0.クラウドサービスにおける 障 害 事 例 Vaservへのゼロデイ 攻 撃 (2009 年 6 月 ) 英 国 のISPVaservの 仮 想 マシンにゼロデイ 攻 撃 ( 未 知 の 脆 弱 性 を 突 く 攻 撃 )がなされ 10 万 ウェブサイトの データの 消 去 顧 客 情 報 の 流

Similar documents
●電力自由化推進法案

文化政策情報システムの運用等

<4D F736F F D208ED089EF95DB8CAF89C193FC8FF38BB CC8EC091D492B28DB88C8B89CA82C982C282A282C42E646F63>

ていることから それに 先 行 する 形 で 下 請 業 者 についても 対 策 を 講 じることとしまし た 本 県 としましては それまでの 間 に 未 加 入 の 建 設 業 者 に 加 入 していただきますよう 28 年 4 月 から 実 施 することとしました 問 6 公 共 工 事 の

・モニター広告運営事業仕様書

<4D F736F F D AC90D1955D92E CC82CC895E DD8C D2816A2E646F63>

Microsoft Word - ★HP版平成27年度検査の結果

一般競争入札について

要 な 指 示 をさせることができる ( 検 査 ) 第 8 条 甲 は 乙 の 業 務 にかかる 契 約 履 行 状 況 について 作 業 完 了 後 10 日 以 内 に 検 査 を 行 うものとする ( 発 生 した 著 作 権 等 の 帰 属 ) 第 9 条 業 務 によって 甲 が 乙 に

った 場 合 など 監 事 の 任 務 懈 怠 の 場 合 は その 程 度 に 応 じて 業 績 勘 案 率 を 減 算 する (8) 役 員 の 法 人 に 対 する 特 段 の 貢 献 が 認 められる 場 合 は その 程 度 に 応 じて 業 績 勘 案 率 を 加 算 することができる

<4D F736F F D208E52979C8CA78E598BC68F5790CF91A390698F9590AC8BE08CF D6A2E646F6378>

参 考 改 正 災 害 対 策 基 本 法 1 ( 災 害 時 における 車 両 の 移 動 等 ) 第 七 十 六 条 の 六 道 路 管 理 者 は その 管 理 する 道 路 の 存 する 都 道 府 県 又 はこれに 隣 接 し 若 しくは 近 接 する 都 道 府 県 の 地 域 に 係

2 役 員 の 報 酬 等 の 支 給 状 況 平 成 27 年 度 年 間 報 酬 等 の 総 額 就 任 退 任 の 状 況 役 名 報 酬 ( 給 与 ) 賞 与 その 他 ( 内 容 ) 就 任 退 任 2,142 ( 地 域 手 当 ) 17,205 11,580 3,311 4 月 1

Microsoft PowerPoint 資料6 技術基準.ppt [互換モード]

預 金 を 確 保 しつつ 資 金 調 達 手 段 も 確 保 する 収 益 性 を 示 す 指 標 として 営 業 利 益 率 を 採 用 し 営 業 利 益 率 の 目 安 となる 数 値 を 公 表 する 株 主 の 皆 様 への 還 元 については 持 続 的 な 成 長 による 配 当 可


損 益 計 算 書 ( 自 平 成 25 年 4 月 1 日 至 平 成 26 年 3 月 31 日 ) ( 単 位 : 百 万 円 ) 科 目 金 額 営 業 収 益 75,917 取 引 参 加 料 金 39,032 上 場 関 係 収 入 11,772 情 報 関 係 収 入 13,352 そ

<4D F736F F D E598BC68A8897CD82CC8DC490B68B7982D18E598BC68A8893AE82CC8A C98AD682B782E993C195CA915B C98AEE82C382AD936F985E96C68B9690C582CC93C197E1915B927582CC898492B75F8E96914F955D89BF8F915F2E646F6

高松市緊急輸送道路沿道建築物耐震改修等事業補助金交付要綱(案)

<4D F736F F D F8D828D5A939982CC8EF68BC697BF96B38F9E89BB82CC8A6791E52E646F63>

3. 選 任 固 定 資 産 評 価 員 は 固 定 資 産 の 評 価 に 関 する 知 識 及 び 経 験 を 有 する 者 のうちから 市 町 村 長 が 当 該 市 町 村 の 議 会 の 同 意 を 得 て 選 任 する 二 以 上 の 市 町 村 の 長 は 当 該 市 町 村 の 議


スライド 1

Taro-条文.jtd

入 札 参 加 者 は 入 札 の 執 行 完 了 に 至 るまではいつでも 入 札 を 辞 退 することができ これを 理 由 として 以 降 の 指 名 等 において 不 利 益 な 取 扱 いを 受 けることはない 12 入 札 保 証 金 免 除 13 契 約 保 証 金 免 除 14 入

Speed突破!Premium問題集 基本書サンプル

第 5 条 ( 有 効 期 間 ) 1. 本 サービスの 有 効 期 間 は 当 社 が 指 定 した 日 をもって 開 始 とし 当 該 サービス 対 象 物 件 に 入 居 する 契 約 が 終 了 した 日 をもって 終 了 とします 2. 既 に 入 居 している 住 戸 が 新 たにサービ

弁護士報酬規定(抜粋)

ができます 4. 対 象 取 引 の 範 囲 第 1 項 のポイント 付 与 の 具 体 的 な 条 件 対 象 取 引 自 体 の 条 件 は 各 加 盟 店 が 定 めます 5.ポイントサービスの 利 用 終 了 その 他 いかなる 理 由 によっても 付 与 されたポイントを 換 金 すること


私立大学等研究設備整備費等補助金(私立大学等

Microsoft Word - 不正アクセス行為の禁止等に関する法律等に基づく公安

( 運 用 制 限 ) 第 5 条 労 働 基 準 局 は 本 システムの 維 持 補 修 の 必 要 があるとき 天 災 地 変 その 他 の 事 由 によりシステムに 障 害 又 は 遅 延 の 生 じたとき その 他 理 由 の 如 何 を 問 わず その 裁 量 により システム 利 用 者

る 第 三 者 機 関 情 報 保 護 関 係 認 証 プライバシーマーク ISO27001 ISMS TRUSTe 等 の 写 しを 同 封 のうえ 持 参 又 は 郵 送 とする 但 し 郵 送 による 場 合 は 書 留 郵 便 とし 同 日 同 時 刻 必 着 とする 提 出 場 所 は 上

スライド 1

【労働保険事務組合事務処理規約】

<4D F736F F D C482C682EA817A89BA90BF8E7793B1834B A4F8D91906C8DDE8A A>

疑わしい取引の参考事例

Microsoft Word -

検 討 検 討 の 進 め 方 検 討 状 況 簡 易 収 支 の 世 帯 からサンプリング 世 帯 名 作 成 事 務 の 廃 止 4 5 必 要 な 世 帯 数 の 確 保 が 可 能 か 簡 易 収 支 を 実 施 している 民 間 事 業 者 との 連 絡 等 に 伴 う 事 務 の 複 雑

第316回取締役会議案

Microsoft PowerPoint - 経営事項審査.ppt

2 1.ヒアリング 対 象 (1) 対 象 範 囲 分 類 年 金 医 療 保 険 雇 用 保 険 税 備 考 厚 生 年 金 の 資 格 喪 失 国 民 年 金 の 加 入 老 齢 給 付 裁 定 請 求 など 健 康 保 険 の 資 格 喪 失 国 民 健 康 保 険 の 加 入 健 康 保 険

<4D F736F F D2091E F18CB48D C481698E7B90DD8F9590AC89DB816A2E646F63>

説 明 内 容 料 金 の 算 定 期 間 と 請 求 の 単 位 について 分 散 検 針 制 日 程 等 別 料 金 料 金 の 算 定 期 間 と 支 払 義 務 発 生 日 日 程 等 別 料 金 の 請 求 スケジュール 料 金 のお 支 払 い 方 法 その 他 各 種 料 金 支 払

1_2013BS(0414)

Microsoft Word - 佐野市生活排水処理構想(案).doc

(1)1オールゼロ 記 録 ケース 厚 生 年 金 期 間 A B 及 びCに 係 る 旧 厚 生 年 金 保 険 法 の 老 齢 年 金 ( 以 下 旧 厚 老 という )の 受 給 者 に 時 効 特 例 法 施 行 後 厚 生 年 金 期 間 Dが 判 明 した Bは 事 業 所 記 号 が

定款  変更

<4D F736F F D D3188C091538AC7979D8B4B92F F292B98CF092CA81698A94816A2E646F63>

入札公告 機動装備センター

通 知 カード と 個 人 番 号 カード の 違 い 2 通 知 カード ( 紙 )/H27.10 個 人 番 号 カード (ICカード)/H28.1 様 式 (おもて) (うら) 作 成 交 付 主 な 記 載 事 項 全 国 ( 外 国 人 含 む)に 郵 送 で 配 布 希 望 者 に 交

為 が 行 われるおそれがある 場 合 に 都 道 府 県 公 安 委 員 会 がその 指 定 暴 力 団 等 を 特 定 抗 争 指 定 暴 力 団 等 として 指 定 し その 所 属 する 指 定 暴 力 団 員 が 警 戒 区 域 内 において 暴 力 団 の 事 務 所 を 新 たに 設

Microsoft PowerPoint - 報告書(概要).ppt

Microsoft Word - 全国エリアマネジメントネットワーク規約.docx

根 本 確 根 本 確 民 主 率 運 民 主 率 運 確 施 保 障 確 施 保 障 自 治 本 旨 現 資 自 治 本 旨 現 資 挙 管 挙 管 代 表 監 査 教 育 代 表 監 査 教 育 警 視 総 監 道 府 県 警 察 本 部 市 町 村 警 視 総 監 道 府 県 警 察 本 部

平成25年度 独立行政法人日本学生支援機構の役職員の報酬・給与等について

その 他 事 業 推 進 体 制 平 成 20 年 3 月 26 日 に 石 垣 島 国 営 土 地 改 良 事 業 推 進 協 議 会 を 設 立 し 事 業 を 推 進 ( 構 成 : 石 垣 市 石 垣 市 議 会 石 垣 島 土 地 改 良 区 石 垣 市 農 業 委 員 会 沖 縄 県 農

Taro-契約条項(全部)

損 益 計 算 書 自. 平 成 26 年 4 月 1 日 至. 平 成 27 年 3 月 31 日 科 目 内 訳 金 額 千 円 千 円 営 業 収 益 6,167,402 委 託 者 報 酬 4,328,295 運 用 受 託 報 酬 1,839,106 営 業 費 用 3,911,389 一

第2回 制度設計専門会合 事務局提出資料

6 構 造 等 コンクリートブロック 造 平 屋 建 て4 戸 長 屋 16 棟 64 戸 建 築 年 1 戸 当 床 面 積 棟 数 住 戸 改 善 後 床 面 積 昭 和 42 年 36.00m m2 昭 和 43 年 36.50m m2 昭 和 44 年 36.

5 民 間 事 業 者 における 取 扱 いについて( 概 要 資 料 P.17~19) 6 法 人 番 号 について( 概 要 資 料 P.4) (3) 社 会 保 障 税 番 号 制 度 のスケジュールについて( 概 要 資 料 P.20) 1 平 成 27 年 10 月 から( 施 行 日 は

定款

容 積 率 制 限 の 概 要 1 容 積 率 制 限 の 目 的 地 域 で 行 われる 各 種 の 社 会 経 済 活 動 の 総 量 を 誘 導 することにより 建 築 物 と 道 路 等 の 公 共 施 設 とのバランスを 確 保 することを 目 的 として 行 われており 市 街 地 環

独立行政法人国立病院機構

4 乙 は 天 災 地 変 戦 争 暴 動 内 乱 法 令 の 制 定 改 廃 輸 送 機 関 の 事 故 その 他 の 不 可 抗 力 により 第 1 項 及 び 第 2 項 に 定 める 業 務 期 日 までに 第 1 条 第 3 項 の 適 合 書 を 交 付 することができない 場 合 は

養 老 保 険 の 減 額 払 済 保 険 への 変 更 1. 設 例 会 社 が 役 員 を 被 保 険 者 とし 死 亡 保 険 金 及 び 満 期 保 険 金 のいずれも 会 社 を 受 取 人 とする 養 老 保 険 に 加 入 してい る 場 合 を 解 説 します 資 金 繰 りの 都

< F2D8AC493C CC81698EF3928D8ED2816A2E6A7464>

は 固 定 流 動 及 び 繰 延 に 区 分 することとし 減 価 償 却 を 行 うべき 固 定 の 取 得 又 は 改 良 に 充 てるための 補 助 金 等 の 交 付 を 受 けた 場 合 にお いては その 交 付 を 受 けた 金 額 に 相 当 する 額 を 長 期 前 受 金 とし

<6D313588EF8FE991E58A778D9191E5834B C8EAE DC58F4992F18F6F816A F990B32E786C73>

S16-386・ソフトウェアの調達に関する入札実施の件

1

< F2D D D837C815B B8EC08E7B97768D80>

<4D F736F F D208DE3905F8D8291AC8B5A8CA48A948EAE89EF8ED0208BC696B18BA492CA8E64976C8F BD90AC E378C8E89FC92F994C5816A>

<8BB388F58F5A91EE82A082E895FB8AEE967B95FB906A>

はファクシミリ 装 置 を 用 いて 送 信 し 又 は 訪 問 する 方 法 により 当 該 債 務 を 弁 済 す ることを 要 求 し これに 対 し 債 務 者 等 から 直 接 要 求 しないよう 求 められたにもかか わらず 更 にこれらの 方 法 で 当 該 債 務 を 弁 済 するこ

<4D F736F F D2090AD957B94468FD88AEE94D B292428C7689E68F912E646F63>


1 書 誌 作 成 機 能 (NACSIS-CAT)の 軽 量 化 合 理 化 電 子 情 報 資 源 への 適 切 な 対 応 のための 資 源 ( 人 的 資 源,システム 資 源, 経 費 を 含 む) の 確 保 のために, 書 誌 作 成 と 書 誌 管 理 作 業 の 軽 量 化 を 図

質 問 票 ( 様 式 3) 質 問 番 号 62-1 質 問 内 容 鑑 定 評 価 依 頼 先 は 千 葉 県 などは 入 札 制 度 にしているが 神 奈 川 県 は 入 札 なのか?または 随 契 なのか?その 理 由 は? 地 価 調 査 業 務 は 単 にそれぞれの 地 点 の 鑑 定

1.システム 構 成 1.1 ハードウェア 及 ぶ 基 本 ソフトウェア (1) システム 構 成 の 基 本 方 針 システム 構 成 のコンセンプトについて 2 頁 以 内 で 記 述 してください 1ハードウェア 構 成 のコンセプト

Taro-事務処理要綱250820

<819A955D89BF92B28F BC690ED97AA8EBA81418FA48BC682CC8A8890AB89BB816A32322E786C7378>

(3) その 他 市 長 が 必 要 と 認 める 書 類 ( 補 助 金 の 交 付 決 定 ) 第 6 条 市 長 は 前 条 の 申 請 書 を 受 理 したときは 速 やかにその 内 容 を 審 査 し 補 助 金 を 交 付 すべきものと 認 めたときは 規 則 第 7 条 に 規 定 す

<4D F736F F D C689D789B582B581698AAE90AC92CA926D816A2E646F63>

<4D F736F F D2095CA8E A90DA91B18C9F93A289F1939A8F D8288B3816A5F E646F63>

第 4 条 (1) 使 用 者 は 2 年 を 超 えない 範 囲 内 で( 期 間 制 勤 労 契 約 の 反 復 更 新 等 の 場 合 は その 継 続 勤 労 した 総 期 間 が2 年 を 超 えない 範 囲 内 で) 期 間 制 勤 労 者 を 使 用 することができる ただ し 次 の

別 表 1 土 地 建 物 提 案 型 の 供 給 計 画 に 関 する 評 価 項 目 と 評 価 点 数 表 項 目 区 分 評 価 内 容 と 点 数 一 般 評 価 項 目 立 地 条 件 (1) 交 通 利 便 性 ( 徒 歩 =80m/1 分 ) 25 (2) 生 活 利 便

Microsoft Word 役員選挙規程.doc

4 参 加 資 格 要 件 本 提 案 への 参 加 予 定 者 は 以 下 の 条 件 を 全 て 満 たすこと 1 地 方 自 治 法 施 行 令 ( 昭 和 22 年 政 令 第 16 号 ) 第 167 条 の4 第 1 項 各 号 の 規 定 に 該 当 しない 者 であること 2 会 社

平成19年9月改定

Microsoft Word 第1章 定款.doc

社会保険加入促進計画に盛込むべき内容

一宮市町内会に対する防犯カメラ設置補助金交付要綱

<4D F736F F D20D8BDB8CFC8BCDED2DDC482A882E682D1BADDCCDFD7B2B1DDBD8B4B92F E646F63>

た 者 ( 個 人 番 号 関 係 事 務 実 施 者 )となります 個 人 番 号 (マイナンバー)の 取 扱 いについて 雇 用 保 険 被 保 険 者 資 格 取 得 届 などの 様 式 へのマイナンバーの 記 載 や 本 人 確 認 事 務 については できるだけ 事 業 主 に 対 応 い

スライド 1


公 的 年 金 制 度 について 制 度 の 持 続 可 能 性 を 高 め 将 来 の 世 代 の 給 付 水 準 の 確 保 等 を 図 るため 持 続 可 能 な 社 会 保 障 制 度 の 確 立 を 図 るための 改 革 の 推 進 に 関 する 法 律 に 基 づく 社 会 経 済 情

Transcription:

自 治 体 クラウド 環 境 におけるセキュリティ 等 の リスク 事 項 について 2012 年 1 月 17 日 情 報 通 信 政 策 研 究 本 部

0.クラウドサービスにおける 障 害 事 例 Vaservへのゼロデイ 攻 撃 (2009 年 6 月 ) 英 国 のISPVaservの 仮 想 マシンにゼロデイ 攻 撃 ( 未 知 の 脆 弱 性 を 突 く 攻 撃 )がなされ 10 万 ウェブサイトの データの 消 去 顧 客 情 報 の 流 出 等 が 発 生 した 仮 想 化 ソフトウェアの 脆 弱 性 GoogleGmail 消 失 (2011 年 2 月 ) Gmailの 一 部 ユーザ( 約 0.3%)のメールが 消 失 アップデートしたストレージソフトウェアにバグがあり 障 害 が 発 生 完 全 復 旧 に 数 日 かかった ストレージソフトウェアのバグ AmazonEC2 大 規 模 障 害 (2011 年 4 月 ) 多 数 の 利 用 者 を 持 つ 他 社 サービスがEC2の 障 害 のために 停 止 ストレージサービス(EBS)のトラフィックを キャパシティの 低 いバックアップ 用 ネットワークに 誤 ってルーティングした 復 旧 まで10 日 間 程 度 かかった NTTPCコミュニケーションズクラウドサービス 停 止 (2011 年 5 月 ) ネットワーク 設 定 のミス 仮 想 サーバサービスCloud9が 接 続 不 能 となり すべての 仮 想 サーバが 利 用 不 能 になった 原 因 はファイ ルシステムの 不 具 合 で 復 旧 できず サービス 自 体 の 提 供 を 停 止 した ファイルシステムの 不 具 合 富 士 通 のクラウド 上 の 自 治 体 向 け 電 子 申 請 システムのDoS 攻 撃 による 停 止 (2011 年 11 月 ) 富 士 通 のクラウド 上 の 自 治 体 向 け 電 子 申 請 システムがDoS 攻 撃 (サービス 不 能 攻 撃 )を 受 け サービスが 数 時 間 停 止 した DoS 攻 撃 への 対 応 2

0.クラウドサービスにおける 障 害 事 例 0.1 原 因 に 係 わる 考 察 ユーザ 企 業 クラウド 事 業 者 (データセンター) 専 用 線 A 自 治 体 用 サーバ A 自 治 体 B 自 治 体 専 用 線 B 自 治 体 用 サーバ 仮 想 化 ソフト 仮 想 化 ソフト ハイパーバイザー 管 理 用 端 末 インターネット クラウドサービスの 脆 弱 性 を 考 える 上 での 特 徴 データセンターにリソース(サーバ データベース ミドルウェア 通 信 回 線 機 器 電 源 装 置 等 )が 集 中 している 仮 想 化 ソフトはデータセンター 内 で 共 通 製 品 を 使 っていることが 多 い 仮 想 化 ソフトには 通 常 ハイパーバイザーの 機 能 がある クラウドサービスにおける 障 害 事 例 の 特 徴 仮 想 化 ソフトの 脆 弱 性 を 突 かれるとクラウド 事 業 者 のサービス 全 体 に 障 害 が 発 生 する 共 有 リソース( 通 信 機 器 電 源 装 置 ミドルウェア 等 )の 故 障 やそれに 対 する 攻 撃 等 は 被 害 が 拡 大 する 3

クラウド 導 入 リスクに 関 する 最 新 動 向 1.クラウド 導 入 リスクの 抽 出 4

大 分 類 1. 国 内 1.クラウド 導 入 リスクの 抽 出 1.1 参 考 文 献 一 覧 中 分 類 文 献 番 号 文 献 名 称 発 行 元 発 行 年 月 1.1.1 新 たな 情 報 通 信 技 術 戦 略 IT 戦 略 本 部 2010 年 5 月 1.1 内 閣 官 1.1.2 政 府 機 関 の 情 報 セキュリティ 対 策 のための 統 一 基 準 ( 第 4 版 ) 情 報 セキュリティ 政 策 会 議 2010 年 5 月 房 1.1.3 国 民 を 守 る 情 報 セキュリティ 戦 略 情 報 セキュリティ2010 情 報 セキュリティ 政 策 会 議 2010 年 5 月 リスク 整 理 での 利 用 1.2.1 地 方 公 共 団 体 における ASP SaaS 導 入 活 用 ガイドライン 総 務 省 2010 年 4 月 1.2.2 データセンターの 安 全 信 頼 性 に 係 る 情 報 開 示 指 針 総 務 省 2009 年 2 月 - 1.2.3 クラウドコンピューティング 時 代 のデータセンター 活 性 化 策 に 関 する 検 討 会 報 告 書 総 務 省 2010 年 5 月 1.2 1.2.4 政 府 情 報 システムの 整 備 の 在 り 方 に 関 する 研 究 会 最 終 報 告 書 総 務 省 2010 年 4 月 総 務 省 1.2.5 スマート クラウド 研 究 会 報 告 書 総 務 省 2010 年 5 月 1.2.6 校 務 分 野 におけるASP SaaS 事 業 者 向 けガイドライン 総 務 省 2010 年 10 月 - 1.2.7 地 方 公 共 団 体 における 情 報 セキュリティポリシーに 関 するガイドライン 総 務 省 2010 年 11 月 - 1.3.1 SaaS 向 けSLAガイドライン 経 済 産 業 省 2008 年 1 月 1.3 1.3.2 アウトソーシングに 関 する 情 報 セキュリティ 対 策 ガイダンス 経 済 産 業 省 2009 年 6 月 経 済 産 1.3.3 クラウドコンピューティングと 日 本 の 競 争 力 に 関 する 検 討 会 報 告 書 経 済 産 業 省 2010 年 8 月 業 省 1.3.4 クラウド コンピューティング 社 会 の 基 盤 に 関 する 研 究 会 報 告 書 IPA 2010 年 3 月 1.3.5 クラウドサービス 利 用 のための 情 報 セキュリティマネジメントガイドライン 経 済 産 業 省 20 1 年 5 月 1.4 1.4.1 インタークラウドのユースケースと 機 能 要 件 GICTF 2010 年 6 月 その 他 2.1 2.1.2 米 国 政 府 2. 海 外 2.1.3 2.1.1 EffectivelyandSecurelyUsingtheCloudComputingParadigm NIST 2009 年 10 月 FederalGuidanceNeededtoAddressControlIssueswithImplementingCloud Computing(GAO-10-513,May2010) GovernmentwideGuidanceNeededtoAssistAgenciesinImplementingCloud GAO 2010 年 5 月 Computing(GAO-10-855T,July2010) ProposedSecurityAssessment& AuthorizationforU.S.GovernmentCloud Computing(DraftVer.0.96) CIO Council 2010 年 11 月 - 2.2 欧 2.2.1 州 政 府 CloudComputing-Benefits,risksandrecommendationsforinformationsecurityENISA 2009 年 11 月 2.3 業 2.3.1 SecurityGuidanceforCriticalAreasofFocusinCloudComputingV2.1 CSA 2009 年 12 月 界 団 体 2.3.2 SP-011:CloudComputingPattern OSA 2008 年 2 月 リスク 整 理 での 利 用 が - のものは 当 該 文 献 にクラウド 環 境 におけるセキュリティリスクに 関 する 記 述 が 無 いか 他 の 文 献 の 参 照 や 抜 粋 のみであったことを 示 す 公 共 ITにおけるアウトソーシングに 関 するガイドライン ASP SaaSの 安 全 性 信 頼 性 に 係 る 情 報 開 示 指 針 第 1 版 ASP SaaSにおける 情 報 セキュリティ 対 策 に 関 する 研 究 報 告 書 ASP SaaSにおける 情 報 セキュリティ 対 策 ガイドライン (いずれも 総 務 省 )については 1.2.1 地 方 公 共 団 体 におけるASP SaaS 導 入 ガイドライン から 参 照 されており クラウドのセキュリ ティリスクについては 包 含 されている 5

クラウド 導 入 リスクに 関 する 最 新 動 向 2.クラウド 導 入 リスクの 評 価 6

2.クラウド 導 入 リスクの 評 価 2.1 評 価 軸 による 分 析 結 果 (1/8) リスク リスク 大 分 類 番 号 リスク 項 目 R1.1 従 量 課 金 によるコスト 増 大 R1.2 契 約 形 態 による 料 金 負 担 の 公 平 性 R1.3 統 制 の 喪 失 R1.4 不 明 瞭 なSLA R1.ポリ R1.5 ベンダが 倒 産 買 収 でサービ シーや ス 停 止 組 織 の リスク R1.6 導 入 時 の 組 織 変 革 コスト R1.7 クラウド 対 応 可 能 な 人 材 不 足 リスクの 説 明 使 用 量 が 多 いユーザは 損 をす る 可 能 性 がある SaaS,PaaS,IaaSについてHW, MD,SWのコスト 分 布 が 偏 ると 料 金 負 担 が 不 公 平 になる 機 能 の 外 部 委 託 によりシステム 全 体 を 把 握 できない ユー ザ 側 ベン 従 来 ダ 側 型 クラ ウド 固 有 解 説 過 大 な 課 金 の 結 果 損 をするのはユーザである クラウドの 特 徴 で ある 従 量 課 金 が 生 み 出 すリスクと 言 える クラウド 側 の 原 価 に 対 して 過 大 に 料 金 を 支 払 わされる 可 能 性 があ る クラウドの 特 徴 であるマルチテナントなどでの 一 律 料 金 により 生 まれたリスクである ユーザ 側 の 統 制 が 喪 失 することにより 新 たな 対 応 が 必 要 になる 従 来 型 システムでは 外 部 委 託 であっても 統 制 に 必 要 な 監 査 などの 仕 組 み ツールが 整 えられているが クラウドではまだそのような 仕 組 みが 足 りない SLAの 記 載 が 不 十 分 なため ト ラブル 時 の 対 応 が 十 分 にできず SLAに 記 載 されていない 事 項 は 基 本 的 にはユーザ 側 が 対 応 する こととなる 従 来 システムでは 個 別 契 約 により ユーザ ベンダ 間 で 責 任 も 不 明 確 となる 各 種 内 容 を 取 り 交 わすことができた クラウドプロバイダの 倒 産 買 収 同 等 のサービスが 他 社 で 提 供 されていない 場 合 短 時 間 では 移 行 などにより 利 用 中 サービスが ができなくなる PaaS/SaaSなどでは 提 供 される 機 能 がベンダ 固 有 終 了 したり 長 期 間 停 止 する となりやすい 導 入 に 際 して 情 報 システム 従 来 システムからクラウドに 移 行 する 場 合 に PaaSの 場 合 は 情 報 そして 業 務 プロセスの 変 革 が 求 システムの 作 り 直 し SaaSの 場 合 はその 仕 様 に 合 わせるように 業 められる 務 プロセスの 変 更 が 求 められる クラウド 対 応 ( 異 なるシステムの 仮 想 化 の 設 定 など) 可 能 な 人 材 が 不 足 している ユーザ 側 ポリシーとベンダ 側 提 R1.8 コンプライアンス 規 定 への 準 拠 供 サービスのセキュリティ 要 件 の 不 一 致 など R1.9 各 ベンダ 間 のQoS 評 価 基 準 が 曖 昧 クラウドサービス 提 供 に 関 する 標 準 化 された 品 質 評 価 基 準 が ない ユーザ 側 ベンダ 側 双 方 に 人 材 が 不 足 する 可 能 性 がある クラウド に 対 応 できる 人 材 育 成 には 時 間 がかかる 発 生 確 率 影 響 度 は ユーザ 側 ベンダ 側 で 同 程 度 ユーザ 側 のリスクという 側 面 が 大 きいが ベンダ 側 にも 契 約 に 至 ら ないリスクや 契 約 後 に 顧 客 から 改 善 を 迫 られるといったリスクが ある 従 来 型 システムでは 顧 客 毎 に 仕 様 を 変 えることはよくやら れていたが グローバルに 画 一 的 なサービスを 提 供 している 場 合 は 個 別 ユーザへの 対 応 ができにくい 一 定 の 基 準 でユーザが 複 数 のクラウドを 比 較 することが 困 難 である ただし 従 来 型 のアウトソーシングでも 異 なるベンダ 間 の 比 較 は 困 難 であった 7

2.クラウド 導 入 リスクの 評 価 2.1 評 価 軸 による 分 析 結 果 (2/8) リスク リスク 大 分 類 番 号 リスク 項 目 R1.10 標 準 ガイドラインの 欠 如 R1.11ベンダロックイン リスクの 説 明 ストレージ 仮 想 化 相 互 運 用 性 など 個 々の 標 準 化 が 未 発 達 ドキュメンテーションルールがな い 全 体 の 統 治 体 制 のガイドラ インも 特 にない アプリケーションのAPI 機 能 など がベンダ 環 境 依 存 でシステムの 移 行 性 可 搬 性 を 失 う これまでオフラインで 稼 働 してい た 端 末 もクラウド 化 で 常 にオンラ R1.ポリ R1.12 オンライン インになる 必 要 が 増 す これま 作 業 増 加 によるNW で 内 部 イントラネット 用 に 構 築 し 構 成 変 革 コスト シーや ていたVLANセグメントなどNW 全 組 織 の 体 の 再 構 成 が 必 要 になる 可 能 リスク 性 がある R1.13 SLA 品 質 保 証 の 確 認 方 法 の 欠 如 R1.14 コスト 削 減 のための 施 設 の 海 外 流 出 ユー ザ 側 ベン 従 来 ダ 側 型 クラ ウド 固 有 ユーザ 側 でベンダサービスの 品 質 保 証 のレベルが 確 認 できない 例 えば 有 事 の 際 の 事 故 報 告 がされないなど 人 件 費 設 置 コストなどによる 海 外 データセンターが 増 えると 海 外 拠 点 を 持 たぬ 国 内 ベンダに とってビジネスチャンスが 減 る クラウド 化 による 一 元 管 理 で 暗 R1.15 セキュリティや 号 化 サービス 稼 働 率 アクセ 品 質 モデルが 細 ス 権 管 理 の 構 成 ソフトウェアラ 部 までカスタマイズできない イセンシングなどが 細 かにカス タマイズできない 解 説 ユーザ 側 は 自 分 たちの 運 用 ガイドラインが 作 れないというリスクが ある ベンダ 側 も 自 らの 標 準 やガイドラインが 用 意 できない 可 能 性 がある 従 来 型 のシステムでは 長 年 かけて 作 り 上 げた 標 準 やガイ ドラインがあるが クラウドでは 未 整 備 である ベンダロックインされることにより ユーザは 新 しい 魅 力 的 なクラウド サービスに 移 行 できなくなる 逆 にクラウド 事 業 者 は 積 極 的 にロック インしたいと 考 えている 従 来 型 のシステムでもベンダ 固 有 の 機 能 を 組 み 込 むことによりロックインが 行 われていた クラウドではその 傾 向 がより 顕 著 になった クラウド 利 用 が 増 えることにより ユーザ 側 のネットワーク 構 成 を 変 更 する 必 要 が 生 じる 可 能 性 がある 外 部 ネットワークに 配 置 される クラウドの 特 徴 である 契 約 されたSLAが 守 られていることを 確 認 する 手 段 が ユーザ 側 に 用 意 されていない 従 来 型 システムではツールや 報 告 型 式 などが 確 立 していた ベンダは 海 外 拠 点 などの 活 用 によりコスト 競 争 力 を 保 ち 続 ける 必 要 がある 各 国 のデータセンターに 跨 って 稼 動 できるクラウドの 特 徴 と 言 える ユーザは 自 身 が 望 むセキュリティモデルやユーザモデルが 手 に 入 らないか カスタマイズにコストがかかる 従 来 のシステムでは 実 現 できていた ユーザの 要 求 に 応 じた 柔 軟 なセキュリティモデルや 品 質 モデルが クラウドでは 画 一 的 になる 8

2.クラウド 導 入 リスクの 評 価 2.1 評 価 軸 による 分 析 結 果 (3/8) リスク リスク 大 分 類 番 号 リスク 項 目 R1.16サービス 稼 働 率 R1.ポリ シーや 組 織 の リスク R1.17 可 視 化 リスクの 説 明 クラウドサービス 稼 働 率 がコスト とトレードオフになっている たと えば 稼 働 率 が99.5%の 場 合 も 年 間 で23 時 間 はサービス 停 止 する リソースが 冗 長 化 分 散 された ためにシステムの 構 造 が 複 雑 化 し システム 管 理 のための 可 視 化 が 十 分 にできない ユー ザ 側 ベン 従 来 ダ 側 型 クラ ウド 固 有 解 説 クラウドを 選 択 した 場 合 その 時 の 技 術 等 により 稼 働 率 の 上 限 が 決 められてしまい それを 超 える 稼 働 率 を 求 める 場 合 は ユーザ 側 で 追 加 のシステム 構 成 などが 必 要 になる システム 管 理 が 可 視 化 されていないために ユーザは 稼 働 状 況 を 十 分 に 把 握 できない 従 来 システムで 確 立 していた 可 視 化 手 法 が クラウドでは 使 えなくなった 9

2.クラウド 導 入 リスクの 評 価 2.1 評 価 軸 による 分 析 結 果 (4/8) リスク リスク 大 分 類 番 号 リスク 項 目 R2.1 HW SW 障 害 によるサービス 停 止 R2.2 外 部 にデータ 通 信 時 の 傍 受 リ スク R2.3 ブラウザの 脆 弱 性 R2.4 Dos 攻 撃 R2. 技 術 的 リ スク R2.5 クラウド 内 部 で 他 の 利 用 者 を 攻 撃 R2.6 既 存 システムとのデータ 連 係 の 不 整 合 R2.7 セキュリティパッチ 適 用 の 運 用 リスクの 説 明 ハードウェア ソフトウェア 障 害 によるサービス 停 止 サービス を 集 約 化 しているほど 被 害 の 規 模 が 大 きい オンライン 作 業 利 用 増 加 で 従 来 よりも 外 部 からの 傍 受 の 可 能 性 が 増 える インターネット 上 でブラウザを 介 してサービス 使 用 する 場 合 にブ ラウザの 脆 弱 性 を 突 いた 攻 撃 が ありうる 集 中 的 にアクセスしてサービス 停 止 させる クラウドではユーザ 側 とともに ベンダ 側 のリスクに もなる 仮 想 化 技 術 の 脆 弱 性 を 突 き ク ラウド 環 境 内 部 から 他 のクラウ ド 利 用 者 への 攻 撃 既 存 システムとクラウド 環 境 との データ 連 係 の 整 合 がとれない 事 態 がありうる 仮 想 的 テスティン グ 環 境 構 築 などの 技 術 的 難 易 度 が 高 い 作 業 が 必 要 になる システム 構 成 により とあるアプ リケーションへのパッチが 連 携 するプログラムの 挙 動 を 阻 害 す る ということが 起 こったりする また クラウド 環 境 では 大 規 模 分 散 保 持 していることが 多 く パッチ 適 用 の 反 映 に 時 間 がか かることがある ユー ザ 側 ベン 従 来 ダ 側 型 クラ ウド 固 有 解 説 HW SW 障 害 が 起 こっても 別 のHW SWでサービスを 継 続 する 必 要 があるのでベンダ 側 のリスクと 考 えられる また サービス 停 止 によ る 業 務 の 中 断 が 考 えられるため ユーザ 側 のリスクでもある 従 来 型 のシステムでも 集 約 化 が 進 んでいたが クラウドでは 管 理 単 位 が より 大 規 模 になるため その 傾 向 がより 顕 著 になった クラウドと 端 末 の 間 での 傍 受 は ユーザ 側 の 責 任 となる インター ネット 等 を 使 う 従 来 型 のアプリケーションでも 傍 受 リスクがあったが クラウドではより 広 範 囲 のアプリケーションが 対 象 となる ブラウザの 脆 弱 性 対 策 は ユーザ 側 に 責 任 がある ブラウザの 脆 弱 性 に 対 するリスクは 従 来 型 のWebサービスでもあったが クラウド ではより 広 範 囲 のアプリケーションが 対 象 となる DoS 攻 撃 は 従 来 はユーザ 側 のリスクであったが サービスを 提 供 す るクラウドではベンダが 対 策 を 取 る 必 要 がある DoS 攻 撃 は 従 来 型 のネットワークサービスからリスクがあったが 特 に 大 手 クラウド 事 業 者 が 標 的 になりうるため DDoSやEDoSのリスクが 顕 著 になった ユーザは クラウド 環 境 内 部 の 他 ユーザという 新 たなリスクに 対 処 する 必 要 がある 同 時 に ベンダはクラウド 内 部 での 攻 撃 を 抑 止 し 攻 撃 に 対 処 する 必 要 がある クラウド 固 有 の 攻 撃 手 法 である 10 オンプレミスとのデータ 連 係 はユーザ 側 の 責 任 で 行 う 必 要 がある 従 来 はデータ 連 係 が 必 要 な 両 システムがユーザの 管 理 下 にあった が 一 方 がクラウドとなることで 整 合 を 取 る 作 業 が 困 難 となる クラウドにおけるセキュリティバッチ 適 用 は 基 本 的 にはベンダによ り 運 用 される しかしその 結 果 PaaSなどでユーザのアプリケーショ ンが 動 作 しなくなるといったリスクも 考 えられる 従 来 型 のシステム からパッチ 適 用 の 運 用 にはリスクがあったが マルチテナントで 大 規 模 運 用 されるクラウドでは その 適 用 の 可 否 判 断 や 緊 急 パッチが すべて 適 用 するまでに 時 間 がかかることなどで 顕 著 になる

2.クラウド 導 入 リスクの 評 価 2.1 評 価 軸 による 分 析 結 果 (5/8) リスク リスク 大 分 類 番 号 リスク 項 目 リスクの 説 明 特 定 の 時 間 帯 に 限 定 してマルチ R2.8 マルチテナント 使 用 集 中 でアプ テナントで 集 中 的 にサービスが リケーションの 品 質 低 下 使 用 されるとパフォーマンス 低 下 プログラムやアプリケーションの R2.9 アプリケーション 脆 弱 性 発 見 に構 成 上 の 脆 弱 性 が 見 つかった よるサービス 停 止 時 にサービス 停 止 する 一 斉 停 止 すると 被 害 範 囲 は 大 きくなる R2.10データの 暗 号 化 保 護 機 構 R2. 技 R2.11ロギング 術 的 リ スク R2.12バックアップ 処 理 遅 延 R2.13 不 完 全 なデータ 消 去 R2.14バージョン 管 理 オンラインでデータ 処 理 する 際 に サービスごとの 異 なるセキュ リティレベルに 応 じた 対 応 が 必 要 クラウド 上 で 生 成 される 大 量 の ログ 情 報 を 効 率 よく 分 析 確 認 するツールや 蓄 積 するための 容 量 がない SLAの 品 質 保 証 の 確 認 や 事 故 時 の 原 因 解 析 などが できない 一 斉 にバックアップ 要 求 が 集 中 した 時 に 処 理 が 遅 延 する 終 了 したサービスなどをユーザ が 停 止 した 場 合 プロバイダ 側 で 確 実 にデータが 削 除 されたこ とを 確 認 できない クラウドでは 基 本 は 一 元 管 理 の ため 個 々のユーザに 対 応 する ソフトウェアバージョン 管 理 が 行 き 届 かない ユー ザ 側 ベン 従 来 ダ 側 型 クラ ウド 固 有 11 解 説 パフォーマンスの 低 下 などにより ユーザは 業 務 が 滞 る 可 能 性 があ る 一 方 ベンダも 低 下 原 因 を 特 定 し 対 処 が 求 められる クラウドの 特 徴 であるマルチテナントならではのリスクである SaaSなどでアプリケーションに 致 命 的 な 脆 弱 性 が 発 見 された 場 合 に ベンダはサービス 全 体 を 停 止 しなくてはならなくなる この 場 合 にユーザは 業 務 を 継 続 できなくなる 従 来 型 のWebサービスでも 起 こりうるリスクであるが 大 規 模 に 運 営 しているクラウドではその 影 響 が 顕 著 となる クラウドでは 外 部 ネットワーク 上 に 置 かれることやマルチテナント の 特 徴 から データの 暗 号 化 保 護 機 構 が 必 須 となる この 場 合 に ユーザは 各 社 のサービスのそれぞれで 異 なる 暗 号 システムへの 対 応 をする 必 要 がある ベンダ 側 は 多 数 の 顧 客 の 大 量 のログを 効 率 的 に 分 析 する 手 法 が ないため トラブルシューティングやトラブル 予 兆 の 検 知 などができ ない ユーザ 側 は 自 社 分 のログを 解 析 可 視 化 するツールが 提 供 さ れないと サービスレベルの 確 認 などができなくなる クラウドでは システムが 分 散 化 大 規 模 化 しているために 従 来 のロギングツー ル 手 法 が 使 えない 可 能 性 がある ベンダ 側 が 提 供 するバックアップサービスへの 要 求 集 中 により 顧 客 に 対 する 適 切 なサービスレベルが 守 れなくなる ユーザ 側 がバッ クアップ 処 理 が 遅 延 することにより 通 常 業 務 のサービス 開 始 が 遅 れるなどの 問 題 が 発 生 する サービス 利 用 終 了 時 に クラウドではデータが 分 散 冗 長 配 置 され ているため すべての 冗 長 分 散 データを 確 実 に 削 除 確 認 する 方 法 がない ユーザは クラウドの 基 本 ソフトウェアがバージョンアップしたことに より 自 身 のアプリケーションが 動 かなくなる 可 能 性 がある 一 方 ベ ンダは 特 定 のユーザのアプリケーションを 動 かし 続 けるために ク ラウドの 基 本 ソフトウェアを 複 数 バージョン 稼 動 させる 必 要 が 生 じて 管 理 運 用 コストが 増 える クラウドのマルチテナントから 生 じたリス クである

2.クラウド 導 入 リスクの 評 価 2.1 評 価 軸 による 分 析 結 果 (6/8) リスク リスク 大 分 類 番 号 R2. 技 術 的 リ スク リスク 項 目 R2.15アクセス 権 限 の 管 理 R2.16ハイパーバイザーへの 依 存 リスクの 説 明 クラウドでは 基 本 は 一 元 管 理 の ため 個 々のユーザに 対 応 する アクセス 権 限 管 理 が 行 き 届 かな い クラウド 基 盤 が 仮 想 化 機 構 のハ イパーバイザーに 大 きく 依 存 し ているため 不 具 合 や 脆 弱 性 な どにより クラウド 全 体 が 停 止 し てしまう 可 能 性 がある 回 線 経 路 の 輻 輳 によるアクセ クラウド 化 で 従 来 以 上 にトラ R2.17 ス 性 低 下 フィックが 増 大 する 海 外 流 入 トラフィック 増 大 によ R2.18 る 設 備 投 資 コスト 増 大 R2.19アプリケーションの 応 答 速 度 コスト 面 で 強 い 海 外 データセン ター 利 用 が 増 え トラフィック 全 体 に 占 める 海 外 から 流 入 パケッ ト 量 が 増 大 する すると 国 内 回 線 業 者 は 回 線 帯 域 増 強 をしない といけなくなるが 売 り 上 げは 伸 びない そのコストがユーザの 負 担 増 につながる クラウド 化 でサービスがリモート 環 境 にある 時 アクセス 応 答 速 度 が 下 がる クラウド 環 境 の 強 力 な 演 算 パ コンピューティングパワーの 悪 ワーの 悪 用 ( 例 えばパスワード R2.20 用 (パスワード 解 析 や 暗 号 解 解 析 や 暗 号 解 読 や 攻 撃 などに 読 など) 使 われる 可 能 性 がある) ユー ザ 側 ベン 従 来 ダ 側 型 クラ ウド 固 有 解 説 クラウドで 提 供 するアクセス 権 限 管 理 の 方 法 は 画 一 的 なため ユー ザが 望 む 細 かなアクセス 権 限 管 理 に 対 応 できない 可 能 性 がある その 場 合 ユーザ 側 が 運 用 ポリシーを 変 更 するなどが 必 要 となる クラウドの 基 盤 となる 仮 想 化 機 構 に 不 具 合 があった 場 合 すべての サービスが 停 止 してしまう 可 能 性 がある ベンダは 対 応 を 迫 られる が ユーザも 業 務 が 長 時 間 停 止 する 可 能 性 がある 従 来 型 のWebサービスから 回 線 輻 輳 によるアクセス 性 低 下 のリスク はあったが クラウドで 利 用 するアプリケーションの 拡 大 により 影 響 が 及 ぶ 利 用 者 数 が 拡 大 する ユーザ 側 は 正 常 な 利 用 ができず 業 務 が 滞 るリスクがある 一 方 ベンダ 側 はサービスレベルが 守 れない 可 能 性 がある 海 外 データセンターを 基 盤 とするクラウドを 利 用 する 場 合 EndtoEndの 通 信 帯 域 を 確 保 するために 海 外 線 の 帯 域 を 増 強 する 必 要 性 が 強 くなる そのコストは 一 義 的 にはベンダ 側 が 負 担 するこ とになるが 極 端 に 増 える 場 合 にはユーザ 向 けの 料 金 表 に 転 嫁 さ れる 可 能 性 がある ネットワークに 大 きく 依 存 するクラウド 固 有 のリ スクである 従 来 型 システムでは ユーザが 希 望 する 応 答 速 度 を 得 るために システムの 設 置 場 所 を 近 接 地 にするなどの 選 択 できた クラウドで は 事 業 者 のデータセンターが 遠 隔 地 にある 場 合 十 分 な 応 答 速 度 が 得 られず ユーザの 業 務 に 影 響 が 出 る 可 能 性 ある クラウドのコンピューティングパワーを 悪 用 された 場 合 ベンダ 側 が 管 理 責 任 を 問 われる 可 能 性 がある 従 来 型 システムと 比 べて 安 価 ですぐに 借 りられるクラウド 固 有 のリスクと 言 える 12

2.クラウド 導 入 リスクの 評 価 2.1 評 価 軸 による 分 析 結 果 (7/8) リスク リスク 大 分 類 番 号 R3.1 リスク 項 目 保 管 場 所 に 応 じて 変 化 する データ 開 示 責 任 R3.2 データ 所 有 者 サービス 利 用 に 関 する 責 任 の 所 在 が 曖 昧 R3. 法 R3.3 法 制 度 による 設 備 構 築 の 遅 延 的 リス ク R3.4 アプリケーションの 法 令 対 応 R3.5 ソフトウェアライセンス R3.6 著 作 権 侵 害 リスクの 説 明 データを 様 々な 場 所 ( 国 )にクラ ウドで 分 散 保 持 する 時 司 法 管 轄 の 変 更 に 応 じて 開 示 義 務 など が 変 わる ベンダはデータの 扱 いに 関 して 損 害 賠 償 を 受 けることもある ま たユーザ 側 も 例 えば サービ ス 利 用 集 中 独 占 で 帯 域 圧 迫 に よる 罰 則 を 追 及 されることがあり うる 大 型 データセンターは 建 築 基 準 法 の 規 制 などで 審 査 に 時 間 が かかり 施 設 設 置 が 遅 延 または 制 限 される 会 計 基 準 などの 法 規 制 が 変 更 時 にアプリケーションの 対 応 改 変 を 行 わなければいけない 従 来 型 のソフトウェアライセンス をそのままクラウドに 持 ち 込 め ないケースもあり 利 用 者 が 意 識 しないで 違 反 している 可 能 性 がある ユー ザ 側 ベン 従 来 ダ 側 型 クラ ウド 固 有 解 説 ユーザが 意 図 しない 国 に 自 身 のデータが 置 かれた 場 合 に データ の 開 示 義 務 が 発 生 する 可 能 性 がある ベンダは ユーザが 置 いた データに 違 法 性 がある 場 合 に 当 局 から 開 示 を 迫 られる 可 能 性 が ある 国 による 開 示 請 求 の 可 能 性 は 従 来 のホスティングサービスで もあったが データを 分 散 冗 長 配 置 するクラウドでリスクが 高 まっ た ユーザがクラウド 上 に 配 置 したデータが 消 失 した 場 合 などに ベン ダ 側 に 賠 償 請 求 される 可 能 性 がある ユーザは 予 期 せぬサービス 集 中 でクラウドサービスのリソースを 圧 迫 したことにより 追 加 のコ スト 支 払 いを 請 求 される 可 能 性 がある 曖 昧 なSLAをもつクラウドの 特 徴 である ベンダが 迅 速 にクラウド 基 盤 の 拡 張 を 図 ろうとしても 新 しい 大 型 データセンターは 規 制 により 開 設 が 遅 延 する 可 能 性 がある 従 来 型 システムでも 大 規 模 システムのために 新 規 にデータセンターを 建 設 する 場 合 には 規 制 が 影 響 したが より 大 規 模 な 運 営 を 基 本 とす るクラウドでは その 傾 向 が 顕 著 になる グローバル 事 業 が 基 本 のクラウドでは 様 々な 国 のユーザが 利 用 す るため 各 国 の 法 規 制 に 対 応 する 必 要 がある 特 定 の 国 の 規 制 が 変 わった 際 の 対 応 で ベンダ 側 の 開 発 コストがかさむ 扱 うデータが 著 作 権 などの 規 制 による 制 限 を 受 ける 場 合 がある 特 にクラウド 化 で 国 ごとに 規 制 が 異 なるため 必 要 な 対 応 が 複 雑 化 する ユーザが 商 用 ソフトウェアを 利 用 する 場 合 に クラウドの 自 動 拡 張 機 能 などにより 意 図 しない 台 数 で 稼 動 してしまう 可 能 性 がある ま た 急 激 な 利 用 者 増 加 により 利 用 者 数 制 限 を 超 えてしまう 可 能 性 もある ユーザは 自 分 のデータが 予 期 せぬ 国 のデータセンター 内 に 配 置 さ れることにより 規 制 の 対 象 となる 可 能 性 がある ベンダは ユーザ が 置 いたデータが 著 作 権 侵 害 を 行 った 場 合 に 当 局 から 対 応 を 迫 られる 可 能 性 がある 国 による 著 作 権 の 問 題 は 従 来 のホスティング サービスなどでもあったが クラウドにより 意 図 せぬ 著 作 権 侵 害 を 犯 す 可 能 性 が 高 まった 13

2.クラウド 導 入 リスクの 評 価 2.1 評 価 軸 による 分 析 結 果 (8/8) リスク リスク 大 分 類 番 号 R4.そ の 他 リスク 項 目 R3.7 外 資 参 入 への 規 制 R4.1 サーバや 端 末 の 盗 難 破 壊 リスクの 説 明 著 作 権 や 建 築 に 関 する 規 制 条 件 が 外 国 より 強 く 国 内 事 業 に 必 要 な 規 則 の 英 文 書 類 もないた め 外 資 事 業 者 が 参 入 できず 市 場 の 競 争 力 が 弱 まっている 物 理 的 にディスクや 端 末 が 盗 ま れる 壊 される クラウド 化 で 物 理 的 なリソースは 集 約 されるの で 1つのデバイスの 破 壊 の 影 響 は 大 きくなる ユー ザ 側 ベン 従 来 ダ 側 型 クラ ウド 固 有 解 説 ベンダは 自 国 内 での 強 みを 持 つ 反 面 海 外 での 事 業 展 開 時 に 外 国 の 規 制 で 参 入 できない 可 能 性 を 持 っている グローバル 事 業 が 進 んでいるクラウド 固 有 のリスクといえる クラウド 上 の 機 器 の 盗 難 破 壊 は ベンダ 側 のリスクであるとともに ユーザ 側 は 業 務 が 停 止 してしまうリスクを 持 っている 従 来 型 のシ ステムから 機 器 の 盗 難 破 壊 のリスクはあったが クラウドにおける 集 約 度 や 大 規 模 な 運 用 により 影 響 が 大 きくなった 自 然 災 害 でサービスが 停 止 した 場 合 ベンダは 復 旧 にあたり ユー 地 震 や 豪 雨 などでデータセン ザはその 間 業 務 が 停 止 する 可 能 性 がある 自 然 災 害 は 従 来 型 シス R4.2 自 然 災 害 によるサービス 停 止 ターやケーブル 設 備 が 損 傷 し テムから 存 在 したリスクである クラウドが 分 散 拠 点 で 運 用 されてい サービス 停 止 する る 場 合 サービス 停 止 のリスクは 低 下 する 外 国 は 治 安 やインフラが 悪 い 地 ベンダは コストの 安 い 地 域 でデータセンターを 運 用 した 場 合 有 事 域 もあり 有 事 の 復 旧 が 遅 れる の 際 の 対 応 が 遅 れる 可 能 性 がある ユーザは 不 意 なサービス 停 等 の 安 全 性 信 頼 性 可 用 性 に 止 で 初 めて 設 置 場 所 を 知 り 業 務 再 開 が 遅 れる 可 能 性 がある 設 R4.3 設 置 場 所 による 安 全 性 の 低 下 問 題 が 起 こりうる ただしこのよ 置 場 所 による 安 全 性 のリスクは 従 来 システムから 存 在 したが クラ うな 地 域 は 人 件 費 や 設 置 のコス ウドでは 運 用 コストが 安 価 な 地 域 にデータセンターが 設 置 されるこ トが 安 い とがあり そのリスクは 高 まる R4.4 停 電 によるサービス 停 止 R4.5 ソーシャルエンジニアリング 大 規 模 停 電 の 影 響 でサービス が 停 止 する 利 用 者 になりすまし データを 盗 難 破 壊 する またクラウド 環 境 ではクラウドの 潤 沢 な 計 算 資 源 を 悪 用 したりする ベンダは 大 規 模 停 電 で 一 部 データセンターが 停 止 した 場 合 も 残 るリソースでサービスを 継 続 する 必 要 がある ユーザは ベンダが 十 分 なリソースを 確 保 できなかった 場 合 に 業 務 が 停 止 するなどの 影 響 が 出 る ソーシャルエンジニアリングにより 被 害 を 受 けた 場 合 その 責 任 は ユーザが 持 つことになる ソーシャルエンジニアリングの 手 法 は 従 来 型 システムも 対 象 であったが クラウド 環 境 の 計 算 パワーにより 強 化 される 14

2.クラウド 導 入 リスクの 評 価 2.5リスク 評 価 結 果 の 取 り 扱 い 例 リスク 評 価 の 表 から 以 下 の 条 件 に 従 ってピックアップする 1 2 リスク 評 価 が7 以 上 AND クラウド 固 有 が あるいは ユーザ 側 ベンダ 側 の 両 方 が AND リスク 評 価 が5 以 上 AND クラウド 固 有 が あるいは リスク 評 価 条 件 1 R1.6 R1.3 R1.8 R3.1 8 7 条 件 2 R1.4 R1.7 R1.11 R1.12 R1.13 R1.15 R1.16 R2.6 R2.4 R1.7 6 R1.10 R2.7 R2.18 R1.17 R2.3 R2.15 R4.5 R1.2 R1.5 R2.2 R2.10 R2.13 R2.19 R2.1 R2.5 R2.4 R2.5 R2.11 R2.12 R2.14 R2.17 R2.8 R2.9 5 4 R2.16 R3.2 R2.18 R4.1 R3.6 R4.3 R1.14 R2.20 R3.7 従 来 型 リスク R1.9 R4.2 R4.4 R1.1 R3.5 3 R3.2 R3.3 R3.4 2 ユーザ 側 のみ ユーザ 側 ベンダ 側 両 方 が ベンダ 側 のみ 1 0 縦 軸 はリスク 評 価 の 点 数 点 線 で 囲 まれたリスク 番 号 はユーザ ベンダでリスク 評 価 が 異 なる 15

クラウド 導 入 リスクに 関 する 最 新 動 向 3.クラウド 導 入 リスクへの 対 策 16

3.クラウド 導 入 リスクへの 対 策 3.1 優 先 リスクへの 対 応 最 初 から49 項 目 すべてに 対 応 するのは 難 しい 自 組 織 の 業 態 状 況 自 システムに 応 じて 優 先 的 に 対 応 すべきリスクを 特 定 する 現 時 点 で 有 効 な 対 策 があるものについては 確 実 に 対 応 する 優 先 度 の 低 いリスクについては 残 存 リスクとして 取 り 扱 う 優 先 リスクの 例 リスク 評 価 結 果 から 条 件 1 リスク 評 価 が7 以 上 AND クラウド 固 有 が あるいは でピックアップされたものを 優 先 的 に 対 応 すべきリスクと 考 える R1.3 統 制 の 喪 失 R1.6 導 入 時 の 組 織 変 革 コスト R1.8 コンプライアンス 規 定 への 準 拠 R3.1 保 管 場 所 に 応 じて 変 化 するデータ 開 示 責 任 17

3.クラウド 導 入 リスクへの 対 策 3.2リスク 対 策 (1/2) R1.3 統 制 の 喪 失 リスク 内 容 リスク 対 策 機 能 の 外 部 委 託 によりシステム 全 体 を 把 握 できなくなる 従 来 型 システムでは 外 部 委 託 であっても 統 制 に 必 要 な 監 査 などの 仕 組 み ツールが 整 えられているが クラウドで はまだそのような 仕 組 みが 足 りない 監 査 への 対 応 について 契 約 書 の 記 載 を 含 めて 確 認 す る プライベートクラウドを 自 組 織 やグループなどで 構 築 し 統 制 可 能 な 仕 組 みを 取 り 入 れる R1.6 導 入 時 の 組 織 変 革 コスト リスク 内 容 情 報 システムおよび 業 務 プロセスの 双 方 に 変 革 が 求 めら れる 従 来 システムからクラウドに 移 行 する 場 合 に PaaSの 場 合 は 情 報 システムの 作 り 直 し SaaSの 場 合 はその 仕 様 に 合 わせるように 業 務 プロセスの 変 更 が 求 められる リスク 対 策 クラウド 利 用 によるメリット(コスト 削 減 など)と 組 織 変 革 コストを 情 報 システムのライフサイクル 全 体 に 渡 って 検 証 する 組 織 改 革 の 必 要 性 について トップマネジメントの 承 認 を 得 る 18

3.クラウド 導 入 リスクへの 対 策 3.2リスク 対 策 (2/2) R1.8 コンプライアンス 規 定 への 準 拠 リスク 内 容 ユーザ 側 ポリシーとクラウド 事 業 者 が 提 供 するサービス のセキュリティ 要 件 が 合 致 しない 従 来 型 システムでは 顧 客 毎 に 仕 様 を 変 えることはよくや られていたが クラウドサービスがグローバルに 画 一 的 な サービスを 提 供 されている 場 合 は 個 別 ユーザへの 対 応 ができにくい リスク 対 策 自 社 のセキュリティポリシーとクラウドサービスのセキュ リティポリシーの 差 異 を 明 確 化 する 利 用 中 のクラウドサービスのセキュリティポリシーに 変 更 がないことを 契 約 書 などで 担 保 する R3.1 保 管 場 所 に 応 じて 変 化 するデータ 開 示 責 任 リスク 内 容 リスク 対 策 データを 様 々な 場 所 ( 国 )のクラウドで 分 散 保 持 する 時 司 法 管 轄 の 変 更 に 応 じて 開 示 義 務 などが 変 わる ユーザが 意 図 しない 国 に 自 身 のデータが 置 かれた 場 合 に 日 本 国 法 が 効 力 を 発 揮 できない 可 能 性 がある データが 保 管 されるデータセンターの 地 理 的 な 位 置 を 契 約 時 に 指 定 する 日 本 国 内 での 運 用 が 保 証 されているクラウド 事 業 者 を 選 択 する 19

本 件 に 関 するお 問 合 せ 先 株 式 会 社 三 菱 総 合 研 究 所 情 報 通 信 政 策 研 究 本 部 クラウドセキュリティグループ 主 席 研 究 員 村 瀬 一 郎 Email murase@mri.co.jp Tel. 03-6705-6047 Fax. 03-5157-2195 100-8141 東 京 都 千 代 田 区 永 田 町 2-10-3 20

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック