国境を越えて分散するビッグデータのストレージ管理：ビッグデータ利活用と問題解決のいま（3/3 ページ）

[笹原英司，ITmedia]

粒度の高い監査を左右するログデータの管理

　ビッグデータの監査で重要な役割を果たすのは、ログデータである。一言でログデータといっても、ルータ／スイッチのsyslog、OSのログ、データベースのログ、アプリケーションのログ、Webのアクセスログなど様々な要素によって構成される。

　通常はセキュリティ／イベント管理（SIEM）ツールを利用して、ログデータの収集、分析、処理を行う。ただし、リアルタイムで大容量処理を行うビッグデータ環境では、ログデータの容量自体が膨大なものになるため、SIEMツールをビッグデータインフラストラクチャの外部に設定してログ監査を行うか、必要な監査情報を抽出して監査レイヤー／オーケストレイヤーを生成し、監査要件を取り込んで、監査人に返す手法が採られる。

　監査要件としては、監査情報の完全性、タイムリーなアクセス、情報の整合性、監査情報へのアクセス権限管理などがあるが、監査の根拠になる法令や業種・業界によって、適用範囲や粒度が異なることが多い。インシデントが発生してから事後的に監査へ対処するのではなく、あらかじめ訓練・演習を実施しておくことが望ましい。

来歴メタデータのセキュアな保存・管理

　ログデータと並んで監査で重要な役割を果たすのが、データの完全性やデータの起源を証明するデジタル履歴の記録、すなわち来歴（Provenance）だ。来歴は、ビッグデータアプリケーションから生成されるメタデータである。ビッグデータセキュリティの観点から、来歴は証明、監査証跡、再現性の保証、信頼性、障害検知のために重要となる。

　来歴メタデータを保存するストレージシステムでは、来歴記録が信頼できるものであり、プライバシーが保護され、アクセス制御が適正に行われていることを保証する機能を追加導入する必要がある。

　来歴メタデータがセキュアで適正に収集されたものであることを示すためには、ビッグデータアプリケーションが稼働するインフラストラクチャが健全に稼働していることと、来歴記録が偽造／修正されていないことを保証する機能が必要となる。また、来歴メタデータには機微なプライバシー情報が含まれる可能性があるので、暗号化技術が必要となる。

　ビッグデータアプリケーションの来歴メタデータには、アプリケーションに加えてインフラストラクチャの来歴も含まれるので、大容量かつ複雑な構造になる。インフラストラクチャ内部攻撃に対応するためには、ロールベースのきめの細かいアクセス制御が必要となる。

SDSの普及で変わるビッグデータ向けクラウドストレージサービス

　最近は、ハードウェアが提供してきたストレージの機能をソフトウェアで実現するSoftware-Defined Storage（SDS）の開発・導入が進んでいる。それに合わせて、ストレージベンダー各社ともハードウェアとソフトウェアを組み合わせたハイブリッド型ストレージソリューションの開発に注力しており、ビッグデータ向けクラウドストレージサービスのイノベーションが期待されている。

---

　次回は、2015年10月に米国政府が公表した「第3次オープンガバメント国家行動計画（関連PDF）を取り上げる。

著者者紹介：笹原英司（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身、千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook: https://www.facebook.com/esasahara

日本クラウドセキュリティアライアンス ビッグデータユーザーワーキンググループ：

http://www.cloudsecurityalliance.jp/bigdata_wg.html