法律からインフラまで15分野の留意点—体系立てて把握したいクラウドのセキュリティ

クラウドコンピューティングの標準化団体の1つ、米国のクラウド・セキュリティ・アライアンス（ＣＳＡ）が セキュリティガイダンスを公開した。 企業がクラウドサービスを利用するに当たり、セキュリティ面で留意すべきポイントを、ガバナンスや法律、コンプライアンスなど15分野ごとにまとめている。 セキュリティを確保するうえで、クラウドサービスの契約時や事業者の選定時に欠かせないポイントを ガイダンスからピックアップし、日本語版公開よりひと足先に解説する。

クラウドコンピューティングを利用するに当たり、セキュリティ対策の重要性を指摘する声が次第に大きくなってきた。システムを直接管理できないことによる不安から、ユーザー企業がいくつもの懸念を抱き始めているからだ。

コンプライアンス（法令順守）は、典型的な懸念の1つだ。クラウドコンピューティング環境では、重要なデータやファイルの管理を第三者に任せることになる。果たして、オンプレミスに代表される一般的なコンピューティング環境で実現していたのと同レベルでコンプライアンスを徹底できるのか。

クラウドサービス事業者が倒産した場合はどうだろう。ユーザー企業が託していたデータは、確実に保護・保証されるのか。システム障害時のデータ復元やバックアップ、災害対策は十分にとられているか。そもそもクラウドコンピューティング環境のアプリケーションは安全なのか。考え出すと懸念は尽きない。

これらの懸念を払拭するには、クラウドコンピューティングの関係者やセキュリティ関係者が協力して、それぞれの経験に基づき議論を重ねることが欠かせない。その上で安心してクラウドサービスを利用するためのガイドラインを作成する必要がある。

こうした問題意識から、本記事ではクラウドコンピューティング環境におけるセキュリティ対策について解説する。まずは、欧米でのクラウドコンピューティング関連団体による取り組み状況を俯瞰する。そのうえで、クラウドコンピューティングのセキュリティに焦点を絞って活動を展開する非営利団体「Cloud Security Alliance（CSA）」の活動と、CSAが作成したセキュリティガイダンスについて解説する。そして最後に、日本のクラウドサービス事業者とユーザー企業がCSAのガイダンスをどのように発展させていくべきか、見解を述べる。

セキュリティの確保へ
CSAがガイダンスを作成

米国では、「Open Cloud Consortium（OCC）」や「Cloud Computing Interoperability Forum（CCIF）」など、クラウドコンピューティング関連の標準化団体が多く存在する（図1）。シスコシステムズやヤフーが構成するOCCは、APIやSLA（サービスレベルアグリーメント）の標準化を推進。同じくシスコやサン・マイクロシステムズ、IBMなどによるCCIFは、クラウドサービスの相互運用性の確保に向けた標準化について検討している。

図1　クラウドコンピューティング関連の標準化団体（クリックで画像を拡大）

表1　アメリカの標準化団体一覧（クリックで画像を拡大）

CSAはクラウドコンピューティングのセキュリティに特化した標準化団体である。ユーザー企業が主体になって、クラウドコンピューティングのセキュリティをいかにして保証するかにフォーカスし、ガイダンスを作成・公開している。具体的には、次に示すようなクラウドコンピューティング“特有”の課題について検討してきた。

ホスティングと比較すると、クラウドコンピューティングはデータのセキュリティに関していくつかの問題を抱えている。

(1)ストレージも仮想化されているため、データの実体がどこにあるか分からない。

(2)サービスレベルが平均99.7％と見劣りする。

(3)国境を越えてデータが分散している可能性があるため、外部に持ち出せないデータを預けることができない。

(4)複数の物理的な仮想化データセンターにリソースが分散しており、データを格納しているセンターや負荷状況が不明。

(5)大手のクラウドサービスでは、複数の国にまたがるプラットフォームを構築しており、どこの国のデータセンターに格納されるか予想がつかない。ただし、Amazon.comは格納するデータセンターを指定することが可能（Availa-bility Zone：元々は可用性を確保するため）。

(6)データの法的な扱いは、データセンターの設置場所の国に従うが、その国が動的に代わる可能性がある。

(7)欧州などはプライバシー法が厳しく、各クラウドサービス事業者は欧州市場向けにデータセンターの設置を始めている。

CSAはこういった課題を解決し、クラウドコンピューティング環境におけるセキュリティを保証する最良の方法を普及させることを最大のミッションにしている。

ガバナンスや監査など15分野の留意点を整理

CSAは2009年4月、クラウドコンピューティングの問題点とセキュリティ対策のガイダンスを「Security Gui-dance for Critical Areas of Focus in Cloud Computing」をまとめた。

クラウドコンピューティングのセキュリティというと、共有する基盤上の論理的な境界線をどう保護するか、アプリケーションの設計・開発段階でいかにセキュリティを考慮するかなど、技術的な対策を述べた資料が多い。CSAのガイダンスは、そうした資料とは一線を画している。

CSAのガイダンスはクラウドコンピューティングのセキュリティを15分野（ドメイン）に分類し、それぞれについて留意点を示している。クラウドコンピューティングのフレームワークの説明、統制（ガバナンス）、エンタープライズ・リスク、情報ライフサイクルマネジメント、コンプライアンス、監査、電子情報開示（eDiscovery）、暗号化、アプリケーションセキュリティ、アイデンティティ管理、アクセス管理などが含まれる。

ここでは15ドメインうち、国内のユーザー企業にとって特に興味深いと思われる3つのドメインに関して、概要を紹介する。最初に「ドメイン1：クラウドコンピューティングの構造のフレームワーク」、次に「ドメイン3：法律」、最後が「ドメイン9：データセンターの運用」である。これら以外の12ドメインに関しても、本記事の最後に概要を一覧したので、参考にしていただきたい。

ドメイン1
フレームワークとセキュリティ

クラウドコンピューティングにおけるセキュリティを考えるには、最初にクラウドコンピューティングのアーキテクチャがセキュリティに及ぼす影響を理解する必要がある。アーキテクチャといっても、「アプリケーションと情報資源」を「インフラとメカニズム」から分離するという、よく聞くクラウドコンピューティングの定義レベルでは不十分。事業者がどういった仕組みでサービスを提供しているか、ユーザー企業はどのように使っているかを明確にせず、真のセキュリティ対策を施すことは難しい。

そこで周知の内容も多いが、セキュリティについて考える前提知識として、改めてクラウドコンピューティングの特徴と提供形態、展開・利用形態について簡単に整理しておく。

5つの特徴

• インフラの仮想化
• リソースの民主化
• サービス指向アーキテクチャ（SOA）
• 弾力性/ダイナミズム
• 利用/割当のユーティリティモデル

3つの提供形態

• Software as a Service（SaaS）
• Platform as a Service（PaaS）
• Infrastructure as a Service（IaaS）

このほかにStorage as a ServiceやDatabase as a Serviceがあるが、いずれも上記3つの派生と位置づけられる。

4つの展開・利用形態

• プライベートクラウド
• パブリッククラウド
• マネージドクラウド
• ハイブリッドクラウド

クラウドコンピューティングのセキュリティは、上述した3つの提供形態ごとに整理すると分かりやすい。図2を見てほしい。提供形態の違いによってセキュリティ上考慮すべき技術要素をマッピングした「クラウド参照モデル」である。IaaSとPaaS、SaaSのそれぞれについて、含まれる主要な技術要素の違いを体系化して把握することによって、ユーザー企業が着目すべきセキュリティ対策項目が浮かび上がってくるはずだ。

図2　クラウドコンピューティングの形態の違いにより、セキュリティ上考慮すべき技術要素をマッピングした「クラウド参照モデル」（クリックで画像を拡大）

まずIaaSは、アプリケーションよりもインフラとして高い拡張性を提供するもの。そのためOSやアプリケーションに関するセキュリティ対策は、ユーザー企業が責任を持って手掛けなければならない部分が多くなる。PaaSはアプリケーションをユーザー企業が自ら組み立てるものであるため、ミドルウェア上で動作するアプリケーションのセキュリティ管理はユーザー企業が中心となって担う。最後のSaaSはインフラからアプリケーションまで、原則としてクラウドサービス事業者が責任を持つ。

クラウドコンピューティングの導入時には、こうしたセキュリティ面での違いを考慮してサービス形態を検討する必要がある。

ドメイン3
法律

データにアクセスできなくなる、スパムによってデータが危険にさらされる─。ユーザー企業はこうしたリスクが存在することを理解し、クラウドサービス事業者との間で明確な取り決めを交わす必要がある。そのためのガイドラインを以下に示す。

1. 契約はすべての基準となるものであり、組織独自の要求とクラウドコンピューティングのダイナミックな性質に基づいて交渉できるものでなければならない。
2. 契約交渉において、予期されたまたは予期せぬ契約終了に備えた計画を立て、利用者の資産の回収または安全な廃棄をあらかじめ計画すべきである。
3. クラウドサービス事業者が順守すべき法令と利用者が順守すべき法令の間にギャップがある可能性があることを理解すべきである。そのギャップを明確にするために適正評価が必要である。
4. 法的な情報開示要求へのクラウドサービス事業者の対応に関する明確な期待を獲得する。
5. クラウドサービス事業者によるデータの二次的な使用の可能性を理解し、必要に応じてこれを禁止するための契約の文言を盛り込む。
6. 国境を越えたデータの移動がある可能性を洗い出し、必要に応じて契約の文言にそれを禁止する条項を盛り込む。
7. 契約にはSLA（サービスレベルアグリーメント）を盛り込む。

ドメイン9
データセンターの運用

クラウドコンピューティングのインフラであるデータセンターは、最大限にリソースを共有し、営業利益率を高めるよう考えられている。処理負荷のピークに合わせて設計しなければならない社内データセンターと違ってリソースを有効活用しやすい反面、セキュリティを保証するためのリソースの区画化やセグメント化の可否について懸念が生じる。その懸念を払しょくするために、ユーザー企業は多くの時間を費やすことになったとしても、クラウドサービス事業者がどのようにデータセンターを管理しているか理解したいところだ。その際の着眼点を以下に示す。

1. クラウドサービス事業者が、ドメイン1で示した仮想化やSOAをどのようにインプリメントし、それがサービスレベルの維持にどう生かされるかを理解する。
2. クラウドサービス事業者のシステムやネットワークなどのインフラ、マネジメントやプロビジョニングについて明らかにする。
3. 実行可能なら、クラウドサービス事業者がもたらす価値を評価するため、他のユーザーを見つける。
4. システムリソースの民主化によって、システムの可用性やパフォーマンスにどの程度の効果が得られるかを理解する。
5. IaaS、PaaSについては、クラウドサービス事業者のパッチ管理ポリシーおよび実行手順、アプリケーションへの影響を明確に理解する。その内容は契約書に明記すべき。
6. クラウドサービス事業者は技術的なアーキテクチャとして新規で実績が証明されていない手法を使うことがある。そのため事業継続計画とディザスタリカバリの仕組みをあらかじめ検証し、必要に応じて対策を練る必要がある。
7. クラウドサービス事業者の顧客サービス機能を定期的にテストし、サポートレベルを判断する。

CSAの日本語版ガイダンス
ASPICが一般公開へ

日本国内では、特定非営利活動法人ASP・SaaSインダストリ・コンソーシアム（ASPIC）がCSAのパートナーになっている。ASPICはASP・SaaS事業者の観点から、クラウドコンピューティングを企業が安全に活用できるようにすべく、セキュリティの確保に向けた活動を展開している。近々、ASPIC会員に対し、CSAセキュリティガイダンス日本語版「クラウドコンピューティングのためのセキュリティガイダンス」を公開する予定である。

CSAセキュリティガイダンス日本語版とは別に、ASPICは2009年前半、「データセンター促進協議会」を立ち上げた。ASP・SaaS事業者だけでなく、データセンター事業者も会員に勧誘し、2009年度にクラウド時代のデータセンター利用ガイド（仮称）、2010年度にはクラウドコンピューティング利用・構築ガイドをリリースする予定にしている。その過程でCSAと活発に意見交換しながら日米の認識を互いに共有し、クラウドコンピューティングのセキュリティを高めていく。

なお、CSAセキュリティガイダンス日本語版は、インプレスR&Dが近く、オンライン販売する予定である。クラウドサービスを利用中、あるいは利用を検討しているユーザー企業だけでなく、クラウドサービス事業者も期待していただきたい。

表2　15ドメイン（分野）の概要（クリックで画像を拡大）