Alice in Hackerland 第1回「CSA Japan Summit 2014」

本連載は、セキュリティコンサルタント土屋アリス氏による、セキュリティカンファレンスや、サイバーセキュリティ専門家のインタビューをお届けします。

2014年5月23日、国際非営利法人クラウドセキュリティアライアンス(CSA) CEOのJim Leaves氏を迎え、日本で第一回目となる「CSA Japan Summit 2014」が東京で開催された。

社団法人日本クラウドセキュリティアライアンス
http://www.cloudsecurityalliance.jp/

参加者は、クラウドサービスの利用者・運営者・コンサルティング事業者等の、クラウド事業に関わる総勢180名。多くの出席者は、今後のクラウドビジネスを拡大するための他社との差別化のために、またクラウドサービス利用者の方に安心してクラウドと利用していただくためといった参加の目的を挙げた。

このセミナーでは、クラウドへ移行する時の懸念点や、クラウドベンダーがどのようにセキュリティを担保していくべきなのか、また利用者がどういった尺度でクラウドベンダーを選定するべきかが議題にあげられた。

登壇者は主催のCSAジャパンの他に、セキュリティに力を入れているクラウド提供企業であるHP、Trendmicro、日立ソリューションズ等が基調講演を行った。

●CSAの目的

クラウド・セキュリティ・アライアンス（Cloud Security Alliance:以下CSA）
CSAは、2008年12月にJim Reavis氏によって設立された米国シアトルに本拠地を置くクラウドに特化したグローバルなセキュリティ協会だ。CSAは各国の政府、米国NISTやユーロのenciaなどの公的機関、またOWASP、ISACA、IPAなどとも協力し、クラウドセキュリティの普及を努めている。

今日、組織に欠かせなくなった情報の管理基盤であるサーバの運用を外部に委託するクラウド化の需要が急速に高まる中、そのセキュリティについての関心も等しく高まっている。しかしながら、果たして利用者は何を基準にセキュリティに対する成熟度を判断すればよいのか。「世界の信頼を築くこと」をモットーとしたCSAは、この高まるクラウドへの需要に対し、利用者が安全面に対し正しく理解・納得した上で、安全なクラウドサービスを選定するにあたり、クラウドサービスプロバイダのセキュリティ対策がどれだけ成熟しているかを確認できる尺度：CSA STAR (CSA Security, Trust & Assurance Registry) の提供を開始した。

●CSA STARとは

CSA STARは、主にクラウドサービス提供者がそのセキュリティ対応能力・透明性を下記2点のレポート(CAIQ ※1、CCM ※2)のいずれかを作成・認証することにより、その成熟度を確認・また公表することができる。そのセキュリティ能力は、3つのレベルに評価され、ブロンズ、シルバー、ゴールドの段階評価があり、最も優れたセキュリティ対策を認められた場合「ゴールド」が与えられる。この評価を公表するにあたり、下記の3つのプロセスがある。

[プロセス1] Self Assessment (自己査定)
自社のセキュリティ対策の成熟度を知る

[プロセス2] Third-Party Assessment-Based Certification
その成熟度を第三者機関より評価・認定(第三者機関の認証を得る場合は、ISO27001の認証を取得していることが前提となる)

[プロセス3] Continuous Monitoring-Based Certification
セキュリティ対策が時代に合ったレベルに継続的に更新されているか評価・認定

※1：Consensus Assessments Initiative Questionnaire (CAIQ)：CAIQは、140以上からなる質問表のこと。IaaS, PaaS, SaaSにおいてどのようなセキュリティコントロールが存在するか確認することができる。

※2：Cloud Controls Matrix (CCM)：CCMは、セキュリティの概念と原理について理解するためのコントロールフレームワーク

CSA Security, Trust & Assurance Registry (STAR)について
http://www.cloudsecurityalliance.jp/star.html

これらの尺度は先にも述べたセキュリティ団体に加え、クラウド提供事業社であるAmazon Web Services、HP、 Microsoft、Red Hat、Symantec など多くのスペシャリストを迎えベストプラクティスから規格されたものである。

そもそも、なぜ今更セキュリティの尺度を問うのか？

●「今のセキュリティは、平和な時代に造った」

「インフラ上のものは全部モニタリングされるべきである」と警鐘をならすのは日本ヒューレット・パッカード株式会社の藤田氏だ。インターネットの社会はご存知の通り、急速に変化しており、当初は　「企業だけでの使用」だったインターネット社会は「企業＋個人」、「企業＋個人＋社会＋機器」へとその影響範囲を急速に拡大している。

しかしながらそのクラウドにかかる急速な技術の進歩についていくには、各々の企業が「セキュリティポリシー」だけではなく、フレームワークとして、組織が長いスパンで戦略を考えていく必要があるのだが、現実にはなされていない組織が多い。だからこそクラウドベンダーを見極める正しい「目」をサービス利用者は持つ必要があるのだろう。しかし、専門家でない利用者が正しい判断をしろといわれてもすぐには難しい。だからこそ、世界的にみとめられた尺度が必要になってくるのだ。藤田氏は選定される際の一つのキーポイントとして、マルチテナント（共用型の利用）の危険性を挙げた。マルチテナントでは人的ミスが未だ多く、例えば、管理側でも、完全に消去されるべきデータが本当に消せたかどうかを「確認」また「証明」することはなかなか難しいのだという。

●高いといわれようと、安心して使えるサービスを提供していきたい

株式会社日立ソリューションズの中川氏はクラウドで拡大するビジネスとして自社のサービスの紹介を元にどういった点をお客様が問題視し、クラウドサービスにおいてどういったセキュリティ面に着目しているかを説いた。

「高いといわれようと、安心して使えるサービスを提供していきたい」という言葉を聞いた時にははっとさせられた。なぜならば、筆者の前職の業界では多くの企業で「コストダウンのためにクラウド化するのだ」という経営者の声をよく耳にするからだ。実際に初期投資を大きく押さえられるけれど、可用性・セキュリティを鑑みた設計にした場合クラウドは少なくとも「安い」価格ではない。しかしながら、現実にはセキュリティを軽んじてクラウドサービスを廉価な価格で提供しているプロバイダーもいて、それを選んでしまう企業が多く存在するのも事実。クラウドの利便性と安全性の両立を目指す立場である中川氏としては、クラウドインテグレータとして提供できる最高水準のセキュリティをお客様に合わせて提供していくことを語った。

●国内クラウド市場

総務省の報告資料によると、平成22年度よりクラウドを使用している企業数は前年比115社増、平成24年度には前年比177社増と増加と急激に増加していることがわかる。また今後利用していきたいと考えている企業は、毎年400社以上。

「国内におけるクラウドサービスの利用状況」(2013年)　総務省
http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h25/html/nc244110.html

トレンドマイクロ株式会社の森本氏は、こういったクラウド利用企業が何に対して利用者が不安に感じているか、この不安材料の1位が「情報漏洩などのセキュリティ」だと語った。

この総務省のレポートの中で、特に驚いたことは意外にクラウドサービスを理解していない企業が多く、平成22年には535社、23年には378社、24年には2,071社中350社と全体の約17%。これらのサンプリングを国内企業数約386万者(※3)に照らし合わせると、約65万者が「クラウド」を理解していない、という計算になる。これらの企業が、クラウドを理解し、必要性を感じだすのにはそう遠くはないはずなので（平成22年～23年をみても毎年5%以上の企業が奪回している）、ここ2020年に向けて、グローバル化するクラウド市場と、それに対するセキュリティのあり方は、利用者にとってよりいっそう関心が高まっていくだろう。

※3：企業には個人事業も含まれるという中小企業庁の方針により同白書においては企業単位を「者」表記する