ITIL NaviITガバナンス/運用管理のワンストップ情報コーナー

ガイドライン

クラウドコンピューティングのセキュリティ

2011年02月15日

NIST (National Institute of Standards and Technology:米国標準技術局) が、2011年2月3日にパブリッククラウドに関するガイドラインのドラフト版を公表しました。

これは連邦政府のCIOの要請により、NISTが一定のセキュリティを保ちつつ政府機関がクラウドコンピューティングを利用する手法をガイドラインとしてまとめたものです。

あくまで政府機関がクラウドコンピューティングを利用することを想定して書かれていますが、主語をそのまま企業に置き換えても十分利用可能な内容となっており、現在は2月末を目処にパブリックコメントを募っている状況です。

クラウドコンピューティングの定義文書も併せて更新

今回このガイドラインの公開に併せて、クラウドコンピューティングの定義を示した文書もドラフト版としてアップデートされています。こちらのアップデートは急速に変化するクラウド環境を反映し改訂はすでに16版を数えますが、正式公開時期は未だに未定の状態です。

【今回公表された文書】
(SP)800-144 GuideLines on Security and Privacy in Public Cloud Computing
(SP)800-145 The NIST Definition of Cloud Computing (Draft)

NISTの定義が業界のスタンダード

クラウドコンピューティングのガイドラインを定める動きは少なくありません。アメリカの業界団体Cloud Security Alliance (CSA)が2009年12月に“Security Guideline for Critical Areas of Focus”の第2.1版を公開しており、IBMなども独自にまとめた技術文書RedbookにてCloud Security Guidelineを公開しています。

但しどちらもドラフト段階であるNISTのクラウドコンピューティングの定義がそのまま採用されており、実質NISTの定義が業界のスタンダードとなりつつあります。

定義内容は5つの特性、3つのサービスモデル、4つの展開モデルから構成されています。
201601131203_2.gif
【出典:GuideLines on Security and Privacy in Public Cloud Computing】
【クラウドコンピューティングの特性】
# 特性 説明
1 オンデマンド・
セルフサービス
サーバの時間設定やネットワークストレージ設定を必要に応じて、クラウドサービスを提供するエンジニアのサポートなしに利用/変更できること
2 広範囲なネットワークアクセス ネットワークを通じてサービスが利用可能であり、様々な形態からのアクセス可能なサービスであること(携帯電話やシンクライアント、ラップトップPC等)
3 リソース共有 複数の利用者が同時に利用可能であり、利用者の要求に応じてリソースが動的に割当られるサービスであること。また利用者がサーバやストレージの場所を意識する必要のないこと。(国や州、データセンターレベルの特定は可能であること)
4 柔軟性 必要なリソースを、自動的(または手動的)且つ迅速に割り当て、解放できる仕組みを備え、拡張性のある環境であること。利用者は必要なリソースを適宜購入可能なこと。
5 利用状況の計測 サービスのタイプ(ストレージ、処理能力、帯域、利用者数等)に応じて、利用状況が計測可能なこと
【サービスモデル】
# サービスモデル 説明
1 Saas クラウド基盤上で動作するアプリケーションを、利用者がウェブブラウザなどを通じて利用するサービス形態
2 Paas クラウド基盤がサポートするプログラミング言語やツールを使って、利用者がアプリケーションを作成し、クラウド基盤上に展開することが可能なサービス形態
3 Iaas OSやアプリケーションを含め、利用者が任意のソフトウェアを展開し利用するサービス形態。処理能力やストレージ、ネットワーク、あるいは他のリソースを、利用者は利用可能。利用者はクラウド基盤の基礎的な部分の管理・制御は行えないが、OSやストレージ、配置したアプリケーション等の設定を行うことが可能
*こちらの内容については用語集のクラウドコンピューティングもご参照ください。

【展開モデル】
# 特性 説明
1 プライベートクラウド 単一の組織によって運用されるクラウド基盤。その組織あるいは第三者によって管理され、自社運用型(on premise)と他社運用型(off premise)が存在。
2 コミュニティクラウド 複数の組織によって共有され、同じ利害関係(使命、セキュリティ要件、ポリシー、コンプライアンスに関する懸念事項)を持つコミュニティを支援するクラウド基盤。その組織体あるいは第三者によって管理され、自社運用型(on premise)と他社運用型(off premise)が存在する。YoutubeやFacebookなどが該当
3 パブリッククラウド 一般消費者や大規模な団体が利用可能なサービスであり、クラウドサービスを販売する組織により所有されるクラウド基盤。Gmailなどが該当。
4 ハイブリッドクラウド 上記の複合版

移行時のチェックリストとしても利用可能なガイドライン

今回のガイドラインは大きく9つのカテゴリに分けられ、それぞれの懸念点、理由、対策、予防措置がまとめられています。各カテゴリで記述されている内容を以下に抜粋します。

1. ガバナンス
アプリケーション開発、デザイン、実装、テスト、モニタリングなどクラウド環境でのサービス利用に関して文書類(方針書や手順書等)をアップデートすること。 システムライフサイクルを通じて、組織における監査手法が機能していること

2. 法令順守
様々な法律や規制を理解し、セキュリティおよびプライバシー保護に関しどのような義務を負っているのか考慮すること。 特にデータの保管場所やセキュリティとプライバシー保護への対策、電子情報開示に関する要求事項などに関する法律、規制は留意する必要がある。 またクラウド業者のサービス内容が自組織の要求内容を満たしているか評価すること。

3. 信頼性
セキュリティとプライバシー保護に関してクラウド業者がどのように運用しているか明示されていること。 継続的に改善可能なリスクマネジメントプログラムを制定すること。

4. アーキテクチャ
クラウド業者がどのようなテクノロジーを採用してサービス提供しているのか、特にシステムのライフサイクルを通じてセキュリティとプライバシー保護に関する技術的な対策はどのようなものが採用されているのか理解できること

5. アクセス管理
認証、権限付与、などのアクセス管理に関して、安全な管理策がとられていること

6. 仮想化などのソフトウェア環境
クラウド業者が提供している仮想化環境などのソフトウェア運用手法を理解し、自組織にとってどのようなリスクがあるか評価すること

7. データ保護
クラウド業者のデータ管理手法が自組織の管理手法の要求レベルを満たしているか評価すること

8. 可用性
中規模、もしくは大規模のシステム障害が発生した場合、重要な機能がすぐに復旧可能であること、また全機能が速やかに再開されること

9. インシデント対応
契約内容およびインシデント時の対応手順が確立されていること

まだ一般的な内容にとどまっており今後の更新に期待

今回のガイドラインに書かれていることは、まだ粒度が荒く、大枠を決めている段階であることが見て取れます。例えばリスクマネジメントを行うべきとの記述はあるものの具体的な内容は書かれていません。まだドラフト段階ということもあるので、現状は次項に挙げる他のガイドラインも参照しつつ、クラウドコンピューティングの利用を検討することをおすすめします。

いずれにしろパブリックコメントを反映した正式版の公開が待たれるところです

その他のクラウドコンピューティングに関するガイドライン

CSA (Cloud Security Alliance)
EbayやINGなどの業界団体で構成され、クラウドコンピューティングのセキュリティガイドラインを策定

ENISA (European Network and Information Security Agency)
EUの調査研究機関であり、クラウド環境のリスクアセスメント手法を開発

OWASP (Open Web Application Security Project)
世界中のボランティアで構成される団体であり、クラウドコンピューティングに関して10からなるカテゴリを設定し、セキュリティに関する研究成果を発表

ISACA
情報システムや情報セキュリティ専門家からなる国際的な団体組織であり、クラウドに関しては監査手法を提示

SNIA (Storage Networking Industry Association)
米国で発足したストレージを普及推進する団体。クラウド環境におけるストレージのあり方について設計、運用などに関する文書を公開

ISO SC38 
クラウドコンピューティングの国際標準化を目指し2009年に設立された。日本でもSC38委員会が組織され活動している。

(文責:内海 良