クラウドセキュリティの押さえどころ――後編漠然とした不安を解消しよう(2/2 ページ)

» 2011年03月17日 08時00分 公開
[内山英子, 佐藤宏昭,京セラコミュニケーションシステム]
前のページへ 1|2       

信頼するが検証せよ!

 前述のように、クラウドコンピューティングには特有のリスクがあります。リスクを抱えるぐらいなら、コストが割高であっても自社でITリソースを所有するほうがいいと考えてしまいがちでしょう。しかし、日々変化するビジネスシーンを支えるためのIT環境を社内のリソースだけで整備することには、費用面やスピード面、人材面などにおいて既に不可能になりつつあります。

 それでは、クラウドコンピューティングのリスクをどのように許容すればいいのでしょうか。1つのアプローチとして唱えられているのが、「信用するが検証せよ」というものです。

 クラウドコンピューティングは、外部に預けることにより、社内のガバナンスの範囲外になるという最大の課題があります。外部に預ける以上はクラウド事業者を信用することに加え、信頼に足りるかどうかを継続的に検証していく必要があります。経済産業省の「クラウドコンピューティングと日本の競争力研究会」では、2011年度には、情報セキュリティ監査制度の策定を視野に入れています(参考PDF資料)。また、日本ネットワークセキュリティ協会が2011年1月に開催したシンポジウム「Network Security Forum 2011」の講演「クラウド導入に向けた情報セキュリティ技術の最先端」では「Monitoring & SLA Function」が提唱され、クラウド事業者のセキュリティ監視がピックアップされています(参考PDF資料)。

 今後クラウド環境の監査基準の整備が進むと予想されますが、その検証を利用者自らが行うことは時間やコスト、技術レベルの面から非現実的であり、監査を第三者に委託することが主流になると推測されます。第三者機関によるクラウド事業者の検証(監査)には、次の方法があります。

  1. クラウド事業者が第三者機関を指定し、検証を行って、その結果を提示する
  2. 利用者が第三者機関を指定し、検証を行って、その結果を提示する

 しかし、クラウドコンピューティングのためのセキュリティや保証に関する認定資格は、まだ存在しません。今後登場することが予想されますが、現時点ではその他のレギュレーションにおいて活用されている第三者機関による外部評価の手法が参考になるでしょう。

PCI DSSとASV

 クレジットカード業界では、独自のセキュリティ基準「PCI DSS」(Payment Card Industry Data Security Standard)」に基づいて、クレジットカード関連事業者に情報セキュリティ対策を求めています。その中では、情報を保持しているサーバのWebアプリケーションとネットワークセキュリティを対象に第三者機関の検証(※)を要求しています。ネットワークセキュリティについては、PCI DSSの統括組織であるPCI カウンシルから認定された「ASV(Approved Scanning Vendor、国内では現在9社)」によるセキュリティ診断がクレジットカード関連事業者に義務付けられています。

ASVによるネットワークセキュリティ診断のサンプルレポート(米nCircleのホームページより引用)

 PCI DSSは、クレジットカード業界を対象としたセキュリティ基準ですが、前回紹介したENISAやCSAでも代表的な情報セキュリティの基準として取り上げているため、今後は経済産業省などのクラウドセキュリティ監査基準の雛形として参考にされる可能性があります。

※……PCI DSS(V1.2)ではWebアプリケーションセキュリティについて次のように定義している。

要件6.6:一般公開されているWebアプリケーションは、常時、新しい脅威と脆弱性に対処し、以下のいずれかの手法によって既知の攻撃から保護する必要がある。

1.一般公開されているWebアプリケーションは、アプリケーションのセキュリティ脆弱性を手動/自動で評価するツールまたは手法によって、少なくとも年1回および何らかの変更を加えた後にレビューする

2.一般公開されているWebアプリケーションの手前に、Webアプリケーションファイアウォールをインストールする


SAS 70

SAS 70の監査項目サンプル(米国公認監査人協会のホームページより引用)

 米国公認会計士協会によるアウトソーシング事業者の監査基準に「SAS 70(Statement on Auditing Standards 70)があります。SAS 70は、米国公認会計士協会によるアウトソーシング事業者の内部統制に関する監査基準です。クラウド事業者の内部統制プロセスの有効性を裏付けるものですが、その内部統制プロセス自体は米国公認会計士協会ではなくクラウド事業者によって定義されています。したがって、その内部統制プロセスが適切であるか否かの見極めは利用者が判断する必要があります。この場合、クラウド事業者の内部統制プロセスと利用企業のセキュリティポリシーを照らし合わせて、確認することで有効性を評価できます。クラウド事業者に関する監査基準が定まっていない中、SAS 70の認定取得を進めているクラウド業者が増えています。

 このように、セキュリティに関する幾つかのレギュレーションでは、第三者を利用した検証・認定方式が構築されています。今後、クラウド業者に対するセキュリティ認定制度が整備されるかもしれません。現時点では、PCI DSSのASVなどを利用したセキュリティ監査をクラウド事業者へ適応することや、クラウド事業者がSAS70の認定を受けているかどうかを判断して、セキュリティを担保することがクラウド事業者のセキュリティを検証する現実解となっています。


 クラウドコンピューティングの利用は、既に情報システム部だけの課題ではなく、変化する時代を生き抜く企業の経営課題になっています。クラウド自体にはさまざまな形態が存在し、それぞれに応じたセキュリティ対策がありますが、まず機密性の低い情報からクラウドに移行して利用するといったステップをとることが大切です。その上で必要な手段を講じ、積極的に利用していくことが望まれます。

 また、第三者機関によるセキュリティ監査を積極的に利用することで、クラウドのセキュリティリスクの軽減にもつながると期待されます。PCI DSSやSAS 70といった既存のセキュリティ基準を参考にして、将来の本格的なクラウド時代にも対応できるセキュリティ体制を準備しておくことが大切です。

執筆者プロフィール

内山英子……ICT事業統括本部 事業推進部、公認情報システム監査人。大学卒業後に外資系企業にシステムエンジニアとして入社。数多くのIT企業の日本におけるスタートアップに携わった後、2002年に京セラコミュニケーションシステム入社。セキュリティ関連の事業開発責任者や米SOX法対応に関する同社のシステム導入プロジェクトに携わる。現在はICT関連事業のマーケティング、プロモーションを担当。

佐藤宏昭……ICT事業統括本部 セキュリティ事業部 情報セキュリティスペシャリスト。2001年京セラコミュニケーションシステムに入社。セキュリティ関連事業に従事し、侵入検知製品の担当を経て、ネットワーク診断や変更管理ソリューション関連の業務を担当。現在は同ドメインの課責任者を務める。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ