■ IPAクラウドセキュリティシンポジウム

　IPAが主催のクラウド系セミナーです。登壇されてらっしゃる方は、CSAキックオフシンポジウムの時と似たようなメンバーの方で、CSA事務局のJimReavis氏、IPAの勝見氏、IT法律事務所の高橋弁護士など。内容としては「今年どうだったのよ？」というのと「じゃあ、今後どうするのよ？」という観点で、現在のクラウド関連団体の動向のお話や、クラウドセキュリティの課題ってなんだろうというところをその筋の偉い方々でパネルディスカッションするというもの。
　今回のセミナーのターゲットとしている参加者層がいまいち見えなかったのですが、全体的に参加者の方の年齢層は高いように感じました。カジュアルな格好で行こうかと悩んだものの、スーツで行ってよかった。クラウドと名がつく割に、Twitterの公式ハッシュタグがなかったのは少し残念です。といっても参加されている年齢層がやや高めに思えたので、つぶやく人はいなかったのかもしれませんが。。

ちなみにまとまった内容は既にクラウドWatchに上がってます。
クラウド時代の到来をふまえ、ITのセキュリティを再構築する時が来た　〜IPAクラウドセキュリティシンポジウム・基調講演

(1) 招待講演「クラウドセキュリティの最新課題と、世界における取組み状況」

1つ目のセッションはCSA(Cloud Security Alliance)の事務局長JimReavis氏の招待講演として、最近のクラウドのセキュリティに関するお話。最初にクラウドの定義について取り上げており、コンピューティングの世界においてクラウドは「第3世代」に該当するそうでで、メインフレーム→PC→クラウドだそうです。
このように既に大きな影響力を持ちつつあるクラウドに対して、主なセキュリティ課題というのをCSAがいくつか取り上げています。(CSAがセキュリティに関する脅威を挙げているレポートは今年の5月に出ているものです。)今回はそのなかで重要な2つとして、「信頼性」と「データの管理」について取り上げてお話されていました。信頼性の問題については、サービスの透過性が十分でないというところを強調されており、そのサービスに携わる人、プロセスなどがサービスが提供されるうえでどのように状態にあるのか見えない問題があるとのことです。また、データの管理は各国政府の定める要件、法的規則に対応する必要があり、誰がアクセスしているのかもわからない、データ漏えいが起こったこともわからないといった脅威が起こり得るとのこと。また、クラッカーなどの悪意を持つ利用者も積極的にクラウドを利用しており、既にこの新時代に準拠したマルウェアも開発しており、パブリッククラウドには既に存在しているとのこと。そしてそれらを利用して当然ながらそして利用者への攻撃も行われているとも話されていました。個人的には具体的な事例も行って欲しかったのですが、特に具体例については触れられていなかったと思います。
ただし、このような課題や脅威はありながらも今後ますますクラウドは利用されていくとも話されており、(まぁCSAの立場でクラウドに対しての否定的な意見は言えないと思いますが)今後はポリシー、法規制など多くの国々にまたがって、1つの利用者に対してサービスを提供できる土台が出来ていないという点が顕著になっていくのではないかとのことでした。そのため、今の内からパブリック、プライベートなる様々なサービスが存在していますが、それらの互換性を考えていく必要があるとお話されていました。また、クラウド上でのセキュリティインシデントのレスポンス等、攻撃の影響範囲がより広くなっていくものと考えているそうです。
ただ、逆にこれはIT、セキュリティの業界にとってもよいビジネスチャンスになるともお話されており、特に現状のシステムではデータへアクセスする利用者・操作者の直接的な分離というものが出来なくなってきているので、再構築をしていく必要が出てくるのではとのこと。
また、このようなクラウドのセキュリティに観点を置いたシステム構築にはベストプラクティスが必要で、新技術も考えていく必要があるとのこと。例としてはどのクラウドベンダーでも互換性を持ったフォーマットの上に利用可能な暗号技術などではないかとお話されていました。また、監査の面についても監査手段・方法・教育がまだまだできておらず、この点について注力していくことも重要だそうです。
CloudSecurityAllianceの紹介があり、日本でもJapanChapterとして日本支部が立ち上がっており、CSAへ加入しているメンバーとして、個人では1万5千人、法人にはほとんどのクラウドプロバイダーが入っているそうです。CSAでは主要な課題としてGRC(ガバナンス、リスクマネジメント、コンプライアンス)を中心に据えているそうで、今後はこの部分にも注目が集まるのではないかとのことです。既にAmazonではPCIDSSの認証を受けているらしくそうで、クラウド用に最適化される必要はありながらも、このような動きは出始めているそうです。また、プライベートクラウドは周りに境界線があるため、セキュリティ水準を下げて考えがちだそうですが、将来的な統合も見据えたうえで、セキュリティ水準はパブリック同様に考えられるべきとも警鐘をならされていました。
先ほどのGRCについて「CSAでのGRCスタック」としてお話があり、次の3つの研究プロジェクトの組み合わせを総称してよんでいるそうです。
　CloudAudit → クラウドベンダーに対して、監査の自動化を行いリアルタイムにチェックする。
　CCM → ISO27001関係、PCI関係、その他の標準へのクロスリファレンスを提供
　CAI → 現在プロセスがどうなっているのかというのを情報として集め、管理要件を洗い出す。
また、CSAが提供しているセキュリティガイドラインの次期バージョンは2011年中に出るそうです。

(2) 日本におけるクラウドセキュリティへの取り組みとIPAの国際連携

2つ目のセッションはIPAの勝見氏による日本のクラウドセキュリティへの取り組みについて。
日本でも色々な取り組み、動き、団体があるのですね。総務所ではスマート・クラウド研究会、経済産業省ではクラウドコンピューティングと国際競争力研究会、また経団連などが参加するジャパンクラウドコンソーシアムも先月スタートしたそうです。他にも世界経済フォーラム（WEF）でもクラウドに関しての検討を行っているそうで、勝見氏も取り組みについての説明を行いに参加しているそうです。
具体的な活動の紹介もあり、クラウドコンピューティング社木の基盤に関する研究会では、会合を10回行っているそうで、今年の3月に社会基盤報告書としてまとめたものを活動成果として公開されているそうです。この報告書の中では、クラウドを用いた攻撃などの脅威についての課題調査を行っているそうです。
次にＩＰＡのクラウドセキュリティ勉強会についてのお話もあり、これは月に1，2回集まっているそうですでに18回を数えるのだとか。様々なクラウドベンダが参加もしており結構盛んな活動の模様です。この活動ではインシデントレスポンスに関する情報収集、事例研究を行っているそうです。他にも中小企業向けのクラウドの取り組みについても利用に関する検討を行っているそうです。

(3) パネルディスカッション「今、クラウドセキュリティの課題は何か」

3つ目、最後のセッションとしては有識者の方によるクラウドセキュリティに関するパネルディスカッションが行われました。
モデレータはIPAの勝見氏、そしてパネリストとしてはCSAのJim氏、IPAの河野氏、IT法律事務所の高橋氏、富士通の塩崎氏の4名の方が参加されました。
Jim氏以外のパネリストから最初に取り組まれている内容についてのお話があり、まずIPAの河野氏からは「クラウドサービス利用におけるセキュリティ対策の標準化」として情報セキュリティガイドラインについて紹介がありました。現在、情報セキュリティガイドラインを策定中で、先日までパブリックコメントの防臭も行われており、近日中に公開されるかと思います。将来的なISO化にも向け、積極的に取り組まれているそうです。
次にIT法律事務所の高橋氏からのCSAのお話で、高橋氏はCSAの日本支部の幹事も務められています。この日本支部の活動内容についての紹介が行われました。CSAの日本支部はネットベース(LinkedIn)で草の根コミュニティ的な活動を中心として展開されており、参加者は200名ほどだそうで、この参加人数は1位のムンバイ?に次いで第二位だそうです。活動規模1位を目指しているそうで、今後もより積極的な参加をお願いしたいともお話されていました。
最後にクラウドベンダの代表として参加された富士通の塩崎氏による自社クラウド事業の紹介がありました。今回紹介いただいた内容は「オンデマンド仮想システムサービス」についてですが、デモを見る限り非常に使いやすそうです。Azureよりも使いやすそうだなぁとデモを見る限りは感じてしまいました。
この4名のパネリストの方により「データの安全性」「コンプライアンス」「情報提供」といったテーマに沿って意見が交わされました。
データの安全性については、どこまで対応すべきかについての部分でまだ考慮が十分に行き届いてないところがあるそうで、個人情報などについては国内、海外でやや考え方が異なる面もあるのではないかとお話されていました。(日本のほうがやや神経質気味？だそうです。)
また、コンプライアンスについては、誰もが判断できるような基準作りが重要であり、ベンダ側では国外での様々な対応基準の違いへの対処へ苦慮しているそうです。出来る限り各国への対応は行いつつも、可能な範囲での共通化も目指していきたいとのことです。
最後に情報提供については、特に監査をする側でどのような情報を見たい、知りたいのかという部分がまだまだ明確になっておらず、単にデータセンターの見学会になってしまうことも多いのだとか。今後はこの点についても十分に考えていく必要がありますね。

質問については会場からは特にありませんでした。

以上がクラウドセキュリティシンポジウムの内容となります。来年の上半期でまた色々なレポートがCSA、ENISA、NISTから上がってくると思うので、世の中の流れに乗り遅れないためにも注目していく必要があります。