スマートシティを支えるパブリッククラウドのセキュリティ最新事情

成長企業にとってクラウドは欠かせないものだが、まだセキュリティに不安を感じるとの声が聞かれる。スマートシティの実現を通じて日本の発展を目指す官民の取り組みから、パブリッククラウドにおけるセキュリティの最新動向を紹介する。

[PR／ITmedia]

PR

　政府が掲げる成長戦略では、市民が安全に豊かに暮らすことのできる「スマートシティ」が重要テーマの1つに挙げられている。その実現に欠かせないのが、IoT（モノのインターネット）やビッグデータ、クラウドだ。特にクラウドは、企業の成長を支えるものとして導入が本格化しつつあるが、公共分野の利活用にはセキュリティへの不安などから慎重な見方が根強い。

　日本マイクロソフト主催の「CityNext ソリューションフォーラム 2016」では官民の有識者が、スマートシティの実現に向けたパブリッククラウドの活用とセキュリティへの取り組みを紹介した。日本の発展に欠かすことのできないクラウドのセキュリティはいま、どのような取り組みがなされているのだろうか。

多数の聴講者が訪れた「CityNext ソリューションフォーラム 2016」会場

データ活用の基盤を支えるセキュリティ

　スマートシティの特徴は、オープンデータやマシンデータ、パーソナルデータなどの膨大な情報を分析して関係性や課題を見いだし、官民が連携して課題解決や社会環境の最適化を図りながら、持続的な成長をかなえていく点にある。その仕組みは巨大であり、パブリッククラウドのような基盤が必要とされている。

　当然ながらスマートシティ分野におけるデータ活用では、個人情報の保護やプライバシーへの配慮が求められる。また、社会インフラに対するサイバー攻撃の増加から、市民の生命を脅かすリスクも顕在化している。そのようなスマートシティを支えるパブリッククラウドにとって、サイバーセキュリティへの取り組みは、最大のテーマの1つである。

　内閣サイバーセキュリティセンター（NISC）の谷脇康彦氏によれば、政府のサイバーセキュリティ戦略の中では「セキュリティ・バイ・デザイン」の徹底が挙げられている。これは、システムや機器、サービスの中にセキュリティの仕組みを設計段階から確保するという考え方だ。セキュリティ対策があらかじめ考慮されていれば、万一のリスクにさらされても被害を抑止・最小化でき、後から対策を講じる場合に比べて追加コストの発生を回避できるメリットもある。

　省庁のITの調達に関するNISCの統一基準群では、2016年1月の改定によりセキュリティに関わる項目が大幅に強化され、近くクラウドサービス利用時の調達基準や、それに伴うセキュリティ対策も規定される予定となっている。

クラウドの透明性を高める新制度

　しかし、巨大で複雑な仕組みを持つクラウド環境のセキュリティ状況は、ユーザーの目には見えづらく、技術的な観点を含めてその仕組みを理解するには高度な知識を必要とするため、事業者に預けるシステムやデータの安全性が本当に担保されているのかという不安がつきまとう。事業者にとっても、個々のユーザーに対して複雑なセキュリティ対策状況を分かりすく説明するのは難しい。

クラウドセキュリティゴールドマーク

　こうした背景から、日本セキュリティ監査協会（JASA） クラウドセキュリティ推進協議会が構築した制度が、「クラウドセキュリティ（CS）ゴールドマーク」だ。この制度は、クラウド事業者がユーザーにサービスを提供する環境のセキュリティ対策の有効性について厳密な情報セキュリティ監査を通じて評価し、その結果を公開することを目的としている。

　この制度の特徴は、日本の提案に基づき策定されたクラウドサービスのセキュリティの国際規格（ISO/IEC27017）に準拠した情報セキュリティ対策を、標準化された方式の内部監査で確認し、外部の監査人がその公正さや評価の的確さを評価することにある。

　JASA事務局長の永宮直史氏によれば、同制度はユーザーの求める水準でサービスを評価するため、事業者による内部監査を通じて技術的な評価の有意性を確保しつつ、第三者による評価によって公正性を担保できる。認定事業者は、第三者評価に基づくサービスのセキュリティ対策状況をユーザーへ適切に伝えられるメリットがあるという。

　CSゴールドマークの認定はまだ始まったばかりだが、既に日本マイクロソフトのAzureとOffice365など2社4サービスが認定されている。日本マイクロソフトは、国内ユーザーが安心できるよう、クラウドサービスにおける安全性とプライバシーへの配慮、コンプライアンス、透明性の確保に努めているとのことだ。

セキュリティが選定基準に

　公共性の高い民間企業でもパブリッククラウドのセキュリティ状況を踏まえた導入選定が行われている。

　例えば、関西電力では利用者に対するWebサイトを通じた電力需給状況の情報提供について、当初は専用環境でシステムを運用していたが、電力需要が高まる夏場や冬場のアクセス集中に対応したサイジングをしていたため、1年間のうち75％の期間はサーバが休眠状態にあるなど、リソースやコストに無駄が生じていたという。

　そのため、アクセス状況に応じてリソースを柔軟に変更できるパブリッククラウドを組み合わせたシステムへの移行を検討。サービスの選定では複数の事業者から、関西電力のポリシーである国内法に準拠していること、そして、東日本と西日本の2つのリージョンでデータセンターを運用している日本マイクロソフトのAzureを選択した。

　関電システムソリューションズの福嶋利泰氏によれば、Azureが国際的な情報セキュリティ統制の規格であるISO/IEC 27001/27002をはじめとする多数のセキュリティ基準やコンプライアンスに準拠している点も選定ポイントになったという。また、関西から地理的に離れたAzureの東日本リージョンを利用することにより、有事の際の利用者への情報提供を継続できるようにしている。

---

　スマートシティの実現では、それを支えるパブリッククラウドのセキュリティが成否を握るといっても過言ではないだろう。ここまで見てきたように、パブリッククラウドではシステムや情報の安全性を確保し、その透明性を高める取り組みが着々と進んでいる。政府、自治体、医療機関や社会インフラ関連の企業が今後セキュアなクラウドサービスを効率的に調達するにあたっては、第三者による評価で公正性を担保するCSゴールドマークのような認定制度の活用が欠かせなくなるだろう。