この記事をtweetする このエントリーをはてなブックマークに追加

掲載日 2011/10/06

ザ・キーマンインタビュー ユーザが事業者に要求すべきポイントとは? クラウド「セキュリティガイドライン」の活用法

企業のITにとってクラウドは低コスト化を図るための重要なテーマ。しかしサービスレベルの問題とセキュリティの問題、管理責任の問題など、従来からのオンプレミスな企業システムとは異なる課題をクリアできるかどうかといった点で不安も大きい。中でも最大の導入障壁になりそうなのが情報セキュリティへの懸念だ。だが今年4月、不安解消のための手引きをしてくれるガイドラインが、経産省から公表された。それが「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」だ。合計133項目にわたる情報セキュリティ管理項目をまとめたこのガイドラインは、情報セキュリティ分野で国際規格になることが見込まれている。今回はこのガイドライン作成に携わったキーマンに、概要と活用法をうかがった。

経済産業省 企業サイトへ

佐藤 明男氏


経済産業省 商務情報政策局
情報セキュリティ政策室 課長補佐(企画担当) 佐藤 明男氏

クラウド情報セキュリティガイドラインの目的

Question

今年(2011年)4月に経産省では「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」(以下クラウド情報セキュリティガイドライン)を公表されました。この役割や目的はどのようなものですか?

Answer

経済産業省:佐藤 明男氏

このガイドラインは、情報セキュリティ管理と情報セキュリティ監査の際に活用して、クラウド利用者とクラウド事業者の間の信頼関係を深められるようにすることを目的にしています。
 信頼関係を築くためには、システム環境や責任の所在、事故や事象の判断基準を明確にすることが肝心です。ITシステムの情報セキュリティ管理については、従来からISMS適合性評価制度が利用されています。これは、組織のITシステムが情報セキュリティマネジメントシステムの標準規格であるJIS Q 27001(ISO/IEC 27001)に適合しているかどうかを審査して、適合していれば認証を行う制度です。その実践のための規範として、JIS Q 27002(ISO/IEC 27002)があります。今回公表したクラウド情報セキュリティガイドラインは、JIS Q 27002をベースにして、そこで規定されている管理目的を達成するための手引きを、クラウドサービスの利用者の視点でまとめたものです。
 役割として大事なことは以下の3つです。
 1つはクラウド利用者の情報セキュリティ管理実施の手引きとしてもらうことです。クラウドサービス利用の際に確認しておきたいことがまとまっており、リスクアセスメントにも有効に活用できます。次にクラウド事業者側での実施が望まれる事項を明らかにすることです。クラウド利用者がクラウド事業者に何を求めればよいかが分かります。また、クラウド事業者にとってはクラウド利用者の情報セキュリティ対策のためにどのように協力したらよいか確認できます。更にもう1つ、第三者が情報セキュリティ監査を行う際の監査の手引きにもなります。いずれの役割も、クラウドサービスの利用者と事業者の間のコミュニケーションを深め、信頼関係を築くことにつながります。

Question

ガイドラインが前提としているクラウドサービスの利用形態はどのようなものですか?

Answer

経済産業省:佐藤 明男氏

現在利用しているITシステムを全面的にクラウドサービスに移行した場合を想定しています。実際には既存システムを1度にクラウドサービスに移行することは考えにくいのですが、そのようなケースを想定したほうが管理項目を漏らさずに網羅できると考えたからです。ただしSaaS、PaaS、IaaSというサービスの種類に分けて個別に管理策を作成することはしていません。個別の管理策が作成できないかを検討しましたが、実際のサービスがそれぞれ著しく異なっているため断念しました。しかし、利用者と事業者の関係はサービスの種類が何であれ共通していますから、共通して適用することができるはずです。
 なお、クラウド事業者側ではSaaS、PaaS、IaaSのそれぞれがサプライチェーンを形成していることがあります。つまり、SaaS業者がPaaS業者を利用し、PaaS業者がIaaS業者を利用するというような関係です。SaaSの利用者がSaaS業者との間のコミュニケーションに本ガイドラインを活用するのと同様に、SaaS業者とPaaS業者、PaaS業者とIaaS業者の間などでも活用することができます。また最終的な利用者の側から本ガイドラインの「クラウド事業者の実施が望まれる事項」を事業者側に要請して、各段階の事業者それぞれに実施してもらうこともできるでしょう。


このページの先頭へ

クラウド情報セキュリティガイドラインの内容

Question

実際にどのように実施事項が記述されているのでしょうか?

Answer

ガイドラインは、合計133項目の管理項目が網羅されており、「管理策」「クラウド利用者のための実施の手引き」「クラウド事業者の実施が望まれる事項」などがそれぞれ記述されています。
 例えば「10.5.1 情報のバックアップ」の項目では、次のような形で実施事項が分かるようにしています。

図1 クラウドセキュリティガイドラインが記述する実施事項のイメージ
図1 クラウドセキュリティガイドラインが記述する実施事項のイメージ 資料提供:経済産業省
資料提供:経済産業省

管理項目と実施の手引きは要約して表形式で「付録」として公表してもいますので、ご参照いただくとよいでしょう。
 なお、管理項目が多いのですが、これらのすべてを実施しなければならないというわけではありません。必要に応じて、取捨選択しながら実施していただきたいと思います。


このページの先頭へ

クラウド事業者とのコミュニケーションとは

Question

ガイドラインを活用すればクラウド利用者と事業者との信頼関係ができあがるということですが、具体的にはどのようなことを指しているのでしょうか?

Answer

信頼関係の基本は、適切なコミュニケーションが行えることだと思います。まずは利用者側から事業者側に情報提供を求めれば、ちゃんと適切な答えが返ってくるという状態が大事です。そのためには、利用開始前に事業者側からのコミットメント(言明書)をもらっておく必要があるでしょう。

図2 標準言明書の例
図2 標準言明書の例 資料提供:経済産業省
資料提供:経済産業省

+拡大

例えば、図2のような標準言明書や、個別の管理策について言明する特約言明書をもらっておくのです。事業者は言明書でセキュリティ対策と情報提供体制を約束することになり、その約束を果たすためのセキュリティ対策や体制をとった上で、サービスや情報を提供することになります。場合によっては、言明を保証し、実行を検証する第三者(監査人)が間に立ってもよいでしょう。
 このような言明書があれば、情報セキュリティがどのように確保できるのかについて話がしやすくなり、事業者側の情報セキュリティ対策を組み込んだ自社の管理体制が作れます。また対策の実施状況をモニタリングした結果を事業者に情報提供して情報セキュリティの改善を要請することもできるようになります。
 コミュニケーションによって、両者の情報セキュリティ管理のPDCAサイクルを上手に回していけるようになるはずです。PDCAのPlanの際には、リスクアセスメントとリスクの受容レベルの判断のあと、管理策を選択することになります。この時にガイドラインを活かして下さい。ガイドラインを参考に管理策を決めたら、利用者と事業者の責任を明確にしながら、双方で実施していくことになります(図3)。
 こうした仕組みは利用者側の情報セキュリティガバナンスのためにも重要です。

図3 クラウドサービス利用における情報セキュリティガバナンス及び情報セキュリティマネジメント
図3 クラウドサービス利用における情報セキュリティガバナンス及び情報セキュリティマネジメント 資料提供:経済産業省
資料提供:経済産業省

このページの先頭へ

SaaS、PaaS、IaaSのリスクアセスメントのポイント

Question

 SaaS、PaaS、IaaSという種類別の管理策は作成されていないとのことですが、実際に個別のサービスのリスクアセスメントを行う時には、どのような方法をとればよいでしょうか?

Answer

経済産業省:佐藤 明男氏

本ガイドラインには附属書Bとして「クラウドサービス利用におけるリスクアセスメントの実施例」をつけています。これは、SaaS、PaaS、IaaSのそれぞれについてリスクアセスメントを実際に行ったケースを一例としてまとめたものです。このアセスメントは、SaaS、PaaS、IaaSの種類別に、システム管理及びデータ管理の項目と、利用者及び事業者のマトリクスを作成して実施しました(図4)。
 このマトリクスの中の記号は管理ができることを示しています(管理できない時は空白)。例えばSaaSの場合はインフラまで自社でカバーしている事業者のケースだったのですが、利用者側ではアプリとIDしか管理できず、そのほかの項目では運用状況を把握するためには事業者からの報告を待たなければならないという状況だったことが、マトリクスから分かります。
 このようなマトリクスを利用して、個別のサービスについてリスクアセスメントを実施するとよいでしょう。

図4 クラウドのシステム管理面及びデータ管理面での管理可否の例
図4 クラウドのシステム管理面及びデータ管理面での管理可否の例 資料提供:経済産業省

※SaaS、PaaSの場合はユーザ管理者、IaaSの場合はシステム管理者

資料提供:経済産業省

このページの先頭へ

国際規格化の狙いと今後

Question

国際規格化も視野に入っているとうかがっています。その狙いと今後についてお聞かせ下さい。

Answer

経済産業省:佐藤 明男氏

実際には本ガイドラインの作成作業の当初から、国際規格化が視野に入っていました。クラウドサービスの情報セキュリティ管理に関しては、国際標準として使われている規格がいくつかあります。しかし本ガイドラインは、既に広く使われているISMS認証制度のベースとなっている規格に準拠している点で、世界的に独特のものです。目次構成を標準規格に合わせ、管理目的などはそのまま準用しています。ISMSに準拠した情報セキュリティ管理の国際規格ができあがれば、日本は世界の他の国よりも有利な立場に立つことができるかもしれません。このガイドラインを利用する人は、従来の規格による情報セキュリティ監査との差分だけを監査することができますから、低コストにセキュリティが確保できるメリットもあります。
 また、クラウドサービス事業者の大手はすべて海外企業であるという現状から脱する1つのきっかけとなり得るとも考えています。クラウドサービスの分野において世界で競争力を確保するという大きな目標がある中で、本ガイドラインが国際展開の一助となればと期待しております。
 昨年ベルリンのISO/IEC会合で、本ガイドラインを基本としたプレゼンテーションを行った結果、各国の理解が得られ、既に国際規格化へのステップを踏み始めました。これは情報セキュリティ管理分野において、日本で初めてのプロジェクトになります。規格ができるまでにあと2〜3年はかかりますが、正式規格になる前でも、ISO/TS (Technical Specification)として発行できるかもしれません。


●ありがとうございました。

取材協力

経済産業省 企業サイトへ


このページの先頭へ



◆関連記事を探す

クラウドのセキュリティ/「セキュリティガイドライン」活用法」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「クラウドのセキュリティ」関連情報をランダムに表示しています。

クラウドのセキュリティ」関連の製品

オンプレミスと同じように安定かつ安全に運用できるクラウド導入 【F5ネットワークスジャパン】
統合運用管理
企業のマルチクラウド導入が急速に進んでいる。しかし、その導入では正常に動いていたオンプレミスとどれだけ同じように安定かつ安全に運用できるかが管理者の悩みとなる。

クラウドのセキュリティ」関連の特集


 本稿では、「日本の情報セキュリティ産業の現状と課題」について5回の連載で紹介していく。 第1回目の…



 独立行政法人情報処理推進機構(IPA)では、「クラウドコンピューティングの社会インフラとしての特性…



 前回は、日本の情報セキュリティ産業の規模が約7000億円であること、その流通構造が複雑であり、そし…


「IaaS/PaaS」関連の製品

主要3社のコスパ比較、安価で強力なクラウドサービスはどれか? 【日本オラクル】 先進企業のクラウドサービス活用術、導入効果を高めるポイントは 【日本オラクル】 クラウド基盤サービス NEC Cloud IaaS 【NEC】
IaaS/PaaS IaaS/PaaS IaaS/PaaS
主要3社のコスパ比較、安価で強力なクラウドサービスはどれか? 東京ガスグループ 他、事例紹介:PaaS/IaaSは実際どう使われているのか 高いコストパフォーマンス、高性能・高信頼が特長のIaaS。セルフサービスポータル画面から、ユーザ自身によりプロビジョニングや他社サービスまで含めた運用管理が可能。

「データセンター」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30004346


IT・IT製品TOP > BCP最適化プロジェクト > データセンター > IaaS/PaaS > IaaS/PaaSのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ