タグ別アーカイブ: クラウドセキュリティ

CASBWGリレーコラム(第6回)「IT規制改革を支えるCASB」

IT規制改革を支えるCASB

2018-05-08
CASBワーキンググループ
渡辺 慎太郎(個人会員)

「シャドーIT」という言葉を見かけることがあります。IT部門が知らぬ間に導入されるITシステムを指すようです。そして、シャドーITを発見するための道具としてCASBが紹介されることもあります。

ただ、個人的にはこの単語には違和感を覚えます。デジタルトランスフォーメーション(DX)が喧伝され、RPAなど企業活動におけるIT依存が高まる中、すべてのITシステムをIT部門が開発・調達することは現実的ではないでしょう。シャドーというと良からぬ響きを与えますが、事業部門や機能部門の自律的なIT利活用は、むしろ推奨されても不思議ではありません。

政府のサイバーセキュリティ戦略本部は「サイバーセキュリティ人材育成プログラム」(2017年4月18日)の中で、「新しいITの利活用における体制例」を掲げました(p.8)。そこでは、事業部門がIT部門を介さず、直接ベンダー企業やクラウド事業者と契約してITを利活用する姿が描かれています。

出典 サイバーセキュリティ戦略本部「サイバーセキュリティ人材育成プログラム」(2017)

上の文書を読んだとき、20年以上前に橋本内閣の下で「金融ビッグバン」として実行された金融規制改革を私は想起しました。過度な行政指導による護送船団方式が生み出す非効率な状況から脱却すべく、自由・公正・国際化を旗印にして改革を推進した当時の課題意識が、現在の企業においてIT利活用を推進する際の課題意識と重なって見えたのです。デジタルトランスフォーメーションの実現には、IT規制改革が不可欠だと思わされました。

規制改革の基本は、事前規制から事後チェックへとコントロールの力点を移すことです。そのためには、(裁量ではなく)明快なルールと適切な証跡とを必要とします。各部門の自律的なIT利活用が進めば、企業が利用するクラウドサービスの数は自然と増大するでしょう。

CASBを追加的なセキュリティ対策とみなすよりも、事前規制を緩和してIT利活用を促進するために必要な措置だと考えるほうが適切かもしれません。次回は、事前規制の緩和にCASBを利用する方法を検討します。

 

〈お断り〉
本稿の内容は著者の個人的見解であり、所属企業・団体及びその業務と関係するものではありません。

 

 

 

CASBWGリレーコラム(第5回)「原則と現状のはざま」をCASBで対策できないか」

「原則と現状のはざま」をCASBで対策できないか

CASBワーキンググループ・リーダー
上田光一

 

 

今回は趣向を変えて、CASB WG外の識者の意見を参考に筆を進めたい。

取り上げるのは、CSAジャパンの連携会員であるJNSAが発行するメルマガにて寄稿された「原則と現状のはざまで」と題するコラムである。
著者は株式会社Preferred Networks CISO, セキュリティアーキテクトを務めておられる高橋氏である。

ここで高橋氏は、IT・セキュリティに関わる原則(ポリシーやガイドライン等)の現状との乖離を指摘している。

一般的なセキュリティアーキテクチャ、セキュリティポリシーは、そもそも10~20年前に確立した原則に基づくことが多い。ところが今やクラウドサービスに代表される最新テクノロジーについて、これを採用しない(あるいは大幅遅延)ことは、逆に事業運営の観点で経営リスクともなる。
ITシステムがクラウド化することで、ベンダー、代理店やSIer、ユーザー(企業)の責任分界点が変化し、特にユーザーに求められるスキルが変わっている。
こういった変化を見落としてしまうことにより、セキュリティの原則と現状に乖離が発生しているのではないかというご指摘である。

3つのクラウドアーキテクチャ(IaaS、PaaS、SaaS)のそれぞれの責任境界については、CSA発行のガイダンスはじめ、クラウド利用の原則として良く取り上げられるところであるが、高橋氏はユーザー企業の立場によるリスク負担について言及しておられる。

さてこの状況にCASBが何か貢献できないか、いくつかケースを想定してみた。

・あるクラウドサービスが、信頼に足るかどうかを判定
(自組織の要求事項を満たすかどうかの判断)
・特定のクラウドサービス利用状況についての詳細モニタリング
・その中でも不適切と思われる操作を強制的に停止・中断

こういったケースではクラウドサービスの採用においてCASBが一定のリスクヘッジを実現し、クラウド活用を促進することができるように思われる。
以下に全文を引用するのでぜひご一読頂き、各組織においてどうなのか一度ご検討、ご判断を頂ければ幸いである。

なお、本稿の引用を快諾頂いた高橋氏、JNSA事務局にはこの場を借りて御礼申し上げます。

【引用元】
JNSAメールマガジン「連載リレーコラム」バックナンバー
www.jnsa.org/aboutus/ml-backnum.html

【連載リレーコラム No.132】

原則と現状のはざまで

株式会社Preferred Networks CISO, セキュリティアーキテクト
高橋 正和

私が強く印象に残っている発言に、「IT・セキュリティ部門は提案を止めるだけ
なので、提案の際には、IT部門やセキュリティ部門ではなく、事業部門に提案を
すべき」というものがある。衝撃的な話ではあるが、企業等の組織において、
IT部門やセキュリティ部門が邪魔になっている。本稿では、この要因と考える、
IT・セキュリティに関わる原則(ポリシーやガイドライン等)の現状との乖離
について取り上げたい。

これまで、20年近くベンダー側の立場でセキュリティに関わってきたが、昨年
10月からユーザー企業のセキュリティ担当として働き始めている。働き始めて
みると、大小のセキュリティ課題が常に存在し、セキュリティ担当は、会計担
当、法務等と同様に必要不可欠な専門職であると強く感じている。
日々、多様な判断が求められるが、十分な知見が得られないまま判断せざる得
ない場合も少なくない。適切にセキュリティ業務を行うための原則の重要性を
認識する一方で、原則と現状の乖離が深刻な阻害要因になることも実感してい
る。

原則と現状の乖離の要因として、PDCAが「Plan通りにDoが行われていることを
Checkし、必要なActを行う」として運用され、Planのチェックを行わない状況
がある。このため、優れた新たな施策があっても、これまでの原則に従い採用を
見送ることで、原則と現状の乖離が生じていく。原則の劣化を防ぐためには、
CIA(Confidentiality, Integrity, Availability)に基づいたリスク分析では
不十分で、事業リスクに基づいた「新たな施策を採用しない(事業)リスク」
についても分析する必要がある。

新たな施策の代表的な例としてクラウドサービスがある。ベンダー側の立場で
クラウドファーストという言葉を使ってきたが、市場は明らかにクラウド
ファーストになっており、新たなクラウドサービス利用の相談を頻繁に受けて
いる。その際に、セキュリティ対策状況分析を代理店に頼りたくなるが、日本
に代理店が無い場合や代理店経由では適切な回答が得られない事があり、何よ
りも、代理店に頼っていては、すぐに使い始めたいという社内の要求に応える
ことができない。結局のところ、自分でWebや試用版を使って確認し判断する
ことが求められる。ITシステムがクラウド化したことで、ベンダー、代理店や
SIer、ユーザー(企業)の責任分界点が変化し、特にユーザーに求められるス
キルが変わっている。この変化を見落とすことが原則と現状の乖離の要因と
なっている。

原則と現状の乖離の問題については、ふたつの取り組みを行っている。ひとつ
は、JNSA CISO支援ワーキンググループの活動である。活動をはじめて既に2年
が経過してしまったが、本年度中(2018年3月)のドキュメント公開を目指し
て作業を進めている。
合わせてJSSM(日本セキュリティマネジメント学会)の、学術講演会や公開討
論会でこのテーマを取り上げ、有識者の意見を伺い議論を進めており、3月17日
に開催する公開討論会でも、このテーマを取り上げていく。

第12回 JSSMセキュリティ公開討論会のお知らせ
http://www.jssm.net/wp/?page_id=2880

近年求められる情報セキュリティは、ITや経営と密接な関係にあり、その背景
には、IT環境の大きな変革がある。しかし、セキュリティ対策は10~20年前の
IT環境が前提であることも少なくない。
現在の経営やITに沿ったセキュリティ対策を提案し実践していくことが必要だ
と感じている。

連載リレーコラム、ここまで。

<お断り>
本稿の内容は著者の個人的見解であり、所属企業・団体及びその業務と関係
するものではありません。

 

CASBWGリレーコラム(第4回)「アンケート調査で明らかになった、日本のシャドーIT意識の実態」

アンケート調査で明らかになった、日本のシャドーIT意識の実態

NTTテクノクロス株式会社
井上 淳

 今回は、先日NTTテクノクロスが実施した、企業におけるクラウドセキュリティに関するアンケートの結果を紹介していく。

■調査の背景

2020年までに、大企業の60%がCASBを使用※1」「クラウドセキュリティ市場は2021年に208億円に※2」など、クラウドセキュリティ分野では、これまで数多くのポジティブな市場予測が発表されてきた。また、実際にグローバル企業などのクラウドセキュリティについての意識が高いアーリーアダプターを中心に、日本でもCASB市場が大きく成長してきている。

しかし、マジョリティに当たる一般的な日本の企業におけるクラウドサービス利用の実態についての統計的な情報としては、総務省が毎年発表している情報通信白書以外にほとんど存在しないという状況であった。

日本の企業が実際にどのようなクラウドサービスを使っているのか、マルチクラウド利用は進んでいるのか、クラウドセキュリティに対する意識はどうなっているか、大企業と中小企業ではどのような違いが生じているのか。そういった生の情報が不足していたことから、今回、NTTテクノクロスではクラウドサービス利用状況の実態を調査するに至った。

1Gartner,Inc. Magic Quadrant for Cloud Access Security Brokers (2017)
2IDC Japan株式会社 国内クラウドセキュリティ市場予測、2017年~2021(2017) 

■調査結果について

回答者の属性や調査結果について、詳細についてはZDNet Japanで公開されているホワイトペーパー(URLhttps://japan.zdnet.com/paper/30001048/30002673/)を参考にされたい。本コラムでは、特徴的なポイントのみ紹介する。

■大企業と中小企業で異なる、利用しているサービスの傾向

設問2『選択肢の中にご利用中のクラウドサービス名(SaaS)があれば、教えてください』に対する回答は、1000名以上の企業と1000名未満の企業で回答の傾向に大きな差が生じた。

例えば、1,000 名未満では「GmailG Suite)」を挙げた回答者が最多であったのに対し、1,000 名以上では「Exchange OnlineOffice 365)」首位を逆転するといった具合だ。同様に、「OneDrive」「Dropbox」「Google Drive」は1,000名以下の企業での利用が多く、1,000 名以上では「Box」の回答割合が多くなるなど、類似サービスの中でも企業規模による利用傾向の違いが見える結果となった。

コスト面やセキュリティ面など、クラウドサービスの評価基準が企業規模によって異なるであろうことは予想できたものの、これほど如実に数字として表れたことは非常に興味深い結果となった。

 

 ■リスクは認識されつつも「自己責任」派が多数

設問6は、「利用が認められていない」クラウドサービスを、実際に社員が利用している、いわゆる「シャドーIT」が自社で発生しているという状況を認識している回答者に対して、『どうお考えですか』と質問した結果だが、「セキュリティのリスクがある」という認識を持つ回答が8割程度ではあったものの、そのうちの半分強にあたる42%の回答が「セキュリティリスクはあるが、自己責任の範囲で注意して利用すれば問題ないと考えている」と考える自己責任派であった。

CASBによるシャドーIT対策の必要性について重要なポイントの一つとして、「会社のルールでクラウドサービスの利用を禁止すると、従業員は代替のサービスや手段を探して利用する可能性があるため、さらにセキュリティリスクが増す(そのため、禁止するのではなく可視化して統制すべきである)」という考え方があるが、まさにそのような人間心理を裏付けるような結果となり、CASBが実現する「シャドーITは、可視化して統制すべきである」といった対策が有効であることが伺える結果となった。

■『CASB』の認知度はまだまだ

設問12では、直球で『クラウドセキュリティ対策の考え方の1 つである「CASB」をご存知ですか?』という質問を投げ掛けたが、63%が「知らない」という回答であり、認知している回答者は37%という結果であった。

セキュリティ分野における専門用語の一般的な認知度としてはまずまずである、と評価する見方もあるが、職種として「情報システム関連職」が5割を超えているという回答者の属性を踏まえると、CASBというクラウドセキュリティ対策はもっと認知されるべき存在である。今後も、WGの活動等を通じてCASBを啓蒙していくことの必要性を感じる結果となった。

■終わりに

セキュリティ分野のもう一つのトピックとして、NTTテクノクロスでは、昨年に引き続き「サイバーセキュリティトレンド2018」(URLhttps://www.ntt-tx.co.jp/products/cs-trend/)を公開した。

変化し続けるサイバーセキュリティの「今」を知ることができる資料となっている。こちらも無料でダウンロード可能となっているので、是非ご一読願いたい。

 

 

CASB-WG リレーコラム始めます!

CASBワーキンググループ・リーダー
上田光一

 

今、本稿に目を通して頂いている読者の皆様は、CASBもしくはクラウドセキュリティ全般にご興味のある方と思います
CSAジャパンのCASB-WGは発足からちょうど2年、CSAグローバルに上位活動を持たないCSAジャパンとしての独自活動を展開して参りました。ちょうど1年程前には、日本国内でのCASB理解に一石を投じるべく、独自に執筆したホワイトペーパーをリリースしました。(こちらからダウンロードできます)。
それから1年、市場でもCASBに関する話題には事欠きませんでした。ホワイトペーパーのリリース前後には、CASBベンダのNetskopeが日本上陸、11月にはGartner社がCASBのMagic Quadrantの初版をリリースしました。それとほぼ同時期に、大手セキュリティベンダのMcAfeeがCASBベンダの老舗Skyhigh Networksを買収する、といったニュースが飛び込んできました。今やCASBというキーワードは一般化し、ますますホットなものになってきたと言えるでしょう
ただ悩ましいのはベンダやプレイヤーも増加する中で、当初Gartner社が提唱してきたコンセプトとは少しずつ違った切り口での情報も目に付くようになってきたことですこういった変化自体はGartner社自身が認めていることでもあり、新技術の定着過程において起こりがちなことでもありますこれは良い意味では、Gartner社のコンセプトありきという段階から、より実地に即したものに進化してきたと見ることができるでしょう。ただホワイトペーパーのような一元的情報編纂の取り組みについてはその完成時には環境変化により、あるいは物足りないものとなってしまう懸念があることも事実で
そこでCASB-WGとしては、タイムリー、コンパクトかつ多様性のある情報発信を意図し、これから数回に分けて本ブログにてリレーコラムとして記事をアップしていくことと致しました。複数のCASBベンダー、再販パートナー、利用者組織等々、様々な観点で執筆していく予定となっております。ぜひ楽しみにして頂ければと思います
なお本ページは、リレーコラムのインデックスとなるよう以下にリンクを追加していきます。

 

  1. 第1回:「日本企業がCASBに求めるものとは?- CASBがバズワードで終わらない理由- 」 株式会社シマンテック 髙岡隆佳 (2018年2月27日公開)
  2. 第2回:「CASB v.s. SWG – クラウドセキュリティ?それともウェブセキュリティ? –」 株式会社シマンテック 髙岡隆佳 (2018年3月16日公開)
  3. 第3回:「GDPRとCASB」CASBワーキンググループ 橋本知典 (2018年3月24日公開)
  4. 第4回:「アンケート調査で明らかになった、日本のシャドーIT意識の実態」 NTTテクノクロス株式会社 井上淳 (2018年4月10日公開)
  5. 第5回:「「原則と現状のはざま」をCASBで対策できないか」 CASBワーキンググループ・リーダー 上田光一 (2018年5月7日公開)
  6. 第6回「IT規制改革を支えるCASB」 CASBワーキンググループ 渡辺 慎太郎(個人会員)(2018年5月8日公開
  7. 第7回「インテリジェンスとしてのCASB」 CASBワーキンググループ 渡辺 慎太郎(個人会員)(2018年6月18日公開)
  8. 第8回「クラウドサービス利用のモニタリングとラベリング」 CASBワーキンググループ 渡辺 慎太郎(個人会員)(2018年9月8日公開)
  9. 第9回「クラウド利用者とクラウドプロバイダ:双方の言い分」 CASBワーキンググループ 渡辺 慎太郎(個人会員)(2018年9月8日公開)

第9回 クラウド利用者会議レポート

第9回クラウド利用者会議 レポート

2018年2月16日
CSAジャパン 諸角昌宏

第9回クラウド利用者会議では、IoTのセキュリティに関わる課題というテーマで笠松氏にご説明いただいた。会議は、2月5日(月)に開催し、クラウド利用者を中心として9名(内1名はオンラインでの参加)に参加いただいた。

まず、IoTのセキュリティに絡む課題として、12月の勉強会の時に参加者およびベンダーとディスカッションした内容に基づいて、以下の5点を上げた:

  • 経営陣の理解が乏しい懸念がある
  • 経営陣を説き伏せる対応が多岐にわたるため、それらへの対策を議論するが場ない
  • IoTのセキュリティについての活動を行っている他のNPO法人との協調
  • IoTの「プラットフォーム」としてのセキュリティの必要性
  • 開発・運用環境を含めて、エッジ及びクラウドのセキュリティの必要性

また、IoTのセキュリティに対する国内の政策としてIoT推進コンソーシアムがあり、官民が連携して様々な活動を行っている。IoT推進コンソーシアムは、海外との連携も進めている。しかしながら、IoT推進コンソーシアムは開発ガイドラインの策定が主な目標であり、上記の課題にある開発・運用環境、プラットフォームとしてのセキュリティには踏み込めていないという印象がある。
IoTに関する国際標準は、ISO/IEC15408として進められている。この標準は、セキュリティ製品(ハード/ソフトウェア)およびシステムの開発や製造、運用などに関する国際標準であり、情報セキュリティ評価基準(ITSEC, Common Critria等)の考え方で進められている。

このような状況を受けて、笠松氏からIoTに絡む5つの課題が説明され、今後検討しなければいけない点として上げられた。これについては、以下の笠松氏のスライドを参照していただきたい。

さて、以上の説明に基づいて、スピーカーから提示された上記の課題に対して参加者からの質問および議論が行われた。

  1.  IoTに関するIPAの取り組みについて議論となった。
    IPAでは、セキュリティとセイフティーの融合の観点から、実証検証、ケーススタディー等を通してリスクアセスメントに取り組んでいる。いわゆるSecurity-by-Designに基づくSTAMPモデルにより、システムの安全性に関するモデル化および分析方法を進めている。基本的には、開発者および利用者向けの取り組みになる。したがって、IoTの運用に関するセキュリティの課題は残ったままである。特に、IoT環境においてエッジコンピューティングとしてスマートフォンが使われるケースが増えてきている。この課題は、誰でも容易に使える反面、多くのIoTがパスワードも含めデフォルト設定のまま出荷されている点、データオーナの許可なく通信傍受が容易である点などが問題となっている。また、2016年米国FBIが個人宅で殺人事件があった際、スマートスピーカを押収した事例は、音声のオーナは誰か、スマートスピーカのオーナは誰か、スマートススピーカ(仮に音声型IoTとする)の音声データに証拠能力があるのか、など運用時のルールが不明のまま市場から受け入れられていく社会的環境が容認される点、などが重大な課題ではないか。
  2. 国境を越えるデータ流通について
    eSIM(電子的に書き換え可能なSIM)がIoT基板PCBに半田付けされている製品が出回りだしている点は、パーマネントローミング規制をEUで制定すみだが、日本国内の運用・使用ルールは見当たらない。顔認証が実用段階となった現在、このようなIoT機器のデータ流通を運用する議論の場が、CSAにあっても良いのでは。
  3. RPAの導入がセキュリティに与える影響について議論となった。
    RPAが行ったことで問題が発生した場合どうなるのかということである。RPAの利用にあたっては、監査ログが必須なるが、そもそも捜査の範囲を明確にしないと監査自体が検証可能にならないという問題になる。そうすると、RPAになんでもかんでもやらせるということでは無く、行う操作自体を明確にして、後で検証できることが重要になる。できるだけ業務を絞り込んで、監査しやすくするということが重要になるということである。という議論をしていくうちに、そもそもRPAはIoTなのかという話しになり、様々なモノをIoTでひとくくりに見ていくこと自体が無理ではないかという話しになった。モノの種類、特性ごとに個別に考えていく必要があり、RPAはRPAとして考えていかなければならないということになった。
  4. ビルや橋に埋められた100年IoT
    この部分については時間の関係で、パワポ記載内容を読み上げるに留まった。
  5. サーバレス
    この部分については時間の関係で、パワポ記載内容を読み上げるに留まった。

以上のような議論のもと、今後CSAとしてどのように取り組んでいくかという話しになった。IoTの運用面のセキュリティの課題をどうするかということは、結局どのようにガバナンスを利かすかという問題になるということになった。RPA等、新しい技術に対してどのようにガバナンスを利かすか、GRCをどのようにしていくかについて、テーマを決めながら議論していくことが大切であり、CSAとしてワークショップを開きながら議論していくことが必要ということになった。

 

以上

 

第8回 クラウド利用者会議 レポート

8回クラウド利用者会議 レポート

20178月30
CSAジャパン 諸角昌宏

 8回クラウド利用者会議では、CSAジャパンのCASBワーキンググループ(CASB WG)から、上田氏、露木氏、高岡氏にご講演いただいた。会議は、823()に開催し、クラウド利用者を中心として8名に参加いただいた。
今回は、「CASBはクラウドセキュリティを救えるか」というテーマで、CASBの事例を中心に講演していただくとともに議論を行った。

 まず、マクニカネットワークスの上田氏からCASBのおさらいということで、概要の説明を行っていただいた。

最初に、CASBの基本である4つの柱(可視性、コンプライアンス、データ保護、脅威からの防御)について説明していただいた。また、ガートナーが、CASBがクラウド環境におけるセキュリティ・ソリューションを補完していく可能性があるということで、SWG, SIEM, 暗号化, IDaaS, DLP, EMM, WAM, NGFWなどが挙げられていた。しかしながら、ガートナーも認めているように、実際にはこれらの融合はあまり進んでおらず、CASBは独立した製品として維持されているようである。なお、ガートナーは、2018年までに60%の企業がCASBを導入すると言っており、これは変わっていないようである。
CASBの日本国内での認知度も確実に上がっているということで、実際の導入が進んでいるということが説明された。CASBの導入に当たっては、Top Downのアプローチが多いとのことである。

 次に、SkyHigh Networksの露木氏より、主な導入事例の説明が行われた。SkyHighでは、現在、日本において23社の顧客、世界的には650社で導入されているということで、CASBが確実に導入が進んでいるということを裏付けるデータとなっている。

最初の事例として、55,000人の製造業における「大規模シャドーIT対策」が紹介された。この会社では、クラウドアクセスポリシーを作成する(既存のものはあったが、可視化が欠如していた)ために、より実用にあった形にすることが求められていた。ポリシーの作成にコンサルティングファームを利用すると、非常に高価になる。また、シャドーITをいきなり止めることは、企業においては大問題になる可能性がある。いわゆる、止めてしまう危険というものも考慮して行う必要があった。CASBを使うことで、この要件を満たしたクラウドセキュリティポリシーの作成および実際の運用が可能になったとのことでした。

その他の例として、BOXの管理、特に監査目的として導入したケース(ある部門がBOXを使用していたため、会社として全体的な監査のために導入)、Office365をすべてクラウド化した場合に、CASBで監視を行うことで、全世界のOffice365を見ることができるようになったケース、SalesForceに保存されたデータをCASBで暗号化するケースなどの紹介が行われた。

 最後に、シマンテックの高岡氏より、CASBの潜在するターゲットとして、以下の4点が挙げられた。ちなみに、シマンテックでは、米国におけるCASBのビジネスとして、昨年度900%の成長があったということで、非常に大きなポテンシャルのあるマーケットとみているとのことであった。

  • 2つ以上のクラウドサービスを正式に採用している企業。これは、CASBで一意のセキュリティレイヤーを作ることができるというメリットがある
  • クラウドアプリの正式な利活用を検討している企業
  • オフィス外でのクラウド活用(在宅、モバイル)
  • GDPR。データの棚卸と継続的なクラウド活用。特に、シャドーITによるGDPR違反を防いでいく。

また、CASBをニーズの観点から見ていくと以下の3点が考えられるとのことであった。

  • 業務アプリのセキュリティ管理としてのシャドーITの可視化。
  • インライン型に対して、業務用SaaSに対する対策としてAPI型の利用。
  • SOCとの協調等の包括的な管理として、自社運用ではなくMSSP的な利用。

最後に、CASBへの期待値として、以下の5点を挙げている。

  • 機密情報の自動認識
  • データ共有先の記録
  • シャドーなユーザ、怪しいアカウントの調査
  • クラウドアプリの利用状況の監査
  • 個人アカウントやBYOD端末に対する制御

 さて、以上の説明に基づいて、参加者からの質問および議論が行われた。

まず、CASBが行うクラウドのリスク評価について、どのように判断すべきかということが議論になった。CASB製品では、クラウドサービスに対するリスク評価を行い、安全なサービスなのか、あるいはそうでもないサービスなのかについて、利用者が判断できるようになっている。ただし、リスクをどう判断してクラウドサービスを使っていくかは、利用者の判断となる。リスクの各項目に基づいて判断するのか、あるいは、総合点で判断するかは、あくまで利用者次第ということになる。これは、第1回クラウド利用者会議で議論された内容と重なるが、CASBによるリスクの透明性に対して、利用者がどのように判断するかという、利用者のリテラシが求められるところである。CASBのリスク評価は、非常に頻繁に更新されており、通常は毎日行われる。事業者からの回答が必要なものでも、最低でも3か月に1回は更新されているとのことである。日本のサービスについても、以前はなかなか回答が得られなかったが、最近はほとんど回答が返ってくる状況となっており、リスク評価については十分信頼できるものと考えられる。

次に、GDPRCASBについての質問が出た。GDPRで我々が非常に影響を受ける域外移転に関しては、CASBで管理できるわけではないが、域外移転データの管理に関して、CASBを監査に利用できるということである。

それから、上記で紹介された事例等を見ていくと、CASBの導入は大企業に限られているのではないかということで、CASBを中小企業が積極的に利用できるようにするにはどうしたらよいかという議論になった。CASBというと、どうしてもコストの問題があり、中小企業が導入するのは厳しいということである。これについては、CASBとしての展開というよりは、中小企業向け支援サービスという展開が始まりつつあるということであった。キャリア系が進め始めている CASB as a Service により、中小企業でもCASBが利用できる道が開かれていく可能性があるということであった。

 以上のような会議となったが、CASBがクラウドセキュリティを守っていくソリューションとして、これから大きく伸びていくというのは間違いないようで、特に、クラウドアクセスポリシーの作成の観点からは、CASBが非常に強力なツールとなっていくようである。クラウドの利用については、もはや「セキュリティが不安なので導入には慎重」という時代ではなく、「クラウドを利用することを前提にセキュリティ対策を考える」という時代になっている。その中で、セキュリティを統一的に管理できる、まさにブローカーとしてのCASBは、重要な役割を担っていくということを強く感じた。今回、日本のCASBを代表する方々のお話が聞け、また、直接議論することができたことは非常に有意義であった。また、これからのCASB WGのアウトプットにも期待していきたい。

 

以上

 

 

第7回クラウド利用者会議 レポート

第7回クラウド利用者会議 レポート

2017年7月12日
CSAジャパン 諸角昌宏

第7回クラウド利用者会議では、BSIジャパン株式会社の中村良和氏に講演していただいた。会議は、6月27日(火)に開催し、クラウド利用者を中心として14名に参加いただいた。
今回は、「クラウドセキュリティに対する日本の認証規格」について講演していただくとともに議論を行った。

中村氏から、まず、日本の認証規格の状況について説明していただいた。

クラウドセキュリティに関する認証規格は、日本では以下の2つが展開されている。

  • ISO/IEC 27018
    27018は、パブリッククラウドにおけるプライバシのガイドラインを提供している。本規格の認証については認定機関が認証機関を認定するスキームは無く、認証機関が独自に認証サービスを提供する形しかない。認証スキームとしては、規格の適用範囲にもあるようにあくまでパブリッククラウドが対象であり、プライベートクラウドは対象とならない。また、PIIのProcessor(基本的にはプロバイダ)が対象であり、Controllerは対象にならないという規格の適用範囲となる。
  • ISO/IEC 27017
    27017は、以下の2つ構成を提供している:

    • 27002の実践規範に対する追加/拡張の管理策 27002の実践規範ではクラウド固有の要素が不足しているため、クラウド固有の要素を追加したものになっている。この際には27002も考慮した考えが必要となる。
    • クラウド独自の追加管理策(附属書A)
      27002の実践規範の項目では不足している、クラウド独自の管理策についてCLDと言う形でさらに追加の実践規範を設定している。ただし27017の本文の位置づけと同様である。

また、認証制度として以下の2つの注意点がある。

  • 認証制度
    他のクラウドを利用し、自社のクラウドサービスを提供しているクラウドサービスプロバイダーは、CSC(カスタマ)とCSP(プロバイダ)の両方の立場で見る必要がある(サプライチェーンを構成している可能性)。認証範囲はISO27001の認証している範囲内である必要があるため、クラウドサービスの提供が範囲外の場合はISO27001の適用範囲を拡大しなければならない。またISO27017の追加の管理策は原則除外ができない。
    注意点: SIerの存在で、SIer的に動いている(カスタマのクラウド環境を構築している)が、クラウドサービス自体を提供していない場合には、CSPとして認証を取ることはできない。
  • 審査員の力量
    ISMS審査員がクラウドセキュリティの審査員になるためには、追加でクラウド基盤・要素技術などの力量が必要になる。

さて、中村氏の説明の後、いつものように参加者によるディスカッションが行われた。

まず、カスタマが要求したことに対して、プロバイダは情報を提供するのか、という点が議論になった。情報の提供を契約にしておくことが望ましいが、プロバイダが個別に契約することを行わないケースもある。しかしながら、現状では、ほとんどのプロバイダが情報を提供している。たとえば、AWSでは、セキュリティ管理策について詳細に書かれた「ホワイトペーパーのどこどこの記述を見てください」というレベルの回答は必ず返ってくるようである。また、少なくとも27017に基づくクラウドセキュリティ認証を取っているプロバイダであれば、情報を提供しなければならないことになる(開示レベルは組織によって違うと想定される)。したがって、カスタマ側のリスク管理上必要となる情報はプロバイダから何らかの形で提供されると思ってよさそうである。もちろん、27017で言っているように、プロバイダが情報を出さない、あるいは、プロバイダの管理策が不十分である場合には、カスタマが追加の管理策を行わなければならないという大原則があることは理解した上で進める必要がある。

次に、27017では、対象となるのがパブリッククラウドなのかプライベートクラウドなのかが明記されていない点に議論が移った。プライベートクラウドの場合には、27017の管理策の大部分が不要になるのではないかということである。たとえば、オンプレのプライベートクラウドを考えた場合、論理境界に絡むセキュリティ対策は基本的に要らなくなるのではないかという点である。ISMS自体は、もともとオンプレを前提としているという意見もあった。そのため、クラウドに移行した場合、ユーザがコントロールできる範囲がどこまでか、また、それを超えた場合の管理をどうするかを定めたのが27017であると考えるとしっくりくる。したがって、パブリッククラウド/プライベートクラウドの利用における現実に即した管理ということをベースに考える必要がある。

また、27017の使い勝手はどうなのかということも議論された。ISMS上は、リスク管理に基づいて作成した管理策に対して、27017(27002を含む)の管理策と照らし合わせた時にギャップが存在しないかどうかを確認するというのが手順になる。しかしながら、逆に、27017をベースにして管理策を作成し、後は気になるところだけ検討していくという方が合理的ではないかという意見が出た。これについては、そもそもの認証に対する考え方の問題であり、認証を受けるという観点からするとそうなるかもしれないが、リスク管理の観点からは、まず管理策を策定するというのが必要になるということになった。27017自体は良いフレームワークとして使うことが望ましいということである。

それから、クラウド環境でのデータ削除に関する議論も行われた。プロバイダは、データにアクセスできないようにすることで削除したと判断する(判断するしかない)が、これで本当に安全な削除と言えるのかどうかという点である。そもそもオンプレでの仮想化環境ではデータが安全に削除されたかどうかを気にすることは無いのに、クラウドではなぜリスクになるのかという意見が出た。カスタマは、プロバイダのデータ削除が不十分であれば、独自に削除方法を検討するというのが基本スタンスであり、これに基づいてプロバイダを評価するのが必要という議論の結論となった。

最後に、プロバイダの管理策を実証するにはどうすればよいのかという議論になった。プロバイダを直接監査することは難しいため、プロバイダが提供する情報をもとに判断することになるが、そもそもプロバイダが提供する情報として何が必要なのだろうかというである。監査に基づく証明書では不十分であり、なんらかの報告書(アセスメントレポート)が必要になるということになった。AWSでは、SOCのレポートも開示されており、これが報告書として使えるのではないかということになった。

以上のように、クラウドセキュリティ認証というものに対して、様々な観点から議論を進めることができた。また、文章では表せない(筆者の能力は別として)ところでの議論も活発に行われたため、非常に中身の濃い会議となった。

以上

 

AWSのセキュリティ強化機能およびJAWSのセキュリティ部会の活動 ~ 第6回クラウド利用者会議

第6回クラウド利用者会議 レポート

2017年4月27日
CSAジャパン 諸角昌宏

第6回クラウド利用者会議では、トレンドマイクロ株式会社の南原正樹氏に講演していただいた。会議は、4月17日(月)に開催し、クラウド利用者を中心として15名に参加いただいた。

今回は、AWSのセキュリティ強化機能およびJAWSのセキュリティ部会の活動について講演していただくとともに議論を行った。

南原氏から、まず、AWSのセキュリティ強化機能について説明していただいた。AWSでは、セキュリティを以下の3つの範囲に分類している。

  • AWSが責任を持つ範囲
    AWSでは、物理、論理(ハイパバイザ、ゲストOS)、また、ネットワーク(DDoS,中間者攻撃、なりすまし、盗聴、ポートスキャン等に対応)に対するセキュリティを提供している。また、法律や規則への対応、ログ管理なども提供している。
  • AWS以外のサービスを利用する範囲
    これは、IR, Forensics,セキュリティ診断、AV, IPS/IDS, WAFなどで、他社が提供している製品やソリューションを使用するケースである。
  • AWS機能を使用してユーザがセキュリティを保つ範囲
    これは、AWSが提供しているアクセス管理、暗号化WAF, DDoS対応などである。また、AWSの各セキュリティのサービスにはAPIも提供され、そのAPIを通じたセキュリティ対策を行えるようになっている。

AWSでは、ユーザからのフィードバックおよび要求に基づいて、セキュリティ機能を提供することを進めている。以前のクラウド利用者会議でも触れられていた「セキュリティをソフトウエアで解決する」ということに着実に向かっているようである。
また、AWSの提供するセキュリティ機能は、機能は提供しているが設定等は独自に行うことが必要なようである。たとえば、WAFを提供しているが、ルールの作成&カスタマイズを行わないと、そのまま使いづらい側面がある。

次に、南原氏よりJAWSユーザグループの説明が行われた。JAWSユーザグループは、基本的にコミュニティ活動であり、どのようにしてファンを増やしていくかということに貢献していくとのことである。その中で、Security-JAWSでは、講師を招いての勉強会を基本的に4半期に1回開催するようにしており、今までに4回開催している。また、過去の取り組みの中では、海外のAWSの講師をお招きして、Encryptionの話をしていただいた。 「みんなで勉強していこう」という考えの下に、AWSのサービスを深堀できるように、集まって情報交換を行っている。

さて、南原氏の説明の後、いつものように参加者によるディスカッションが行われた。

まず、AWSにおける法規制の扱いについて議論が行われた。ちょうど、4月7日に「AWSのリセラーとの契約において、準拠法を日本法、管轄裁判所を東京地方裁判所への変更を可能とした」というニュースもあり、この考え方について参加者より説明が行われた。これは、AWSは、準拠法として米国の管轄裁判所でおこなっていたが、今後は契約法に基づき管轄裁判所は所定の場所(日本でも可能)でできることになるとのことである。ただし、契約法であるため、誰がAWSにアカウントを持っているか(リセラー、カスタマ)によるようである。SIerがアカウントを持つ場合には、管轄裁判所を変更可能である。
議論の中で、そもそも何を争うのかというのが話題となった。AWSでは、停止時間に対するペナルティー等、SLAで細かく定められているため、ビジネス要件を争う余地はなさそうである。論点はかなり絞られてくると思われる。したがって、日本のリセラーにとっては、今回の準拠法は、あくまで保険みたいなものであろうということになった。

次に、Security-JAWSに議論が移った。上記で触れたように、コミュニティ的な活動を通してAWSのサービスを深堀していくことが行われている。AWSの機能・利用方法等を幅広く情報交換することでファンを増やしていくという、非常に有意義な活動となっている。 議論の中で、AWSのCompliance Quick Startの話になり、ポリシー、監査などがこのサービスを使用して簡単にできたり、ポリシーのテンプレート化のサービスなど、クラウド上でのコンプライアンス対応には非常に有意義であることが紹介された。

最後に、AWS、特にセキュリティ対応について、SIerが必須かどうかということが議論となった。AWSのセキュリティサービスは、Security-by-Designについてはよくできているが、WAFの件で触れたように、カスタマが独自に行うには難しい面があるようである。サードパーティーとの連携によるサービス提供ということが、今後も必要になってくるということであった。

以上

 

今後のクラウドの動向 ~ 第5回クラウド利用者会議

5回クラウド利用者会議 レポート

2017222
CSAジャパン 諸角昌宏

 5回クラウド利用者会議では、株式会社BCN週刊BCN編集長の畔上文昭氏に講演していただいた。会議は、210()に開催し、クラウド利用者を中心として10名に参加いただいた。ここでは、会議の概要について記述する。
今回は、今までのクラウド利用者会議とはちょっと趣を変え、今後のクラウドの動向に対して、どのように取り組んでいくのかという点を中心に議論を行った。 

まず、畔上氏から、IoTとクラウドの親和性の高さについて説明された。IoTと言えばクラウドということで、以下の5つの理由からIoTではクラウドが必要になっているとのことである:

  • データ量が読めない
  • 拡張性を確保したい
  • 素早く展開したい(特に、グローバルに)
  • チャレンジ領域のインフラとして有効
  • ダメなら撤退が容易

また、IoTとクラウドにより、地方の活性化が図れるとのことである。地方には工場が多く、IoT -> クラウド -> ビッグデータという流れで、地方において有効活用されていくとのことである。

さて、2017年のクラウドマーケットの動向(特にIaaS/PaaS)であるが、まず海外ベンダーの動向というか方向性について以下のようにまとめている。

  • AWS: エンタープライズのクラウド化に関する議論はもはや終了。多くの基幹システムがAWS上で稼働している(SAP HANAのように)状況で、「エンタプライズごとクラウド」という流れを作っている。
  • Azure: デジタルトランスフォーメーションがクラウドの存在を高めるという観点から、企業のデジタル化を推進している。IoTAIで存在感を示している。
  • IBM: コグニティブとクラウドの会社というイメージを作っている。Watsonを始めとする付加価値が大きな競争力となっている。「クラウドネイティブ」でない一般企業の需要に応えるようにしている。
  • Google: ビッグデータ解析、マシンラーニングで差別化を図っている。
  • Oracle: オンプレでのSI技術をそのまま生かせるクラウドということで、価格勝負に向かっている。しかしながら、Oracle自身の中でのクラウド率が低く(グローバルで10%)、なかなか難しい状況となっている。

以上のような状況であるが、AWSAzure2強の状況は崩せないだろうというのが一般的な見方となっている。 

次にAIとクラウドについてであるが、今後AIerというAIをビジネス化するSIerが生まれ、ITのゴールがAIという時代になる。その時、クラウドがAIエンジンを提供する時代になる。また、IoTとクラウドのAI活用が進み、「エンタープライズAIoT」というのが実現される時代になるようである。そのような状況で、AIとクラウドについて考えると、SaaSが面白いということになる。SaaSベンダーは、すでに(これからも)大量のデータを持っており、これをAIに活用することでSaaS自体を便利にしていくことができる。SalesforceEinsteinは、SalesForce自体を使いやすくすることに貢献している。したがって、パッケージベンダーは、SaaSに行かないと乗り遅れることが予測される。

また、RPARobotic Process Automation)のお話があった。いわゆるAIが「人間の代わりになるロボット」を求めているのに対して、RPAは「人の代わりに働くロボット」を作っていくものである。既存のシステムには手を加えずに、操作する人間をロボット化していく。既存のシステムを使うことで、AI化する必要がないし、操作する人間をロボット化することで、いわゆる「自動運転」というものはいらなくなる。人の代わりにロボットが動くことで、人的なエラーがなくなるとともに、圧倒的な速さで処理を行うことができるようになる。 

最後にまとめとして、以下の5点を挙げた。

  • IaaS/PaaSは、各社の戦略が明確化されてきた
  • クラウド2強時代が続く
  • AIoTが実用段階に入ってきた
  • AIoTとのコラボが注目されるRPA
  • 人ロ知能(2つ目の文字は、「くち」ではなく「カタカナのロ」)が来るかも。

クラウドは、単なる基盤の置き換えではなく、新しいITの領域へのデジタルトランスフォーメーションを導くものであるということを、改めて強調された。

さて、畔上氏の講演に続いて会議での議論となった点について以下に記述する。 

まず、クラウド2強時代やIaaS/PaaS各社の戦略の明確化を受けて、国産クラウドが今後どうなっていくのかという点について議論が行われた。結論としては、国産クラウドが、IaaS/PaaS市場で勝負するというのは考えられないということであった。その状況で、国産クラウドがどのようにビジネスを組み立てていくかというと、それはSaaS市場ということになる。国産クラウドとしては、①自社でクラウドインフラも持ちその上にサービスを展開していくか、②AWS/Azure等のクラウドインフラを使ってその上にサービスを提供するか、というどちらかでSaaSビジネスを拡大していく方向に向かっていく。

また、クラウド2強のように欧米のクラウドに依存してしまうことに対するリスクの議論も行われた。ビジネスリスクはある程度やむを得ないとしても、カントリーリスクをどうするのかが問題となる。たとえば、米国の法律に縛られてくる可能性や安全保障上のリスクをどうするかなど、日本として考えていかなければいけない課題が多いということになった。国策を取る必要があるかどうかも含めて、考えなければいけない内容となった。

カントリーリスクという点で、IPAが始めた産業サイバーリスクセンターの議論になった。ここでは、サイバー攻撃を防ぐ人材育成のための新組織を立ち上げ、そのアドバイザーに米国家安全保障局(NSA)のアレキサンダー元局長を迎えた。セキュリティ技術者の養成として、非常に注目される活動である。人材育成と合わせて、武器となるべく国産クラウドや国産セキュリティベンダー等の整備をどうするかも合わせて進めていく必要があるということである。

以上

 

セールスフォース、SaaS/PaaSセキュリティ ~ 第4回クラウド利用者会議 

4回クラウド利用者会議 レポート

201612月25
CSAジャパン 諸角昌宏

4回クラウド利用者会議は、セールスフォースから高橋悟史氏、成田泰彦氏に講演していただいた。会議は、1215()に開催し、クラウド利用者を中心として10名に参加いただいた。ここでは、会議の概要について記述する。

セールスフォースからは、SaaSIaaSの違いを中心に説明していただいた。まず、最も重要視しているのがTRUSTということで、実績として今まで一度も情報漏えいやハッカーの侵入を許していないということが挙げられた。信頼というのをどのように見せるかは非常に難しい問題であるが、実績もさることながらセールスフォースのセキュリティに対する取り組みをみると明白であるということができる。また、この大企業レベルで信頼されるシステムをそのまま一般にも提供できているということで、すべての利用者に同じレベルの信頼を与えることができるというクラウドの優位性を示している。このセキュリティを支えているのが、セキュリティ対策に対する技術面への投資だけでなく、人間系への投資、つまりセキュリティの専門家への投資を積極的に進めているということである。これは、単純に専門家の数を増やすということではない。セキュリティの専門家として本当に必要となるスキル、また、開発者に対するセキュリティのトレーニング等をきちんと実施している。

さて、IaaSとの違いという点からセールスフォースを見てみる。

まず、1個のデータベースにすべての顧客データを保存している、いわゆるマルチテナントDBという形を取っている。これを個別のデータベースと比較すると、まず重要なのが、個別DBの場合には管理者が多数必要になるという点である。セキュリティの対応を一人の人間が多く持つようになるとそれだけリスクが増大するし、管理者による違反の可能性も高まってくる。マルチテナントDBでは、物理境界ではなく論理境界をどのように守るかという点が問題となるが、技術的な対策と合わせて人的な対策としての職務の分離(データの操作者とDB管理者の分離など)をおこない、論理境界を技術的/人的の両面からサポートしているということである。なお、これらのセキュリティ対策はアプリケーションサーバ側で対応しており、ユーザのIDとオブジェクトのIDがアプリケーションでしか分からないしくみを取っている。これにより、管理者に対してデータを隠ぺいすることが可能になっている。アプリケーションサーバ側で様々な対応を行うということは、データベースに対するベンダーロックインを回避するという点からも重要であり、ビッグデータ等で使われている様々なデータベースへの対応という観点からも重要になってくる。

次にソフトウエアの観点から見ると、単一ソフトウエア、単一バージョンの本番システムを実現している。常に最新の1つのバージョンのみを提供することで、信頼性および高いセキュリティを提供している。また、システムの状況をホームページですべて公開している。これにより、透明性および稼働性を実現している。監査に関しては、年2回の第三者監査を、立ち入り監査を含めて実施している。また、脆弱性診断を年4回実施しており、かつ、都度、診断に使う業者を変更して行っている。これらの観点から、ソフトウエア/サービスおよびシステムの信頼を提供している。

さて、このようなセールスフォースの信頼に対する取り組みを受けて、利用者とのディスカッションについて以下に述べる。

まず、セールスフォースが信頼性の高いシステムであること、また、高いセキュリティを保っていることは明らかであるが、そのような状況において「利用者側のリスク」というものが何になるかということである。これについては、クライアントのセキュリティはセールスフォースでは対応できないので、利用者側できちんと管理する必要があるということになる。特に、クライアントの乗っ取りについては十分な対策を取る必要がある。

次に、AWSとの連携の話についてのディスカッションになった。セールスフォースは、もともとインフラを自前で提供している。自前で提供することで、サプライチェーンに頼らず独自にセキュリティを維持できるという強みを持っていた。その状況でAWSと連携するようにした理由は、あくまでデータセンターとしてのスピードとコストのためであるとのことであった。特に、IoT、ビッグデータ、AIのように大容量のデータを扱うものについては、AWSのスケーラビリティが必要になってくる。また、セールスフォースが提供する新しいサービスが、もともとAWSで作られているような場合には、そのまま提供するとのことである。そうすると、AWSを使った場合のセキュリティ対策をどうするかということになる。一般的に、IaaSのセキュリティ対策は利用者側の作りこみが求められる。例えば、すでにAWS上でサービスを提供しているファイルフォースでは、暗号化等を含めて独自に実装しているということである。セールスフォースでも、現段階ではAWSのセキュリティサービス機能は使用せずに独自に作りこんでいるということである。今後、どのような形でAWSのセキュリティサービスが利用されていくのかは興味深い点である。

最後に、マイナンバーに対するセールスフォースの対応についてディスカッションとなった。マイナンバーについては、セールスフォースとしては法律の要件を満たすことはできないということを明確にしている。パートナー(PaaS上にアプリを構築している)と利用者の間の契約として、マイナンバーへの対応をどうするかを考えなければならない。クラウドプロバイダとしては対応しきれない日本国内の問題ということになる。これは、前回のクラウド利用者会議で問題となった、EUの個人データをクラウド内で自由に移動できる(セールスフォース、AWSAzureが可能)にもかかわらず、日本国内で保存や検索を行うことができないという点があったように、グローバルに展開しているクラウドに対する日本の問題として見ていく必要がある。

セキュリティに関しては最先端を行くセールスフォースということで、非常に明快な説明をいただき、また、分かりやすいディスカッションを行うことができた。非常に高いセキュリティレベルを維持しながら、セキュリティに関わる人間の数はそれほど多くない(具体的な数字は出ていない)ということで、セキュリティ面でのクラウドの優位性というのを改めて感じることができた。

以上