クラウドコンピューティングの標準化団体の1つ、米国のクラウド・セキュリティ・アライアンス(CSA)がセキュリティガイダンスを公開した。企業がクラウドサービスを利用するに当たり、セキュリティ面で留意すべきポイントを、ガバナンスや法律、コンプライアンスなど15分野ごとにまとめている。セキュリティを確保するうえで、クラウドサービスの契約時や事業者の選定時に欠かせないポイントをガイダンスからピックアップし、日本語版公開よりひと足先に解説する。
クラウドコンピューティングを利用するに当たり、セキュリティ対策の重要性を指摘する声が次第に大きくなってきた。システムを直接管理できないことによる不安から、ユーザー企業がいくつもの懸念を抱き始めているからだ。
コンプライアンス(法令順守)は、典型的な懸念の1つだ。クラウドコンピューティング環境では、重要なデータやファイルの管理を第三者に任せることになる。果たして、オンプレミスに代表される一般的なコンピューティング環境で実現していたのと同レベルでコンプライアンスを徹底できるのか。
クラウドサービス事業者が倒産した場合はどうだろう。ユーザー企業が託していたデータは、確実に保護・保証されるのか。システム障害時のデータ復元やバックアップ、災害対策は十分にとられているか。そもそもクラウドコンピューティング環境のアプリケーションは安全なのか。考え出すと懸念は尽きない。
これらの懸念を払拭するには、クラウドコンピューティングの関係者やセキュリティ関係者が協力して、それぞれの経験に基づき議論を重ねることが欠かせない。その上で安心してクラウドサービスを利用するためのガイドラインを作成する必要がある。
こうした問題意識から、本記事ではクラウドコンピューティング環境におけるセキュリティ対策について解説する。まずは、欧米でのクラウドコンピューティング関連団体による取り組み状況を俯瞰する。そのうえで、クラウドコンピューティングのセキュリティに焦点を絞って活動を展開する非営利団体「Cloud Security Alliance(CSA)」の活動と、CSAが作成したセキュリティガイダンスについて解説する。そして最後に、日本のクラウドサービス事業者とユーザー企業がCSAのガイダンスをどのように発展させていくべきか、見解を述べる。
セキュリティの確保へ
CSAがガイダンスを作成
米国では、「Open Cloud Consortium(OCC)」や「Cloud Computing Interoperability Forum(CCIF)」など、クラウドコンピューティング関連の標準化団体が多く存在する(図1)。シスコシステムズやヤフーが構成するOCCは、APIやSLA(サービスレベルアグリーメント)の標準化を推進。同じくシスコやサン・マイクロシステムズ、IBMなどによるCCIFは、クラウドサービスの相互運用性の確保に向けた標準化について検討している。
CSAはクラウドコンピューティングのセキュリティに特化した標準化団体である。ユーザー企業が主体になって、クラウドコンピューティングのセキュリティをいかにして保証するかにフォーカスし、ガイダンスを作成・公開している。具体的には、次に示すようなクラウドコンピューティング“特有”の課題について検討してきた。
ホスティングと比較すると、クラウドコンピューティングはデータのセキュリティに関していくつかの問題を抱えている。
(1)ストレージも仮想化されているため、データの実体がどこにあるか分からない。
(2)サービスレベルが平均99.7%と見劣りする。
(3)国境を越えてデータが分散している可能性があるため、外部に持ち出せないデータを預けることができない。
(4)複数の物理的な仮想化データセンターにリソースが分散しており、データを格納しているセンターや負荷状況が不明。
(5)大手のクラウドサービスでは、複数の国にまたがるプラットフォームを構築しており、どこの国のデータセンターに格納されるか予想がつかない。ただし、Amazon.comは格納するデータセンターを指定することが可能(Availa-bility Zone:元々は可用性を確保するため)。
(6)データの法的な扱いは、データセンターの設置場所の国に従うが、その国が動的に代わる可能性がある。
(7)欧州などはプライバシー法が厳しく、各クラウドサービス事業者は欧州市場向けにデータセンターの設置を始めている。
CSAはこういった課題を解決し、クラウドコンピューティング環境におけるセキュリティを保証する最良の方法を普及させることを最大のミッションにしている。
ガバナンスや監査など15分野の留意点を整理
CSAは2009年4月、クラウドコンピューティングの問題点とセキュリティ対策のガイダンスを「Security Gui-dance for Critical Areas of Focus in Cloud Computing」をまとめた。
クラウドコンピューティングのセキュリティというと、共有する基盤上の論理的な境界線をどう保護するか、アプリケーションの設計・開発段階でいかにセキュリティを考慮するかなど、技術的な対策を述べた資料が多い。CSAのガイダンスは、そうした資料とは一線を画している。
CSAのガイダンスはクラウドコンピューティングのセキュリティを15分野(ドメイン)に分類し、それぞれについて留意点を示している。クラウドコンピューティングのフレームワークの説明、統制(ガバナンス)、エンタープライズ・リスク、情報ライフサイクルマネジメント、コンプライアンス、監査、電子情報開示(eDiscovery)、暗号化、アプリケーションセキュリティ、アイデンティティ管理、アクセス管理などが含まれる。
ここでは15ドメインうち、国内のユーザー企業にとって特に興味深いと思われる3つのドメインに関して、概要を紹介する。最初に「ドメイン1:クラウドコンピューティングの構造のフレームワーク」、次に「ドメイン3:法律」、最後が「ドメイン9:データセンターの運用」である。これら以外の12ドメインに関しても、本記事の最後に概要を一覧したので、参考にしていただきたい。
会員登録(無料)が必要です
- 1
- 2
- 次へ >
- ERP導入企業は34.8%、経営改革や業績管理に活用する動きも─ERP研究推進フォーラム/IT Leaders共同調査(2013/02/07)
- ツールの効果的活用で機能品質高め─テスト工程のあり方を見つめ直す(2013/01/29)
- IaaSを利用する際、これだけは押さえておきたいセキュリティのツボ(2012/10/18)
- これからIT部門が育てるべき人材像とは(2012/08/24)
- ベテラン社員に技術やノウハウが偏在、情報システム部門の技能継承が課題に(2012/07/19)
