[イベントレポート]

米クラウドセキュリティアライアンスの設立者が来日―クラウドのセキュリティ実態と、標準化を語る

2009年12月14日(月)諸角 昌宏

ASP・SaaS 促進協議会(ASPIC)は12月8日、特別ミーティングを開催した。ここではその目玉の一つである米クラウドセキュリティアライアンス(CSA)のJim Reavis氏の講演をレポートする。タイトルは、「Securing the Present and Future of Cloud Computing(クラウドコンピューティングのセキュリティを高める)」。内容は(1)「クラウドコンピューティングの概要とCSAの取り組み、(2)2009年4月にリリースした「CSAガイダンスの概要」だった。以下、それぞれの内容について述べていく。(なお、Jim Reavis氏については本文末の注1参照)。

クラウドコンピューティングとCSAの取り組み

 クラウドコンピューティングは、大きな変革ととらえるべきである。インターネットが接続性に対する革新であったことに対して、クラウドコンピューティングはIT資産の所有から利用へという変革をもたらしている。そのような中で、クラウドコンピューティングの定義もまたさまざまにあり、混乱させている面もある。 CSAでは、クラウドコンピューティングをレイヤーモデルで表現し、それをクラウド参照モデルとして定義している。これはSaaS、 PaaS、 IaaSという3つの大きな展開形態をS-P-Iモデル(SaaS、 PaaS、 IaaSの頭文字を取った名前)として、それぞれIaaSを基盤、PaaSをIaaS上のミドルウエア、SaaSをPaaS上の完成したアプリケーションという形で表現したものだ。このS-P-Iモデルとセキュリティの関係を示したものが下図である。IaaSでは、セキュリティを利用者が自ら作りこむ必要があるが、SaaSではRFPとしてセキュリティの要件定義を行い、事業者に対して求めていく。

図 S-P-Iモデルとセキュリティの関係
図 S-P-Iモデルとセキュリティの関係

 CSAでは、2009年4月にリリースした最初のガイダンスを始めとして、クラウドセキュリティとして考えなければならない問題点の明確化と、それに対するガイダンスを提供するということを進めている。さらに、さまざまな団体(ENISA、 ISACA、 OWASPなど)と協業し、標準化への取り組みも行っている。現在の活動としては、さまざまなグループが産業界、政府などとの協業を進めるとともに、ガイダンスをグローバルに広める活動を行っている。また12月15日にはガイダンスのVersion 2.0をリリース予定である。

CSAガイダンスでは15領域のセキュリティを記述

 CSAガイダンスのVersion1.0では、15のドメインに渡ってさまざまな角度からクラウドセキュリティについて記述している。このドメインは大きく2つの観点から分けられており、1つはガバナンス、もう1つは技術的な運用の観点である。ここでは、次の3点を強調しておきたい。

 第1は、クラウドコンピューティングにおける法律上の問題、特に資産の扱いである。クラウド事業者によるサービスが終了した場合、どのように資産を回収するかということを確保しておくことが重要である。またクラウド環境では、データの2次利用が行われる可能性があるが、この場合においても、2次利用の範囲等を明確にする必要がある。つまり、いかにしてクラウド利用者の資産を保護するかが重要である。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
関連記事

トピックス

[Sponsored]

米クラウドセキュリティアライアンスの設立者が来日―クラウドのセキュリティ実態と、標準化を語るASP・SaaS 促進協議会(ASPIC)は12月8日、特別ミーティングを開催した。ここではその目玉の一つである米クラウドセキュリティアライアンス(CSA)のJim Reavis氏の講演をレポートする。タイトルは、「Securing the Present and Future of Cloud Computing(クラウドコンピューティングのセキュリティを高める)」。内容は(1)「クラウドコンピューティングの概要とCSAの取り組み、(2)2009年4月にリリースした「CSAガイダンスの概要」だった。以下、それぞれの内容について述べていく。(なお、Jim Reavis氏については本文末の注1参照)。

PAGE TOP