月別アーカイブ: 2016年2月

欧州の社会課題解決型イノベーションと個人データ保護 ~第19回CSA勉強会

日本クラウドセキュリティアライアンス
諸角 昌宏

1月25日に行われた第19回CSA勉強会では、「欧州の社会課題解決型イノベーションと個人データ保護」ということで、笹原英司氏に講演していただいた。今回は、勉強会としては初めて「特定非営利活動法人横浜コミュニティデザイン・ラボ」との共同開催ということで、いつもとは違った交流を行うことができた。

ここでは、勉強会で解説された内容をいくつかトピック的に記述する。なお、内容について笹原氏にレビューしていただいた。

  1. EUにおけるeHealthの考え方
    EUにおいては、イノベーションのベネフィットと個人データ保護のリスクのバランスを図ることが政策目標となっている。EUでは、国境を超えたヘルスケアが日常的なため、複数の国で利用されることを前提としつつ、eHealthによるイノベーションの成果を社会課題解決のためのソリューションとしてパッケージ化して海外に輸出することによって、雇用創出や経済発展につなげようとする考え方が一般的だ。このようなEUの発想は、日本にとって参考になる点が多い。
  2. EUにおける個人データ保護
    EUの方が米国等に比べて、個人データの対象範囲が広く、かつ、厳しくなっている。ただし、あくまでもイノベーションと消費者保護のバランスを取りながら、時代の経済政策と共に変化している。 昨年(2015年)、新たに「EU保護規則」が合意された。従来の「指令」が「規則」に代わったことにより、すべてのEU加盟国に一律適用されるものとなった。ちなみに、「指令」の場合は、EUが定めた共通ルールに基づいて各国が具体的な対応策を決めることになる。これらの動きと同時並行で、IoTやBigDataのセキュリティ/プライバシー保護に関するルール作りも進んでいる。
  3. デンマークの医療
    デンマークは、電子政府/オープンデータ基盤を非常にうまく利用している。高い普及率の電子カルテシステムをベースに、ナショナルデータベースを構築・運用しており、これに基づいた分析データが様々に利用されている。これは、国民共通番号制に基づくデータの収集および利活用を、中央政府と地方政府、市民、企業が協働することで実現しており、その背景には、子どもの時からの教育重視の姿勢がある。デンマークの教育では、社会参加意識を非常に重視しており、市民参加を誘発するように教えられている。たとえば、デンマークで電子投票を行うと90%以上が投票するということである。また、ノーマライゼーションの原則があり、障害者と健常者が区別されることなく社会生活を共にするという意識が徹底されている。このような文化が根付いているデンマークでは、個人データの収集と利活用が全国民参加の上で実現できている。
  4. 日本におけるデジタルヘルスラボ・プロジェクト
    演者が関わっている活動の1つとして、デジタルヘルスラボ・プロジェクトがある。これは、デジタルハリウッド大学大学院と横浜市が協業して行っているもので、「デジタル」+「医療・健康」の分野で起業またはサービス開発を支援し、その「実装」を本気で追究している。通常、ビジネスモデルの検討で行き詰るのは、お金の問題等で実装ができないということが多い。このプロジェクトでは、実装を追求することで企業およびサービス開発を支援していくということである。医療系のサービス開発に際しては、個人情報保護やセキュリティ対策が常につきまとうので、早期から取組を始める必要がある。
  5. CSAは何をやっているか?
    EUとCSAの協業活動として、以下の2つを進めている。

    1. Cloud Security Alliance Privacy Level Agreement WG
      EUのレベルでの個人情報保護のチェックリストを作成し、米国のクラウドベンダーがEUでビジネスを行うためにどうすれば良いかを記述したドキュメントを公開している。これには、従来のセーフハーバー対策も含まれており、今後は「プライバシーシールド」への対応がテーマとなる。
    2. SLA-Ready
      EUの活動の一環として、中小企業向けの振興策としてのクラウド利用に対して、どのようなSLAであればセキュリティが担保できるかの検討を行っています。SLA-Readyについては、以下のCSAジャパンブログで触れているので、こちらを参照していただきたい。 http://cloudsecurityalliance.jp/newblog/2015/02/13/sla-ready%e3%81%8c%e3%83%a8%e3%83%bc%e3%83%ad%e3%83%83%e3%83%91%e3%81%a7%e7%99%ba%e8%b6%b3/

さて、上記のようなEUにおける個人情報の扱いを踏まえて、日本が今後どうなっていくのか。グローバルの視点に立って、我々も考えていく必要がある。また、「Privacy Level Agreement WG」や「SLA-Ready」の内容については、日本にも適用できる部分も大きいので、いろいろと検討を進めていきたい。

以上

CSAジャパン会員交流会 兼 2016年新年会

日本クラウドセキュリティアライアンス
諸角昌宏

1月21日に、約半年ぶりの会員交流会を開催しました。12月3日が法人設立記念日(ちなみに支部開設記念日は6月7日)なので、12月に忘年会を兼ねて、との企画もあったのですが、年末はお互いバタバタするので、少し落ち着ける新年会にしました。運営委員からの今年の決意表明とかもあって、「年忘れ」よりは前向きなコンテンツでできたのではないかと思います。 参加者は約30名、会場は日本ビジネスシステムズ株式会社様にご提供いただきました。新入会員の方や、普段なかなかご参加いただけない方も多く来て頂いて、盛り上がりました。今年も皆さんに盛りたてていただいて、さらなる発展・飛躍を目指したいと思います。

 会員交流会兼新年会で、みなさまからいただいたご挨拶を以下に記載します(敬称略)。参加者の一部になりますが、今年の決意表明が感じられる内容となっています。ぜひご一読ください。

今年も、どうぞよろしくお願いいたします。 

みなさまからのご挨拶

吉田眞 CSAジャパン会長

今年も元日が来たと思ったら早21日になり、去年の正月に聞いた川柳「元日や、すぐに来るぞ大晦日」を痛感しました。ともあれ、無事にCSA-JC新年会で皆様とお会いできたことを大変喜ばしく思います。

・CSA-JCも2013年12月発足から早2年2か月を経過し、皆様と事務局のご努力のおかげで会員数も少しずつですが増えてきました。この2年間に、景気が今一つということでビジネス側の煽りもあって、以下のような最近の特徴的な現象が見られます。

- クラウドの多様化(distributed cloudなど)と2サイクル目への突入、

-“兎に角なんでもIoT”, 作るときも、動くときも、使うときも、気を引くときにも、

- セキュリティ脅威の蔓延。

・セキュリティについては、日経BPの記事(注1)によれば「国・自治体・独立行政法人等のサイバーセキュリティ分野への政府予算が急進」し、2015年度当初の326億円から補正で520億円へ増額、さらに2016年度も当初予算は概算300億円とのことです。マイナンバー制度の運用不安対策が大きな要因となっているようですが、今後もセキュリティ対策(費用)の拡大はあっても縮小は無いでしょう。(注2)

一方で、ユーザ側からは「勧められるままに対策を何重にもやりすぎ」で「本当に有効なのか、もうやっていられない」という声も聞きます。不満・反省から新しい動きも起きるのではないでしょうか。システム・運用の対策への費用も必要ですが、現在最も重要なのは、これらを動かすセキュリティ人材の育成であって、是非これに予算を注いで欲しいところです。

・その中でCSA-JCは、ベンダ、プロバイダからユーザまでのエコシステムのオーケストレーションが重要な役割を担っています(これについてはCongress 2015の冒頭挨拶でお話ししました。(注3))今年はさらに、皆が集まる大きなテントを膨らませ広げていくだけでなく、これを支える柱や軸もしっかり見えるようにしていく必要があると考えます。風船のように膨らむだけで中は空っぽではと思われる恐れがありますから。

この柱や軸を強化する活動の例として、以下を挙げたいと思います。

- 日本としての「技術・アーキテクチャ」を見せる。(例えば、会員とCSA-JCが協力してホワイトペーパを作成・公開する等。) さらに、

- ユーザをさらに巻き込み一緒に活動して、ユーザに頼られる団体となる。(これは、現在事務局を中心に進められているところです。)

これらの“見える化活動”の中で、さらに情報と価値を発信・拡散し認知度を上げて、CSA-JCの趣旨に賛同してくれる仲間・サポータが増えること、そして、組織だけでなく参加する個々人が磨かれて人材育成もなされていくことを期待して、年頭のご挨拶とします。

注1: 「政府予算はサイバーセキュリティ分野が急伸」、日経BPガバメントテクノロジー、2016/01/18、http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/011400462/

注2: サイバーセキュリティ戦略本部:我が国のサイバーセキュリティ推進体制の更なる機能強化に関する方針、http://www.nisc.go.jp/active/kihon/pdf/cs_kyoka_hoshin.pdf

注3: CSA Japan Congress 2015 講演資料 開会挨拶

http://cloudsecurityalliance.jp/congress2015/kaikai_yoshida_20151118.pdf

勝見勉 CSAジャパン業務執行理事

昨年事務局長を諸角さんに譲ったので、今年は正直なところ、少し楽をしようと思っています。「フェードアウト」が中期戦略です。とは言え皆さんのお顔を拝見すると、ほとんど私がお誘いしてご入会いただいた方々なので、お役に立たなくては、と思ってしまいます。ただ、CSAは皆さんに使って頂いてナンボ、の存在です。こちらですべての期待値に予めおぜん立てをすることは、残念ながらとても手が回りません。そこで、必要な時に必要な形で使って頂きたいと思います。何でもリクエストを上げてください。できるだけ対応させていただきます。そして、CSAのバリューを上げる第一の道は、規模の拡大、知名度の向上です。これも皆さんのお力で、一緒に実現していきたいと思いますので、今年もぜひ、お力添えをよろしくお願いいたします。

羽田野尚登 株式会社日本環境認証機構 

現在、CCM-WG及びガイダンスWGで活動しています。WG活動の成果をCSA-Japanとして、積極的に発信・公開していきたいと考えています。また、CSAのWGは、新しい技術を修得できる良い機会ですので会員の特権として、ぜひ自ら参加して活用して下さい。

塚田栄作 あずさ監査法人 

財務諸表の監査のコンテンツにおいても情報セキュリティへの要求が高まっています。既に海外(特にUKやEU諸国)では経営者のセキュリティに対する取組む姿勢も評価すべき項目となっています。また、同時にコンプライアンスや不正への取組も然りです。日本でもMETIから”サイバーセキュリティ経営ガイドライン”も策定されました。今後は有価証券報告書等の中でも、会社によっては取組を開示すべき項目になっていくと思われます。CSAやWGからの情報を得るだけでなく、市場からの要望や監査の視点を鑑みながら、CSAジャパンに貢献したいと思います。

有本真由 小川綜合法律事務所

運営委員を務めております弁護士の有本真由と申します。CSAジャパンも今年3年目ということで、新たな発展の礎を築いていくことになろうかと思いますが、微力ながら私もそれに力を添えていくことができたらと考えております。引き続きどうぞ宜しくお願いいたします。

二木真明 アルテア・セキュリティ・コンサルティング 

昨年は、個人的に多忙だったこともあり、あまり積極的な活動ができませんでした。今年も引き続き、時間的に厳しい状況が続きそうですが、一方で、IoT関連でのグローバル側の動きを見るにつけ、CSAがIoT分野のセキュリティ検討のハブとなりつつあり、ジャパンとしてのキャッチアップ、リードできる分野の創出などの必要性を痛感している次第です。引き続き、IoTWGなどの場を通じて、グルーバル動向のキャッチアップや、日本としてのアウトプットとグローバルへのインプット、また国内外の関係団体との連携などを模索していきたいと思っておりますので、ご協力よろしくお願いします。

増田博史 日本ヒューレット・パッカード株式会社 

日本ヒューレット・パッカードでも、年末年始に、また新たにCCSK資格取得者が出ました!今後もますますクラウドセキュリティの促進に邁進してまいりますので、よろしくお願いいたします。

佐藤浩昭 日本サイトラインシステムズ株式会社 

日本サイトラインシステムズは、セキュリティ・コンプライアンス・モニタリング、及びキャパシティマネジメントやパフォーマンスモニタリングのソリューションを提供しております。クラウド、オンプレミス、双方のハイブリッドな環境もモニタリングします。ITシステム、製造プロセス、ビジネスデータなど、皆様のビジネスを支えるインフラやシステムのパフォーマンスを最適な状態に維持する事が可能となります。皆様のビジネスのお役に立てれば幸いです。

吉田豊満 日本ヒューレット・パッカード株式会社 

Cloud Securityの知識を広げる活動を通じてCCSKの資格取得者を増やしていきたいということと、会員増の支援をしていきたい。

谷本重和 日本ビジネスシステムズ株式会社

国内外の企業・組織においては、よりクラウド対するサイバーセキュリティへの関心が高まるかと考えております。そうしたビジネス側からの関心や要請に対して、クラウドセキュリティアライアンス(CSAジャパン)が、「勉強会」や「ワーキンググループ」活動を通じ、よりさらに、日本におけるクラウドセキュリティの推進役を担うことを願ってやみません。

上村竜也 CSAジャパン理事・運営委員

一般社団法人日本クラウドセキュリティアライアンスもセキュリティクラウドアライアンス・ジャパンチャプターの発足から数えてはや5年半経ちました。この間にクラウドを利用したサービスが続々と出てきています。最近ではAmazonのCloudDriveなど、容量無制限サービスなども出てきております。今やサービスの中でどこまでがローカルで動いており、どこからがクラウド上で動いているか、意識もしない状況となっています。またそれを後押しするかのように、ネットワークサービスも3Gや有線LANからLTE、4G、Wi-Fiへと利用が移行しつつあります。それによりコンピューティングの能力とそれに対するニーズは、この5年間に爆発的に増大しました。

こうして利便性が上がる中、昔からある詐欺や横領などはもとより、個人のアカウントを大々的に盗み取る偽サイトや、サービスそのものへの攻撃によるライフラインの操作、サイト書き換えやサービスの実行自体が出来なくなることは、メディアで絶えることなく報じられております。現状ですら安全とは言い切れない中、更に利用者からのニーズは増大し続けています。メリットは確かに増加しますが、一方で現状維持ではデメリットも同じように増加します。その意味合いからもクラウドセキュリティに対する意識の啓蒙と高度化は不可欠です。

これらの現状を前にして、私も理事として今年は大きく前進したいと考えております。特にバリューアップのためのマーケティング活動に力を活かしていきたい所存です。具体的には、

1)ワーキンググループの積極的参画とその結果の公開

2)クラウドセキュリティアライアンスならではのサイバー犯罪、サイバー攻撃の定点観測と統計情報の結果報告

3)CSSKやSTAR認証の一般化

に尽力したい次第です。

末筆ながら、皆様の継続的な参画、また新たなメンバーの積極的な参画がしやすい土俵作りに尽力していきたいと思います。

谷本茂明 千葉工業大学社会システム科学部プロジェクトマネジメント学科 

千葉工業大学の谷本です。CSAには、千葉工業大学社会システム科学部として、連携会員の資格で参加させていただいております。どうぞよろしくお願い致します。私自身は、情報セキュリティマネジメントの研究を進めており、CSAの活動としては、いつも勉強会に参加させていただいています。クラウドセキュリティに関わる最先端の話題に接することができ、とても感謝しています。今年もどうぞよろしくお願い致します。

 

最後に事務局として今年の抱負を述べさせていただきます。今年は、「コラボレーション」をテーマに活動していきたいと思います。会員企業・個人会員とのコラボレーション、関連団体とのコラボレーション、CSA本部とのコラボレーションを通して、日本・海外ともに突っ込んでいきたいと思います。皆様のご支援をよろしくお願いします。

以上