企業・組織で、SaaS/IaaS/PaaSといったクラウドサービスを日常的に活用するようになって久しい。一方、広範な普及に伴って、個々のクラウドサービスに内在する脆弱性や設定・運用上の不備を突くサイバー攻撃は巧妙化・悪質化の一途をたどり、常に種々のサイバー脅威やセキュリティリスクに晒されている状態だ。IT部門においては、自社で利用する種々のクラウドサービスのセキュリティレベルを改めて検証・評価し、安全性を確保する必要があるが、多くのユーザーにとって評価の実行にはいくつかの困難が伴う。そこで本稿では、クラウドセキュリティアライアンス(CSA)がグローバルで推進・啓蒙するクラウドサービスのセキュリティ評価の進め方を解説する。
クラウドセキュリティの責任共有モデル
クラウドセキュリティが「責任共有モデル」に基づいていることは、改めて言うまでもないだろう。クラウド利用者とクラウドプロバイダーが、お互いのセキュリティの責任範囲を明確にし、それぞれがその責任を果たすことで全体としてのセキュリティを保つことである(図1)。
図1:クラウドセキュリティの責任共有モデル(出典:日本クラウドセキュリティアライアンス「クラウドコンピューティングのためのセキュリティガイダンス V3.0」)しかしながら、言うは易し、行うには以下のようなさまざまな課題に直面する。
●責任範囲は、クラウドサービスの形態(IaaS、PaaS、SaaS)や配備方法(プライベートクラウド、パブリッククラウドなど)ごとに異なり、一括りに責任範囲を定義することができない。
●クラウドサービスごとに、セキュリティのレベルや成熟度が異なる。IaaS/PaaSであればプロバイダー/ベンダーが限定されているため、ある程度セキュリティ要件の統一が可能だが、SaaSの場合、多種多様なクラウドサービスが各社から提供されているため、利用者側でセキュリティ要件を統一することが難しい。
そのような状況において最も意識しなければならないのは、クラウドサービスを利用することに対する説明責任(アカウンタビリティ)は必ず利用者側に存在することである(プロバイダーの説明責任はクラウド利用者との契約事項を履行すること)。責任共有でいうところの「責任」は、いわゆる管理責任であり、クラウドサービスを利用することに対する説明責任は分担されることはなく、必ず利用者が負わなければならない。
では、どのようにして説明責任をはたしていくか。以下の2つのポイントを押さえる必要がある。
●責任共有モデルにおいて、利用者が直接セキュリティ対応を行うこと
●責任共有モデルにおいて、利用者がクラウドサービスのセキュリティを評価すること
このポイントを理解するには、日本マイクロソフトが作成した図2が分かりやすいだろう。水色の「Microsoft」のところを「プロバイダー」に置き換えるとサービスモデルごとの責任共有モデルの図となる。この図が分かりやすいのは、サービスモデルに基づく責任共有モデルを3つのパートに分けていることである。
図2:責任共有モデルの3つのカテゴリー(出典:日本マイクロソフト)①すべてのサービスモデルにおいて利用者が責任を持つ
このパートで責任を持つのは、主に「データ、情報ガバナンス」「アイデンティティ、アクセス管理(IAM)」「クライアントセキュリティ」である。クラウドサービスを利用する際、特にSaaSの利用では、設定、管理、監視などを利用者自らが行う必要がある。
②利用者とプロバイダーがサービスモデルによって責任範囲が決まる
ここでは、サービスモデルによって以下のように対応が変わってくる。IaaS/PaaSの場合、利用者は独自にセキュリティを作り込む必要がある。特に、境界防御で守られているオンプレミスの環境から、クラウド環境に移行するにあたっては追加のセキュリティ対策が必要となる。また、水色の部分については、利用者はプロバイダーが提供するクラウドサービスのセキュリティを評価する必要がある。一方、SaaSの場合、利用者はプロバイダーが提供するクラウドサービスのセキュリティを評価する必要がある。
③すべてのサービスモデルにおいてプロバイダーが責任を持つ
いわゆるインフラセキュリティと呼ばれるパートであり、利用者は、プロバイダーが提供するクラウドサービスのセキュリティを評価する必要がある。
以下では、利用者がクラウドサービスのセキュリティを評価するポイントについて説明し、利用者が直接対応する部分に関しては別の機会に扱うこととする。また、その評価方法として、クラウドセキュリティアライアンス(CSA)が提供しているツールを用いて評価を有効かつ効率的に行う方法についても解説する。
クラウドセキュリティ評価のハードル
まずは、ユーザーによるクラウドサービスのセキュリティ評価を難しくしている要因を5つのハードル(障壁)として挙げてみる。
チェックリスト作成のハードル
「このクラウドサービスを使って大丈夫か?」を検討するとき、最初に取りかかるのが「セキュリティチェックリスト」を作成することだ。社内のセキュリティ基準に基づいて作成することになるが、クラウドサービスを評価するのに十分なレベルかどどうかの明確な判断が難しい。
作成したチェックリスクに基づいてプロバイダーに記入してもらったとしても、特段有効な情報が得られないケースも多い。それは、社内基準のセキュリティレベルで一定の要件を満たしていても、実際の利用にあたって本当にそれで十分なのかが分からないからである。そこで、クラウド固有のリスクに基づいた評価の検討を始めると、そこで行き詰ってしまう。
また、企業で実際に使うクラウドサービスは1つや2つではなく、数十から数百にもなる。それを1つ1つ評価していくこと、またサービスごとに異なったセキュリティレベルや成熟度をすべて評価していくことは困難を極める。「せめて、ある程度統一された基準でクラウドサービスを評価できないものか?」という悩みに突き当たる。
SaaS評価のハードル
IaaS/PaaSを利用する場合はプロバイダーが限定され、セキュリティレベルに大きな差はない一方、SaaSを利用する場合、サービスごとに異なったセキュリティレベルや成熟度となり、逐一評価していくのは大変だ。また、SaaSの場合、利用が部門単位での要求に基づくことが多く、部門ごとに必要とされるセキュリティレベルもまちまちである。
例えば、あるSaaSを使う時に、その部門で扱うデータがすべて公開データだとすると、そのサービスのデータセキュリティレベルが十分でなくても許容できると判断できる。だが、機密データを扱う場合には強固なデータセキュリティが求められる。それらを統一的に管理することは難しく、個別の対応にならざるをえない。
クラウドセキュリティ認証の限界によるハードル
クラウドサービスのセキュリティ評価で、クラウドサービスが取得している第三者認証の結果をもって判断するのはわかりやすい。しかしながら、第三者認証は評価の信頼性は高いが透明性は低いと言わざるをえず、「認証が取れているから安心」とはなりにくい。クラウドサービスのセキュリティの中味の精査には至らないからだ。クラウドプロバイダーが透明性を持って情報開示しているのであればよいか、単に認証を取っているというレベルでは適切な評価を行うのに十分ではない。
契約内容評価のハードル
企業がサードパーティの製品を利用する場合、必ず契約が発生する。一般的な契約では、利用者の要求事項に対してサードパーティと協
もちろん、すべてのクラウド契約が交渉不可ということではないが、多数の利用者を抱えるプロバイダーが、利用者ごとに個別に契約交渉に応じることは非現実的だ。したがって、利用者にはプロバイダーが提供する契約内容を正確に理解し、それが自らの要求事項を満たしているかどうかを評価することが求められる。
プロバイダーにとってのハードル
プロバイダーの側は、積極的に自社クラウドサービスのセキュリティ情報を公開する、つまり透明性を維持することが非常に重要である。利用者がクラウドサービスを評価する時、利用者自身でチェックリストを作成し、プロバイダーにその回答を求めるというケースが多いが、このチェックリストの作成自体に専門性が求められ、難しい。そこでプロバイダーがセキュリティ情報を公開すれば、利用者はそれに基づいて評価を行える。
グローバルに目を向けると、セキュリティ情報の公開はトレンドとなっており、それをビジネス上の差別化要因としているプロバイダーも増えている。しかしながら、日本においてはプロバイダーがセキュリティ情報を積極的に公開するケースが少ない。特に、SaaSにおいては消極的傾向が顕著で、日本の各社もぜひ検討していただきたいところだ。
●Next:クラウドサービスのセキュリティ評価はこう進める!
会員登録(無料)が必要です
- 1
- 2
- 3
- 4
- 次へ >
クラウドセキュリティ / ベンダーマネジメント / CSA / CASB / テンプレート / リファレンス / ゼロトラスト / ISMS
