ITIL NaviITガバナンス/運用管理のワンストップ情報コーナー

ガイドライン

ENISAクラウドセキュリティガイドライン

2011年05月05日

ENISA (*1)が 発行していたクラウドコンピューティングに関するガイドライン「Befits, risks, and recommendations for Information Security」が邦訳されました。(邦題:情報セキュリティに関わる利点、リスクおよび推奨事項)情報処理推進機構が2010年5月25日に翻訳版を公開したもので、情報処理推進機構のウェブサイトよりどなたでもダウンロードして閲覧が可能となっています(文末リンク参照)。

オリジナル版は2009年11月に発行され、産業、学術、政府の様々な分野からの専門家の意見をもとに調査を行い、クラウドコンピューティング利用に関するセキュリティリスクと利点について一冊にまとめたガイドラインとなっています。

他のガイドラインと異なるのは想定する読者

クラウド関連のガイドラインとしてNIST(*2), CSA(*3)と並び、欧州では広く利用されてきた本文書ですが、他のクラウドコンピューティングのガイドラインと大きく異なる点は対象読者です。

【対象読者】
  • 企業、特に中小企業
  • 個人/市民
  • 欧州の政策立案者
中小企業や個人となっている理由としては、欧州の企業形態の99%が中小企業という背景があります。

クラウド環境のセキュリティリスクを網羅的に8段階で評価

本文書ではクラウドを利用する際に、セキュリティリスクを評価・管理しつつ、利便性を引き出すための具体的な提言がなされています。具体的には、リスク毎に脆弱性、発生可能性と資産の影響度を洗い出し、それぞれのリスクに対しリスクレベルを8段階評価で表しています。

35のリスク、53の脆弱性、23の資産からなる分析

対象となるリスクの数は計35におよび「ポリシーと組織関連のリスク」、「技術関連のリスク」、「法的なリスク」、「クラウドコンピューティングに特化していないリスク」の4つのカテゴリーに分類されています。「クラウドコンピューティングに特化していないリスク」を除くクラウド特有のリスクは計24項目となり、それぞれのリスクに対しどのような脆弱性と資産が関連するのかをひとつひとつ示しています。

脆弱性は53項目、資産については23項目が洗い出され、これらがリスク毎、8段階評価で約30ページを割く形で提示されています。以下が洗い出された35項目のリスクとなります。

【クラウドコンピューティングにおけるリスク一覧】
分類 リスク
1.ポリシーと組織的なリスク R.1 ロックインリスク
R.2 ガバナンスの喪失
R.3 コンプライアンス実施リスク
R.4 資源共有者による企業評価の損失
R.5 サービス停止や失敗
R.6 クラウドプロバイダーの捕捉リスク
R.7 サプライチェーンの失敗
2.技術的なリスク R.8 リソースの枯渇
R.9 リソース分離の失敗
R.10 クラウドプロバイダー内部の悪意ある行為
R.11 マネージメントインターフェースの妥協
R.12 データ交換中の傍受
R.13 データの漏洩
R.14 不完全なデータ削除
R.15 サービス提供に関する不都合(DdoS)
R.16 サービスの経済的な不都合(EDOS)
R.17 暗号化鍵の紛失
R.18 悪意のある探索
R.19 サービスエンジンの妥協
R.20 固定的な過程とクラウド環境間の矛盾
3.法的リスク R.21リソースの物理的没収等法的行為リスク
R.22 司法権リスク
R.23 データ保護リスク
R.24 ライセンスリスク
4.クラウドに特化しないリスク R.25 ネットワークの途絶
R.26 ネットワークの管理(ネットワークの混雑、接続ミス、最適でない使用)
R.27 ネットワークトラフィックの改変
R.28 特権の(勝手な)拡大
R.29 ソーシャルエンジニアリング攻撃(なりすまし)
R.30 運用ログの喪失または改ざん
R.31 セキュリティログの喪失または改ざん
R.32 バックアップの喪失、盗難
R.33 構内への無権限アクセス
R.34 コンピュータ設備の盗難
R.35 自然災害

特に注意が必要なリスクとは

本ガイドラインでリスク評価を実施した結果、クラウド環境で「高リスク」として下記の8つのリスクに言及しています。
 
リスク リスクレベル 分類
R.2 ガバナンスの喪失 8 ポリシーと組織的なリスク
R.3 コンプライアンス実施リスク 7
R.9 リソース分離の失敗 6 技術的なリスク
R.10 クラウドプロバイダー内部の悪意のある行為 6
R.11 複数の利用者にあわせることによる
マネージメントインターフェースの妥協
6
R.14 不完全なデータ削除 6
R.22 司法権リスク 7 法的リスク
R.23 データ保護リスク 6

日本の企業もガイダンスとして利用可能

欧州発のガイドラインのため対象には「欧州の政策立案者」と記述されていますが、内容は欧州の法規制に関する記述を除けば、日本のユーザも十分利用可能な内容となっています。むしろNIST(*2)やCSA(*2)のガイドラインより詳細なリスク評価がなされており、数多いガイドラインの中でも読み手を選ばない有用な文書です。日本においてもクラウドの導入に関するガイダンスの一つとして広くの利用されることが予想されます。

関連リンク

*1 ENISA: European Network and Information Security Agency
欧州においてネットワークセキュリティと情報セキュリティに関するアドバイスや提言を行う機関。
*2 NIST: National Institute of Standards and Technology
米国商務省配下の技術部門という位置づけであり、ガイドライン「(SP)800-144 Guidelines on Security and Privacy in Public Cloud Computing」を発行。
*3 CSA: Cloud Security Alliance
EbayやINGなどの業界団体で構成される非営利組織、クラウドコンピューティングのセキュリティガイドライン「Guidance for Critical Areas of Focus in Cloud Computing」を発行

(文責:内海 良