米国等に比べると随分出遅れた感がありますが、クラウド・コンピューティングがいよいよ日本でも盛り上がってきています。
新しいアプリケーションの構築を検討する場合、SaaSやPaaS、または、IaaS等の利用を選択肢の一つに加えるのはごく普通のことになってきたと思います。また、プライベートクラウド、グループクラウド等の構想を始められている企業も出てきています。
皆様の会社におかれましても、クラウドの利用が議論に上がっているのではないでしょうか? 確かにクラウドを利用すると「安い(初期コストやトータルコストが低い)」とか「早い(サービス立ち上げ期間が短い)」というメリットがあるのは事実です。とはいえ、実際にクラウドコンピューティングを利用しようとすると、色々と不安に思うことがあるのではないでしょうか?
以下は、クラウドコンピューティングの不安点に関するアンケート結果です。やはり、皆さん、セキュリティ対策のレベルがわからない業者に自社の情報を預けることに不安を感じておられることがわかります。 
図 1 クラウドコンピューティングの不安点。
有効回答数は321件。出典:ITmedia リサーチインタラクティブ/ITR(2009年9月)
こういった背景もあってのことなのか、11月17日付けで、経済産業省が、「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(案)に対する意見募集をしています。 まだ、案段階ではありますが、このガイドライン(案)のポイントを見ることで、クラウドセキュリティをどのように考えていけば良いのかを、探ってみたいと思います。
Ⅰ.「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(案)」のポイント(1)既に基本的な情報セキュリティ管理は実施されていることが前提 このガイドラインでは、JIS Q 27001:2006 又はJIS Q 27002:2006 に基づき情報セキュリティマネジメントシステムに取り組んでいる組織を対象にしています(JIS Q 27001は、ISMS適合性評価制度の認証基準にもなっており、日本国内で多くの企業が取り組んでおられます)。
すでにクラウド以外の部分では、(JISに沿っているかどうかはさておき)ある程度の情報セキュリティ管理がされていて、「その範囲にちゃんとクラウドも含めましょう」ということなのだと思います。 (2)リスクは自分で評価する。クラウド特有のリスクは要チェック! ガイドラインの中では、リスクアセスメントの実施が推奨されており、そのやり方が示されています。また、「附属書B クラウド利用におけるリスクアセスメントの考え方」の中では、リスクアセスメントの方法とそれに利用できる様式が示されています。 ただし、リスク評価の際には、クラウド固有のリスクには充分注意しないといけません。「附属書A クラウドサービス固有のリスク」の中では、仮想化や従量課金、マルチテナント等のクラウド固有の要素によって引き起こるリスクについて解説されています。 (3)クラウドサービスのセキュリティレベルがわからなければ確かめる ID管理、ログ管理、また、物理的セキュリティ管理など、クラウドの利用者にとっては管理したくても、満足にできない項目も多いと思います。どんな対策がされているのか、よくわからない場合もあるでしょう。
これに関して、ガイドラインの中では、情報セキュリティ監査を取り入れることが提案されています。
また、付録でついている「クラウド利用における実施の手引き一覧(※)」には、クラウド事業者側では、セキュリティの対策状況について利用者への明示を求めている項目が幾つかあります。クラウド利用者側ではこれらの情報を確認するように推奨されています。 アンケート結果にあるような「セキュリティ・レベル」がわからないという不安は、「利用者が事前また継続的に確認することで解消するべし。そのための情報を事業者が提供するべし。」ということですね。 ※ 付録「クラウド利用における実施の手引き一覧」では、JIS Q 27002:2006をベースに広い範囲での実施の手引き例が示されています。実施策は下記のとおり、広範囲に渡っています。 
図 2 クラウド利用における実施策
(4)クラウドのサプライチェーンを意識する クラウドコンピューティングにおいてはIaaS,PaaS 及びSaaS それぞれが関連しあってサプライチェーンを形成し、サービス全体を提供することがあります。
例えば,SaaS 事業者がPaaS 事業者のサービスを利用していて、エンドユーザにサービスを提供していることも考えられます。同様にPaaS 事業者がIaaS 事業者のサービスを利用していることもありえます。
この場合、利用者は、直接契約しているクラウド業者が利用しているクラウドサービスも意識して、セキュリティ管理を考えていく必要があります 
出典:経済産業省「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(案)」
Ⅱ.クラウドセキュリティについて今できること 今回の経済産業省のガイドライン(案)のポイントは上述のとおりです。経済産業省で、パブリックコメントを取りまとめた後、正式版が発行されるでしょう。 では、我々は、今、クラウドサービスを使うために、なにができるでしょうか? とっかかりは、「クラウド特有のリスクをしっかりと把握する」ことでしょう 以下は、私の考えも入りますが、クラウド特有のリスクを大きく6つ挙げてみました。 (1) クラウド事業者に関するリスク 当たり前の話ですが、自分の会社ではないので、責任範囲が不明瞭になりがちです。また、セキュリティ管理も直接実施することができません。クラウド事業者の情報セキュリティ管理のレベルが、自社が期待するレベルではない可能性があります。要員の教育や管理者権限の取り扱い等が充分に行われていなかもしれません。
また、料金体系やサービスレベル、サービス内容、セキュリティ管理方針等が将来変更される可能性もあるでしょう。さらに、最悪の事態として、クラウド事業者がなんらかの理由により事業継続が困難になると、提供されているクラウドサービス自体の利用が制限されたり、停止したりする可能性もあるかもしれません。
クラウド事業者同士がサプライチェーンのように連携しつつサービスを提供している場合があります。この場合は、直接契約している事業者の向こう側にいる事業者のセキュリティ対策状況まで把握する必要があります。 (2) データやサービスの連携に関するリスク データフォーマットや通信方式等の制約で、社内システムとの間のデータ連携、サービス連携がうまくできない可能性があります。
また、サービスの利用を終了し、他のクラウドサービスにデータを移行するといった場合に、実際には移行困難でロックインされるリスクもあるでしょう。。
ユーザ認証に利用するID管理に関しても、既存のシステムとIDを一元管理するためのインタフェースを持っていない可能性もあります。 (3) マルチテナントに付随するリスク 一つのハードウェア上に複数の契約者が同居することにより、他の利用者の影響を受ける可能性があります。例えば、ある利用者への攻撃やシステム障害が、他の利用者の環境に影響を及ぼす可能性があります。また、他の利用者が不正行為を働く可能性も無いわけではありません。
CPUやメモリなどの必要な計算資源が、タイムリーに適切に配分されないこともあり得るでしょう。 (4) インターネット経由で利用することのリスク クラウドサービスの多くはインターネット経由で提供されます。公衆無線LANや3G回線等の普及等もあり、様々な環境からのアクセスが想定されます。通信の傍受やなりすまし、分散型サービス拒否攻撃(Distributed Denial of Service)等が行われる可能性もあるでしょう。リスクは様々になることが想定され、暗号化や不正アクセス対策等をしっかりと行っている事業者を選択したいところです。 (5) データセンター設備や物理的セキュリティ等に関するリスク データセンターの設備や物理的セキュリティは、利用者からは見えません。海外にセンターがあるかもしれませんし、コンテナ式で運営されているかもしれません。国によっては、現地の法令によるサーバの差し押さえや電子証拠開示等のリスクも存在すると言われています。
しっかりとした入退室管理や地震・火災等対策が行われているかどうかも目には見えません。このあたりに、利用者が期待するだけの充分な対策が取られていないかもしれません。 (6) 障害対応やセキュリティ事故発生時のリスク 障害発生時やセキュリティ事故発生時の対応が、自社で思うようにできない可能性があります。
また、アクセスログやファイアウォールの通信ログ等を提供してもらえなかったり、障害や事故等のインシデント情報が充分に公開されなかったりということも考えられます。
まずは、これらのリスクをしっかりと把握した上で、クラウドサービスを検討しましょう。 その上で、今回の経済産業省のガイドライン(案)にあるような、リスク評価や対策の実施、規程への落とし込み等を進めていかれればいかがでしょうか?
リスク評価の方法や各種対策の実施、規程への落としこみ等の具体的なところについても、機会があればこのWebマガジン上でご紹介したいと思います。
*本Webマガジンの内容は執筆者個人の見解に基づいており、株式会社オージス総研およびさくら情報システム株式会社、株式会社宇部情報システムのいずれの見解を示すものでもありません。 | 
