マッシュアップ時代の情報セキュリティの考え方とガイドラインの活用

Size: px

Start display at page:

Download "マッシュアップ時代の情報セキュリティの考え方とガイドラインの活用"

きゅういちすえがら
5 years ago
Views:

1 クラウドコンピューティングの進展と情報セキュリティ政策セミナーマッシュアップ時代の情報セキュリティの考え方とガイドラインの活用 2014 年 3 月 26 日ニフティ株式会社クラウド事業部 (JASA-クラウドセキュリティ推進協議会) 久保田朋秀

2 クラウドセキュリティガイドラインの前提クラウドセキュリティはサービスの利用をより促進するためのものクラウドセキュリティに必要な要素は安全安心信頼 Safety Security Assurance

3 クラウドセキュリティガイドラインのあるべき姿ガイドラインは責任分界を明確にし中小ベンチャー事業者への過剰な負担をなくしていく効果も期待ガイドライン P.16 より抜粋

4 コンポーネントの安全と安心 API マッシュアップ時代にあったコンポーネントの安全安心までブレイクダウンしたガイドライン発展の必要性 IT サービスにおける安全性の確保と安心の考え方 IT サービスにおける安全と安心 / クラウドサービスの利用環境の整理クラウドサービスの安全性確保における粒度の検討安全性確保のための役割と責任各プレイヤーの役割 / プレイヤー間における信頼性確保 / クラウドサービスの利用環境における信頼性確保 / プラットフォーム型のプレイヤーに望まれる対応プラットフォーム型のプレイヤーの信頼性確保クラウド時代のデータ利活用のための考え方クラウド時代の IT サービスとデータのライフサイクルクラウドサービス上のデータの種類と分類指針監査の活用による安全性の保証 API マッシュアップ時代の安全性の考え方安全性モデルの考え方 ( 機能と保証レベル )/ 信頼性確保のための監査の活用今後の課題と提案 IT サービス産業発展のためにセキュリティができること国内外のその他の基準との整合性

5 クラウドサービスの構造 (EC の場合の例 ) エンドユーザークラウドサービス広告広告配信検索 A モール店認証サーバー B モール店決済ストレージ C モール店在庫管理受発注管理 PBaaS 流通倉庫店舗クラウド利用者

6 API を組み合わせたアプリケーション構造アグリゲートされたクラウドサービスは多数の API の連結の構造体 A モール店広告配信決済認証サーバー B モール店在庫管理受発注管理ストレージ C モール店 PBaaS 流通店舗倉庫

7 クラウドセキュリティの課題データの流れの中に存在する無数の企業無数の API の組み合わせその経路安全性信頼性をいかに保証するのか? リスクポイントの洗い出しにガイドラインを

8 クラウド利用者からの視点データ保管にかかるセキュリティ対策はクラウドベンダーに移転クラウド利用者である店舗は IT 資産は保有せずデータはクラウドに預ける

9 利用者と事業者の責任分界点とリスク偽サイト誘導マルウェア DDoS 攻撃 EDoS 攻撃リスト型アタック不正な決済情報漏えいリスクベースサイバー攻撃はどこに来るか? 守るべき責任はどこにあるか? 自身が行うべき対策責任は何か?

10 クラウド時代に必要な考え方クラウドサービスを活用する時代の情報セキュリティガバナンス説明責任責任の明確化選定責任 / 管理責任

11 事故とクラウドガバナンス情報漏えいインシデントが発生何が漏えいしたか? どこから漏えいしたか? 問題に対する対策をどうするか?

13 クラウド利用者にわかりやすい対策レベルの表示たとえばこのような証明制度 ( 案 ) Level.5 Level.4 Level.3 Level.2 Level.1 eg) 本番環境での有資格者による外部監査情報セキュリティシステム監査の外部監査例えば eg) 本番環境での有資格者による内部監査 EC 情報セキュリティ監査システム監査システムに推奨されるレベル eg) テスト環境における客観的な評価脆弱性テスト等の実施と結果情報の公開 eg) テスト環境の提供試用期間 /Sandbox など eg) 情報の開示ホワイトペーパー等による安全信頼性の情報開示

14 サプライチェーンの対策レベル例パートナーシップにおける保証 Lv.4 Lv.5 Lv.4 Lv.5 ユーザーに対する安全広告配信決済機能 Aモール店 Bモール店 Cモール店在庫管理受発注管理 Lv.4 流通 Lv.4 認証機能サーバーストレージ Lv.5 Lv.4 PBaaS Lv.4 倉庫クラウドサービス利用者契約者に対する保証店舗保証の根拠となるサプライチェーンの対策 JASA-JCISPA 2014 無断複製を禁じます

15 サプライチェーンの対策レベル例 Lv.4 Lv.5 Lv.4 Lv.5 A モール店広告配信決済機能認証機能サーバー Lv.5 B モール店 C モール店流通 Lv.4 在庫管理受発注管理 Lv.4 Lv.2 ストレージ Lv.4 Lv.2 PBaaS Lv.4 倉庫店舗サプライチェーンのセキュリティレベルは低いレベルに依存

16 クラウド特有のリスク番号リスクの識別名 H01 リソースインフラの高集約によるインシデントの影響の拡大 H02 仮想 / 物理の設計運用の不整合 H03 他の共同利用者の行為による信頼の喪失 H04 リソースの枯渇 ( リソース割当の過不足 ) H05 隔離の失敗 H06 サービスエンジンの侵害 M07 クラウドプロバイダでの内部不正 - 特権の悪用 M08 管理用インターフェースの悪用 ( 操作インフラストラクチャアクセス ) M09 データ転送途上における攻撃データ漏えい ( アップロード時ダウンロード時クラウド間転送 ) M10 セキュリティが確保されていないまたは不完全なデータ削除 M11 クラウド内 DDoS/DoS 攻撃 L12 ロックインによるユーザの忌避 L13 ガバナンスの喪失 L14 サプライチェーンにおける障害 L15 EDoS 攻撃 ( 経済的な損失を狙ったサービス運用妨害攻撃 ) L16 事業者が管理すべき暗号鍵の喪失 L17 不正な探査スキャンの実施 L18 証拠提出命令と電子的証拠開示 L19 司法権の違い L20 データ保護 L21 ライセンス経済産業省平成 23 年度企業個人の情報セキュリティ対策促進事業 ( グローバルなクラウドセキュリティ監査の利用促進 ) クラウドサービスにおけるリスクと管理策に関する有識者による検討結果 (2011 年度版 )

17 これから必要とされる監査認証制度コンポーネントごとに想定されるリスクに対する対策を行う

19 情報セキュリティリテラシーと人材 18 万人もの情報セキュリティ人材の不足適切なコンポーネントの選択必要なセキュリティ対策技術者エンジニア中心の中小ベンチャー企業の情報セキュリティ専門家の育成が急務

20 クラウドセキュリティ人材への取り組みエンジニアへガイドラインを元にしたクラウドセキュリティ / 監査の教育 JASA- クラウドセキュリティ推進協議会 36 社の加盟企業のエンジニアへの教育情報セキュリティ監査人補資格 2013 年度 45 名取得クラウドセキュリティ監査人へ

21 情報セキュリティを産業振興のガソリンに! コンポーネントレベルからの安全安心信頼の基準によるインカム中小ベンチャーのアイデアや技術を活かした優れた製品の競争優位性が高まる大手企業にとっては API コンポーネントの利用量が増える我が国の IT 産業の競争力の底上げ

22 今後期待される取り組み統一基準の輸出等により市場はアジアへ世界へ安全性モデルの構築は政府としての取り組みが望まれる

23 ガイドライン発行後の今後クラウドセキュリティガイドラインを規範としたレベル分けされた安全性モデルの構築エンジニアに対する情報セキュリティ教育 ( 人材育成 / 資格の活用 ) リスクベースでのクラウドセキュリティ監査 JASA- クラウドセキュリティ推進協議会にてパイロットで実施中詳細は次の講演で

24 ありがとうございました

スライド 1

スライド 1 資料 WG 環 3-1 IPv6 環境クラウドサービスの構築運用ガイドライン骨子 ( 案 ) 1 本骨子案の位置付け本ガイドライン骨子案は環境クラウドサービスを構築運用する際に関連する事業者等が満たすことが望ましい要件等を規定するガイドライン策定のための準備段階としてガイドラインにおいて要件を設定すべき項目をまとめたものである今後平成 21 年度第二次補正予算施策環境負荷軽減型地域