CSAガイダンスのVer3ではSecurity as a Serviceを追加予定
※本記事は、2011年7月26日に取材したものです。
話し手:Jim Reavis氏 Cloud Security Alliance Exective Director
今回のフィールドレポートは、Cloud Security Alliance(CSA)のExecutive DirectorであるJim Reavis氏へのインタビューをお届けしたい。Reavis氏は、CSAの創設メンバーのひとりである。氏の来日に合わせて、直近のCSAの活動や、最新のクラウドセキュリティ動向などについて話を聞くことができた。
―CSAの活動は3年目に入りました。2011年のCSAの状況や活動について教えていただけますか。
Reavis氏:2月にRSA Conference 2011とともに開催したCloud Security Alliance Summitにおいて、ホワイトハウスのCIOが「Federal Cloud Strategy」というビジョンをアナウンスしました。このビジョンの作成、発表においてCSAが貢献できたことは、われわれの活動の中で、大きなマイルストーンのひとつといえる出来事です。
4月には、サイバーセキュリティの標準に関するガイドライン(ISO/IEC 27032)に関して、ISOとCSAの協力体制について発表しています。これも大きな発表です。ITUとも同様な連携を行っており、ITUの通信技術の標準化に、クラウドセキュリティのベストプラクティスを提供するなどの活動を続けています。
CSAが主体となる活動では、「Security Guidance for Critical Areas of Focus in Cloud Computing」という我々のメインとなるガイダンスのVersion 3のリリースに向けての活動が始まりました。Version 3ではSecurity as a Serviceに関するガイドラインの追加を考えています。
CSAのガイダンスの内容に関連して、クラウドデータガバナンスについて、クラウドサービスプロバイダの調査を始めています。また、自社のクラウドサービスがどの程度CSAのガイダンスに準拠しているかを自己評価できるCSA STAR Registryというプログラムも開始しました。これは認定制度といったものではなく、チェックシートを使って自分で診断、評価するというものです。判定結果を一定の指標として顧客や外部に対して示すことができます。
―CSAが注目している米国での最近のインシデント動向について教えてください。
Reavis氏:世界的にもみられる傾向ですが、まず、業界内部に浸透したインフラへの洗練された攻撃に注目しています。また、仮想化サーバのHypervisorへの攻撃は深刻な被害をもたらします。
Webアプリケーション型の攻撃は、攻撃手法そのものは古いものですが、クラウド環境では、攻撃用仮想サーバは突然現れ、一定の目的を果たしたらすぐにクローズされて、そのリソースは別の仮想サーバとして利用されてしまいます。ユーザもサーバをどんな人や企業と共有しているのかを気に掛けないし、気にしたとしてもそれを自分では管理できないので、攻撃者にとって都合がよいのです。これはクラウドならではの問題です。
クラウドインフラに対する攻撃に対する防御を考えるとき、攻撃者は高度な知識と能力を持っていること、彼らはどこの誰で、誰を狙っているか、どんな脆弱性を狙っているか、などを考慮する必要があります。
―Hypervisorへの攻撃とおっしゃいましたが、米国では実際に問題化しているのでしょうか。
Reavis氏:Hypervisorへの攻撃は、プロセッサの仮想化技術の不具合を利用したり、BIOS またはDMA(Direct Memory Access)といった部分の脆弱性を突いたり、OSのメモリ管理レベルで侵入することが必要なので、現状ではかなり稀であるといえます。現時点では、攻撃の難易度は高いと思っていますが、時間をかければ侵入を成功させる可能性があります。
―ユーザがクラウドサービスを利用・契約するにあたって、セキュリティ上注意すべきポイント、必要な機能などあればアドバイスをお願いします。
Reavis氏:一般的な話になってしまいますが、まずは契約書の内容をよく把握して、SLAの内容を確認することが基本的な事項です。次に利用目的によっては、サーバの設置場所も検討ファクターとなります。サーバの設置国を指定できるサービスとそうでないものがありますが、調達要件に国内法の及ぶ範囲に限定するというような項目があれば重要でしょう。
機能的な部分では、クラウドサービスプロバイダの提供するログ情報に、必要とする項目が含まれているかどうか、セキュリティ要件やコンプライアンスを満たすかどうかの確認をしてください。それと、データの暗号化も検討してください。クラウドに限らず、重要なデータの暗号化は効果的な方法のひとつです。
サーバのアカウント数やその管理機能も注意してください。無駄なアカウントがないか、アクセス権の設定は適切か、などです。とくにユーザ権限の設定は慎重を要します。
あとは、ファイアウォール、VPN、侵入検知システム(IDS)、WAF(Web Application Firewall)といったセキュリティ機能のサポートの有無です。要件に合った機能が利用できるか、必要な設定に対応しているかを確認してください。
―スマートフォンやタブレットは、クラウドコンピューティングとの相性がよいとされています。一方でスマートフォン向けのアプリケーションマーケット上での偽ソフトウェア配布やマルウェア感染の問題も指摘されています。ビジネス利用のスマートフォンではアプリケーションマーケットへのアクセスやアプリケーションのインストールを禁止すべきでしょうか。
Reavis氏:現実問題としてできないでしょう。企業としては権限、ポリシーなどを中央で管理したいわけですが、一方で分散管理や一極集中を避ける考え方もあります。また、IT部門以外のビジネスユニットのニーズも考えなければなりません。営業部門であれば、SFA(Sales Force Automation)にiPhoneやAndroid端末を使うことが一般化しつつある現実があります。管理者にとってはエンドユーザの行動が見えにくくなるのであまり好ましいことではないかもしれませんが、PCと同等な管理ポリシーは現実的ではありません。
ビジネスのクラウド化について、ある会社の話をしましょう。その会社が採用したある社員は、ポリシーに反してSNSやクラウドを業務で使っていました。しかし、その彼はとても優秀で実績を上げていたので、最終的には会社側がポリシーを変更しました。このような現実や社会の変化に対応する流れは止めるべきではありません。
これは個人的な意見ですが、禁止することよりも、どう使っていくかを考えたほうがよいと思います。
―具体的にはどんなことを実践すればよいですか。
Reavis氏:CSAが公開しているクラウドセキュリティのベストプラクティスの活用をお勧めします。その事例の中に自社のニーズや利用パターンに近いものがあれば、役に立つと思います。
―本日はお忙しいところお時間いただきありがとうございました。
コメント
共 有
