう保護するか、アプリケーションの設計・開発段階でいかにセキュリティを考慮するかなど、技術的な対策を述べた資料が多くなっています。CSAのガイダンスは、そうした資料とは一線を画しています。

バージョン1.0では、クラウドコンピューティングのセキュリティを15分野（ドメイン）に分類し、各分野について留意点を示しています。クラウドコンピューティングのフレームワークの説明、統制（ガバナンス）、エンタープライズ・リスク、情報ライフサイクルマネジメント、コンプライアンス、監査、電子情報開示（eDiscovery）、暗号化、アプリケーションセキュリティ、アイデンティティ管理、アクセス管理などが含まれています。

バージョン2.1では、各ドメインの内容を「提案」中心に説明し、クラウド利用者やクラウド事業者がどのような方法を取るべきか、また、どのようなことを検討しなければならないかという点を明確にしています。その意味で、よりガイダンスという趣旨に近づいたものと言えます。その一方で、バージョン1.0で注目していた「問題提起」の部分を簡略化しているという特徴もあります。バージョン2.1の冒頭に説明がありますが、ドメインごとの調査研究内容を別の形でホワイトペーパーとして公開することにしているため、簡略化が行われたと思います。

クラウドセキュリティの個々のドメインの詳細を理解したい人は、各ドメインのホワイトペーパーを参照し、より深い内容を押さえることを推奨します。クラウドを実際に利用あるいは運営する人や組織にとって、バージョン2.1はより実践的な内容になったと言えます。上記のようにバージョン1.0では、クラウドセキュリティというものにどのように取り組んでいくかという点から記述されていますので、ユーザーはバージョン1.0とバージョン2.1の両方を参照すべきでしょう。

3. CSAの日本での活動

CSAの活動を日本でも展開すべく、CSAJC（Cloud Security Alliance Japan Chapter）が、2010年6月に設立されました。

6月8日に行われたキックオフシンポジウムでは、200名を超える参加があり、クラウドセキュリティに対する注目度の高さをうかがえるものとなりました。また、CSAの設立者であるJim　Reavis氏も来日公演を行い、Japan　Chapterの立ち上げを正式に承認しました。

CSAJCでは、以下の3点について主に取り組みを進めています。

1. CSAガイダンスの日本での適用・実装指針
   • 法律や規制関係
   • ビジネス慣行
   • ユーザーのリテラシーレベル
   • 国内のクラウド関連団体との整合性
   • 政策・制度への提案
   • 個人情報保護法とクラウドセキュリティの整理
   • モデル契約書案（比較法的視点）
2. クラウドコンピューティングにおける国際的運用の諸問題
   • 非US国家におけるクラウドコンピューティングの推進のための環境整備
   • ハイテク情報の輸出管理
   • 委託先管理：クラウドを前提とした守秘義務規定、または、既存契約の読み換えのためのガイドライン
3. コントロールマトリクスに関する我が国の状況の検討、増減の提案

CSAJCの活動状況等の情報については、以下のURLにホームページがあり、シンポジウムの内容等がアップされています。
http://www.cloudsecurityalliance.jp/

CSAJCの最初の成果物としては、「解説CSAガイダンス法律編」の作成が進んでいます。こちらは、まもなく公開される予定で、このCSAJCのWebサイトにアップされる予定です。

また、CSAJCでは、現在、バージョン2.1の日本語版の作成および公開の作業を進めています。こちらは、日本での幅広い公開に向けて、同様にCSAJCのWebサイトに公開される予定です。

これらのCSAJCのディスカッションは、すべてLinkedInで公開されており、誰でも参加することができます。LinkedInでは、本家のCloud Security Allianceのグループのサブグループとして、Cloud Security Alliance, Japan Chapterがあります、詳細は、以下のURLをご覧ください。
http://www.linkedin.com/groups?mostPopular=&gid=2920100

ここでは、LinkedInでディスカッションを行い決定するという新しいタイプの取り組みが実施されています。LinkedInは、いわゆる匿名（Anonymity）による投稿ではなく、実際に自分が何者であるかを宣言した上で投稿を行うシステムになっています。このように、オンライン上で自分の名前を明かした上で、具体的な議論や決定に参加するということは、IT社会における新たなチャレンジの一つといえるでしょう。クラウドセキュリティに関わる人々が幅広く参加することで、建設的な議論を戦わすことのできる場として発展していくことを期待しています。

4. まとめ
ハッカー犯罪というものを一般的にした「カッコウはコンピュータに卵を産む」という本が出版されてから、すでに20年以上が経過、今やインターネットが世界中に普及し、クラウドの時代に突入しています。インターネットは、誰でも自由にプログラムを作成し展開することができるという自由度の高さから広く普及しています。またクラウドの浸透により、コンピュータ環境をユーティリティ化し、ネットワークに接続すればCPU、メモリー、ディスクなどの資源が自由かつ、しかも、必要な時に必要なだけ手に入れることができるという夢の環境に近づいています。このように、コンピューター環境の進歩と同時に利便性は上がってきていますが、同時にこの自由度の高さゆえ、セキュリティ面で解決しなければならない問題も多々存在してきています。

安全なクラウド環境の実現に向けて、まだ解決・整備しなければならない問題が存在していますが、クラウドの利用を後退させることなく、ベストプラクティスを積み上げていくことが、重要です。クラウドのセキュリティに対する取り組みを積極的に進め、かつ、グローバルにその議論を深めていくことで、真に利用できるクラウドが実現できるといえるでしょう。