コラム
クラウド・コンピューティングのセキュリティ
クラウド・コンピューティングのセキュリティに関する動きが活発になっていますのでいくつかのトピックスをご紹介します。クラウド・コンピューティングを支える製品の多くは、ITセキュリティセンターの業務である、ITセキュリティ評価や暗号試験を行う対象ですので、これらの認証製品がクラウド時代のセキュリティ基盤を担保することになります。
◇◆政府の政策方針が決定されました
2010年7月22日に情報セキュリティ政策会議が「情報セキュリティ2010」を公表しましたが、「クラウド・コンピューティング化に対応した情報セキュリティ確保方策、標準化」のなかで
- クラウド・コンピューティングを利用したサービスを構築・運用・利用するための情報セキュリティ要件に関するガイドライン、
- クラウド・コンピューティング技術の適用が見込まれる分野ごとの情報の取扱い等に関するガイドライン
等を検討、策定する
として以下のような具体的な施策を明記しています。
- クラウド化に対応した情報セキュリティ確保方策の検討(担当:内閣官房、総務省及び経済産業省)
- クラウド・コンピューティングのセキュリティ(担当:経済産業省)
- クラウド・サービス・レベルのチェックリストの策定(担当:経済産業省)
- クラウドサービスを支える高信頼・省電力ネットワーク制御技術の研究開発(担当:総務省)
なお「情報セキュリティ2010」は2010年5月11日情報セキュリティ政策会議で決定された4カ年計画である「国民を守る情報セキュリティ戦略」の年度計画として位置づけられ、2010年度及び2011年度に実施する具体的な取組み記載したものです。
◇◆世界的な活動が活発になり連携も進んでいます
米国ではNIST(National Institute of Standards and Technology)のほかにCSA(Cloud Security Alliance)が活動しています。CSAはクラウドセキュリティ整備を目指して米国3社(PGP、Qualys、Zscaler)が設立憲章会社(Founding Charter Companies)になり2009年に設立された民間組織であり、すでに図1のセキュリティガイダンスを発信しています。6月7日にはIPA(独立行政法人情報処理推進機構)がCSAと相互協力協定を締結しました(プレスリリース)。
ヨーロッパではENISA(European Network and Information Security Agency)が図2のクラウドに関するリスクアセスメントを公表しています。
図1CSAのセキュリティガイダンスV2.1
図2 ENISAのクラウド・コンピューティングのリスクアセスメント
◇◆クラウドを支える技術のセキュリティ要素の研究も進んでいます
2010年3月24日にIPAが発表した「クラウド・コンピューティング社会の基盤に関する研究会 報告書」ではクラウドに関する全般的な調査と分析がなされていますが、クラウドを支える技術の一つにセキュリティがあげられ、
- 隔離技術(データや処理を混在させない)
- データ保全(データの消去、漏洩、消去の防止)
- 仮想化技術の脆弱性(ゲストOSの安全性確保)
- ログ管理技術
- ユーザ認証
- 機器認証
- ガイドライン、認証制度
- クラウドによる情報処理に内在する制約(タイムラグのない厳密さを求めない処理など)
があげられています。
≪参照≫
- 情報セキュリティ2010
- 情報セキュリティ2010概要
- 国民を守る情報セキュリティ戦略
- NISTのクラウド記事
- CSA(Cloud Security Alliance)
- CSAのセキュリティガイダンスV2.1
- PGP[PGPの暗号化ソリューションで電子メール及びファイルを保護。(同社コメント)]
- Qualys[Qualys はセキュリティリスクとコンプライアンス管理のためのオンデマンドソリューションを実現した最初の企業です。(同社コメント)]
- Zscaler[ゼットスケーラーは、Webセキュリティを包括的にSaaS型でクラウドから提供し、セキュリティ強化、生産性の向上、コスト削減を同時に実現させることができる画期的なソリューションを世界中に提供しています。(同社コメント)]
- IPAとCSAの相互協力協定(プレス発表)
- ENISA
- ENISAのクラウドコンピューティングのリスクアセスメント
- 「クラウド・コンピューティング社会の基盤に関する研究会」報告書