リスクマネジメント リスクマネジメント記事一覧へ

[クラウドのセキュリティリスクを管理せよ]

【第6回】クラウド利用におけるセキュリティインシデント対応(前編)

2014年6月24日(火)日本クラウドセキュリティアライアンス(CSA)

クラウドコンピューティングのセキュリティ課題について、「Security Guidance for Critical Areas of Focus in Cloud Computing(略称CSAガイダンス)」では体系的に解説している。本連載では、CSAガイダンスに沿って、クラウド利用者が知っておくべき知識と、押えるべきポイントを解説する。前回は、データセンターにおける物理的なセキィリティと人的セキュリティについて説明した。今回と次回は、クラウド利用におけるセキュリティインシデントの対応を2回に分けて説明する。

 クラウドにおけるセキュリティを考える上で、大きな課題の1つが、万一のセキュリティインシデントへの対応(インシデントレスポンス)である。“万一”という言葉には多少語弊がある。昨今の状況を考えれば、サイバー攻撃の手口の進化に、守る側が十分に追いつけていない姿が垣間見える。予防策が十分ではない現状では、セキュリティインシデントの発生は“想定外”であってはならない。

 とりわけ、クラウド利用においては、このようなインシデント対応のスキームは複雑なものになる。クラウドという形態の基本的な特徴や多様性に依っている。第2回で触れたように、クラウドのアーキテクチャには、いくつかの形があるためだ。

図1:クラウドにおける利用者と事業者の責任範囲図1:クラウドにおける利用者と事業者の責任範囲
拡大画像表示

 セキュリティ対策において、その責任の所在1つを考えても、事業者と、利用者もしくはテナントとの間の責任分界点は、利用するクラウドのモデルに依存する(図1)。サービス自体のサプライチェーンまでを考えれば、さらに複雑になる。そのため、CSAガイダンスでは、インシデント対応については、9章全部を割いて様々な角度から考察している。

クラウド利用の責任分界点とインシデント対応の問題点

 インシデント対応を考える前に、クラウドのサービスモデルと責任分界点の関係をみてみよう。NIST(米国立標準技術研究所)のサービスモデルで整理して見ると、以下のような姿になる。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

【次ページ】シナリオに沿って事業者が担うべき役割を明らかに
  • 1
  • 2
  • 3
バックナンバー
クラウドのセキュリティリスクを管理せよ一覧へ
関連記事

Special

-PR-

【第6回】クラウド利用におけるセキュリティインシデント対応(前編)クラウドコンピューティングのセキュリティ課題について、「Security Guidance for Critical Areas of Focus in Cloud Computing(略称CSAガイダンス)」では体系的に解説している。本連載では、CSAガイダンスに沿って、クラウド利用者が知っておくべき知識と、押えるべきポイントを解説する。前回は、データセンターにおける物理的なセキィリティと人的セキュリティについて説明した。今回と次回は、クラウド利用におけるセキュリティインシデントの対応を2回に分けて説明する。

PAGE TOP