クラウドコンピューティングの進展と情報セキュリティ政策セミナー マッシュアップ時代の情報セキュリ ティの考え方とガイドラインの活用 2014 年 3 月 26 日ニフティ株式会社クラウド事業部 (JASA-クラウドセキュリティ推進協議会) 久保田朋秀
クラウドセキュリティガイドラインの前提 クラウドセキュリティはサービスの 利用をより促進するためのもの クラウドセキュリティに必要な要素は 安全 安心 信頼 Safety Security Assurance
クラウドセキュリティガイドラインのあるべき姿 ガイドラインは責任分界を明確にし 中小 ベンチャー事業者への過剰な 負担をなくしていく効果も期待 ガイドライン P.16 より抜粋
コンポーネントの安全と安心 API マッシュアップ時代にあったコンポーネントの安全 安心までブレイクダウンしたガイドライン発展の必要性 IT サービスにおける安全性の確保と安心の考え方 IT サービスにおける安全と安心 / クラウドサービスの利用環境の整理クラウドサービスの安全性確保における粒度の検討 安全性確保のための役割と責任各プレイヤーの役割 / プレイヤー間における信頼性確保 / クラウドサービスの利用環境における信頼性確保 / プラットフォーム型のプレイヤーに望まれる対応プラットフォーム型のプレイヤーの信頼性確保 クラウド時代のデータ利活用のための考え方クラウド時代の IT サービスとデータのライフサイクルクラウドサービス上のデータの種類と分類指針 監査の活用による安全性の保証 API マッシュアップ時代の安全性の考え方安全性モデルの考え方 ( 機能と保証レベル )/ 信頼性確保のための監査の活用 今後の課題と提案 IT サービス産業発展のためにセキュリティができること国内外のその他の基準との整合性
クラウドサービスの構造 (EC の場合の例 ) エンドユーザー クラウドサービス 広告 広告配信 検索 A モール店 認証 サーバー B モール店 決済 ストレージ C モール店 在庫管理受発注管理 PBaaS 流通 倉庫 店舗 クラウド利用者
API を組み合わせたアプリケーション構造 アグリゲートされたクラウドサービスは多数の API の連結の構造体 A モール店 広告配信 決済 認証 サーバー B モール店 在庫管理受発注管理 ストレージ C モール店 PBaaS 流通 店舗 倉庫
クラウドセキュリティの課題 データの流れの中に存在する 無数の企業 無数の API の組み合わせ その経路 安全性 信頼性をいかに保証するのか? リスクポイントの洗い出しにガイドラインを
クラウド利用者からの視点 データ保管にかかるセキュリティ対策はクラウドベンダーに移転 クラウド利用者である店舗は IT 資産は保有せず データはクラウドに預ける
利用者と事業者の責任分界点とリスク 偽サイト誘導マルウェア DDoS 攻撃 EDoS 攻撃 リスト型アタック 不正な決済情報漏えい リスクベース サイバー攻撃はどこに来るか? 守るべき責任はどこにあるか? 自身が行うべき対策 責任は何か?
クラウド時代に必要な考え方 クラウドサービスを活用する時代の 情報セキュリティガバナンス 説明責任 責任の明確化 選定責任 / 管理責任
事故とクラウドガバナンス 情報漏えいインシデントが発生 何が漏えいしたか? どこから漏えいしたか? 問題に対する対策をどうするか?
システムライフサイクルとリスク管理 システムライフサイクルの中で リスク管理の方策も提示すべき事項 広告配信 決済機能 認証機能 Aモール店 サーバー Bモール店 ストレージ 在庫管理 受発注管理 PBaaS Cモール店 流通 店舗 倉庫 JASA-JCISPA 2014 無断複製を禁じます
クラウド利用者にわかりやすい対策レベルの表示 たとえばこのような証明制度 ( 案 ) Level.5 Level.4 Level.3 Level.2 Level.1 eg) 本番環境での有資格者による外部監査 情報セキュリティ システム監査の外部監査 例えば eg) 本番環境での有資格者による内部監査 EC 情報セキュリティ監査 システム監査システムに推奨されるレベル eg) テスト環境における客観的な評価 脆弱性テスト等の実施と結果情報の公開 eg) テスト環境の提供 試用期間 /Sandbox など eg) 情報の開示 ホワイトペーパー等による安全 信頼性の情報開示
サプライチェーンの対策レベル例 パートナーシップ における保証 Lv.4 Lv.5 Lv.4 Lv.5 ユ ー ザ ー に 対 す る 安 全 広告配信 決済機能 Aモール店 Bモール店 Cモール店 在庫管理 受発注管理 Lv.4 流通 Lv.4 認証機能 サーバー ストレージ Lv.5 Lv.4 PBaaS Lv.4 倉庫 クラウドサービス利用者 契約者に対する保証 店舗 保証の根拠となる サプライチェーンの対策 JASA-JCISPA 2014 無断複製を禁じます
サプライチェーンの対策レベル例 Lv.4 Lv.5 Lv.4 Lv.5 A モール店 広告配信 決済機能 認証機能 サーバー Lv.5 B モール店 C モール店 流通 Lv.4 在庫管理受発注管理 Lv.4 Lv.2 ストレージ Lv.4 Lv.2 PBaaS Lv.4 倉庫 店舗 サプライチェーンのセキュリティレベルは低いレベルに依存
クラウド特有のリスク 番号 リスクの識別名 H01 リソース インフラの高集約によるインシデントの影響の拡大 H02 仮想 / 物理の設計 運用の不整合 H03 他の共同利用者の行為による信頼の喪失 H04 リソースの枯渇 ( リソース割当の過不足 ) H05 隔離の失敗 H06 サービスエンジンの侵害 M07 クラウドプロバイダでの内部不正 - 特権の悪用 M08 管理用インターフェースの悪用 ( 操作 インフラストラクチャアクセス ) M09 データ転送途上における攻撃 データ漏えい ( アップロード時 ダウンロード時 クラウド間転送 ) M10 セキュリティが確保されていない または不完全なデータ削除 M11 クラウド内 DDoS/DoS 攻撃 L12 ロックインによるユーザの忌避 L13 ガバナンスの喪失 L14 サプライチェーンにおける障害 L15 EDoS 攻撃 ( 経済的な損失を狙ったサービス運用妨害攻撃 ) L16 事業者が管理すべき暗号鍵の喪失 L17 不正な探査 スキャンの実施 L18 証拠提出命令と電子的証拠開示 L19 司法権の違い L20 データ保護 L21 ライセンス 経済産業省平成 23 年度企業 個人の情報セキュリティ対策促進事業 ( グローバルなクラウドセキュリティ監査の利用促進 ) クラウドサービスにおけるリスクと管理策に関する有識者による検討結果 (2011 年度版 )
これから必要とされる監査 認証制度 コンポーネントごとに想定されるリスクに対する対策を行う
これから必要とされる監査 認証制度 各コンポーネントのセキュリティ対策の積み重ねですべての リスクに対応していることを証明していく でコ 想ン 定ポ さー れネ るン リト スの ク組 にみ 対合 応わ せ 全 体 安心 安全 信頼 JASA-JCISPA 2014 無断複製を禁じます
情報セキュリティリテラシーと人材 18 万人もの情報セキュリティ人材の不足 適切なコンポーネントの選択必要なセキュリティ対策 技術者 エンジニア中心の中小 ベンチャー企業の情報セキュリティ専門家の育成が急務
クラウドセキュリティ人材への取り組み エンジニアへガイドラインを元にした クラウドセキュリティ / 監査の教育 JASA- クラウドセキュリティ推進協議会 36 社の加盟企業のエンジニアへの教育 情報セキュリティ監査人補資格 2013 年度 45 名取得 クラウドセキュリティ監査人へ
情報セキュリティを産業振興のガソリンに! コンポーネントレベルからの安全 安心 信頼の基準によるインカム 中小 ベンチャーのアイデアや技術を活かした優れた製品の競争優位性が高まる 大手企業にとっては API コンポーネントの利用量が増える 我が国の IT 産業の競争力の底上げ
今後期待される取り組み 統一基準の輸出等により市場はアジアへ 世界へ 安全性モデルの構築は政府としての取り組みが望まれる
ガイドライン発行後の今後 クラウドセキュリティガイドラインを規範とした レベル分けされた安全性モデルの構築 エンジニアに対する情報セキュリティ教育 ( 人材育成 / 資格の活用 ) リスクベースでのクラウドセキュリティ監査 JASA- クラウドセキュリティ推進協議会にてパイロットで実施中 詳細は次の講演で
ありがとうございました