Embed Size (px)
Citation preview
‐1 ‐
2-3:クラウドの特性とセキュリティ
1 2 3 4 5 [コース1]データ収集 [コース2]データ蓄積 [コース3]データ分析 [コース4]データ利活用
総務省 ICTスキル総合習得教材
[コース2]データ蓄積
難
易
技 知
http://www.soumu.go.jp/ict_skill/pdf/ict_skill_2_3.pdf
‐2 ‐
本講座の学習内容[2-3:クラウドの特性とセキュリティ]
通信利用動向調査(企業調査)を用いて、国内企業におけるクラウドの利用状況を示します。 国内企業が「クラウドを利用している理由」「クラウドを利用しない理由」を紹介します。 情報セキュリティの重要性および情報セキュリティにおける3つの要素を説明します。 クラウドサービスに関する情報セキュリティとして「責任共有モデル」を示し、サービスモデル別のクラウド事業者と利用者の責任分担を説明します。
座学
国内企業のクラウド利用状況の推移を理解する。
国内企業が「クラウドを利用している理由」「クラウドを利用しない理由」の概要を把握する。
情報セキュリティの3つの要素を紹介できる。
クラウドの「責任共有モデル」を理解する。
[3] 情報セキュリティの3つの要素
[4] クラウドと情報セキュリティ
[2] クラウドを利用している/利用しない理由
[1] 国内企業のクラウドの利用状況
【講座概要】
【講座構成】 【学習のゴール】
‐3 ‐
クラウドの利用状況と利用に関する理由 通信利用動向調査(企業調査)は、国内企業にクラウドの利用状況等を尋ねています。 通信利用動向調査は総務省が実施する公的統計であり、情報通信の利用動向を調査しています。
2016年9月末を調査時点とする平成28年調査(企業調査)は、2,032社の国内企業から回答が得ました。
通信利用動向調査(企業調査)では、調査項目として「クラウドの利用状態」と「クラウド利用に関する選択理由」を調査しています。
• 通信利用動向調査(企業調査)の調査対象となるのは、公務を除く産業に属する常用雇用者規模100人以上の企業です。
• 通信利用動向調査には、世帯向け調査と企業向け調査の2種類があります。
2‐3[1] 国内企業のクラウドの利用状況
【出所】平成28年通信利用動向調査(企業調査)の調査票[総務省] http://www.soumu.go.jp/johotsusintokei/statistics/statistics05.html
平成28年通信利用動向調査(企業調査)におけるクラウド利用に関する質問
‐4 ‐
国内企業におけるクラウドの利用割合は、増加傾向にあります。 国内企業におけるクラウドの利用割合
【出所】通信利用動向調査(企業調査)[総務省]に基づいて作成http://www.soumu.go.jp/johotsusintokei/statistics/statistics05.html
通信利用動向調査(企業調査)の1年おきの調査結果を確認すると、国内企業におけるクラウドの利用割合が増加しており、2016年9月末では46.5%の企業がクラウドを利用していることが示されています。
13.5%
20.4%
24.2%
14.5%
17.7%
22.3%
20.1%
15.6%
14.4%
34.3%
31.7%
29.1%
16.8%
12.9%
9.2%
0% 20% 40% 60% 80% 100%
2012年12月末(2,086社)
2014年12月末(2,136社)
2016年9月末(2,032社)
全社的に利用している
一部の事業所又は部門で利用している
利用していないが、今後利用する予定がある
利用していないし、今後も利用する予定もない
クラウドサービスについてよく分からない
無回答
利用割合:28.0%
利用割合:38.1%
利用割合:46.5%
通信利用動向調査(企業調査)に基づくクラウドの利用状況
「クラウドサービスについてよく分からない」と回答する企業は減少傾向にあり、2016年9月末では9.2%となっています。
2‐3[1] 国内企業のクラウドの利用状況
‐5 ‐
国内企業が利用しているクラウドサービスとしては「電子メール」が最も多く、様々なサービス種において、利用割合が増加しています。
国内企業が利用しているクラウドサービス
【出所】通信利用動向調査(企業調査)[総務省]に基づき作成http://www.soumu.go.jp/johotsusintokei/statistics/statistics05.html
通信利用動向調査(企業調査)の結果から、国内企業が具体的に利用しているクラウドのサービス(複数回答可)を見ると、「電子メール」が最も多く、50.6%を占めています。
具体的に利用しているクラウドのサービス(複数回答)
50.6%49.7%
45.8%37.6%
37.5%26.4%25.8%
14.5%12.0%
8.4%8.1%8.0%7.7%7.1%6.8%
4.9%4.8%
1.1%7.3%
2.1%
0% 20% 40% 60%
電子メールファイル保管・データ共有
サーバー利用社内情報共有・ポータル
スケジュール共有データバックアップ
給与、財務会計、人事営業支援
eラーニング生産管理、物流管理、店舗管理
取引先との情報共有システム開発、webサイト構築
購買受注販売
プロジェクト管理課金・決済システム
認証システム研究・開発関係
その他無回答
2012年12月末(583社)
2014年12月末(841社)
2016年9月末(977社)
国内企業が利用しているクラウドサービスとして、「電子メール」に次いで「ファイル保管・データ共有」「サーバー利用」「社内情報共有・ポータル」「スケジュール共有」の利用割合が高くなっています。
• この質問項目は企業の一部でもクラウドを利用していると回答した企業が母数となった複数回答の質問です。
これら上位5種のサービス利用割合は2014年12月末から2016年9月末の間でいずれも6%以上伸びています。 • 2014年12月末から2016年9月末で利用割合が減少したのは「研究・開発関係」と「その他」のみです。
2‐3[1] 国内企業のクラウドの利用状況
近年、国内企業におけるクラウドサービスの利用は、様々な方面で拡大しています。
‐6 ‐
全社的に
利用している24.2%
一部の事業所又は部
門で利用している22.3%
利用していないが、今
後利用する予定がある14.4%
利用していないし、今後
も利用する予定もない29.1%
クラウドサービスにつ
いてよく分からない9.2%
無回答0.7%
「クラウドサービ
スを利用してい
る理由」の質問
対象
46.6%
「クラウドサービス
を利用しない理由」
の質問対象
29.1%
2016年9月末の調査において、クラウドを利用している国内企業の割合は46.6%です。 [クラウドサービスを利用している/利用しない理由]の回答対象
通信利用動向調査では、「全社的に利用している」「一部の事業所又は部門で利用している」と回答した企業に利用している理由を尋ねています。
調査では「利用していないし、今後も利用する予定もない」と回答した企業には、利用しない理由を尋ねています。
2‐3[2] クラウドを利用している/利用しない理由
【出所】平成28年通信利用動向調査(企業調査)[総務省]
国内企業におけるクラウドサービスの利用状況(2,032社)[2016年9月末]
‐7 ‐
クラウドサービスを利用している理由 通信利用動向調査では[クラウドサービスを利用している理由]を調査しています。
番号 回答項目[大分類] 番号 回答項目[大分類]
(01) 既存システムよりもコストが安いから[費用] (09) 情報漏洩等に対するセキュリティが高くなるから[安全性]
(02) 初期導入コストが安価だったから[費用] (10) 安定運用、可用性が高くなるから(アベイラビリティ) [ネット]
(03) 資産、保守体制を社内に持つ必要がないから[費用] (11) サービスのラインナップが充実していたから[拡張性]
(04) システムの容量の変更などが迅速に対応できるから [拡張性] (12) 導入スピードが速かったから[拡張性]
(05) システムの拡張性が高いから(スケーラビリティ) [拡張性] (13) どこでもサービスを利用できるから[ネット]
(06) サービスの信頼性が高いから[ネット] (14) 機器を選ばずに同様のサービスを利用できるから [拡張性]
(07) システムベンダーに提案されたから [その他] (15) いつでも利用停止できるから[拡張性]
(08) ライセンス管理が楽だから[費用] (16) その他[その他]
2‐3[2] クラウドを利用している/利用しない理由
平成28年通信利用動向調査では[クラウドを利用する理由]を16の回答項目(複数回答可)で尋ねています。 平成28年 通信利用動向調査における[クラウドサービスを利用している理由]の回答項目
本教材では、回答項目を表内の[]内に示す表示で「利用する理由」の大分類を行います。
大分類記号 大分類 上の表内の表記 番号 費 費用・手間 [費用] (01)(02)(03)(08) 拡 拡張性・カスタマイズ性 [拡張性] (04)(05)(11)(12)(14)(15) 利 インターネット利用・可用性 [ネット] (06)(10)(13) 安 セキュリティ・コンプライアンス [安全性] (09) 他 その他・理由不明 [その他] (07)(16)
本教材における[クラウドサービスを利用している理由]の大分類
• 可用性(アベイラビリティ)とは、利用ができる機会の多さを指しています。サービスの利用において、利用時間、利用場所、利用端末などの制約が少ない場合を「可用性が高い」と言います。
‐8 ‐
[利用している理由]として費用やインターネット利用に関する回答割合が高くなっています。 クラウドサービスを利用している理由の回答割合
[クラウドサービスを利用している理由]として費用に関連する「資産、保守体制を社内に持つ必要がないから」、インターネット利用に関連する「どこでもサービスを利用できるから」がそれぞれ1位、2位の回答割合となっています。
回答割合の第4位は「情報漏洩等に対するセキュリティが高くなるから」が25.2%となっています。
【出所】平成28年通信利用動向調査 (企業編)[総務省]
クラウドを利用している企業の977社の25.2%に当たる238社
2‐3[2] クラウドを利用している/利用しない理由
[クラウドサービスを利用している理由]の回答割合 (977社:複数回答可)[2016年9月末]
クラウドの特徴である「拡張性」よりも「費用・手間」や「インターネット利用」に関する回答が上位に挙がっています。
• クラウドの方がそれ以外に比べて、セキュリティが高いと考える割合は、クラウドを利用している国内企業の4分の1を占めています。
‐9 ‐
クラウドサービスを利用しない理由 通信利用動向調査では[クラウドサービスをしない理由]を調査しています。
番号 回答内容[大分類] 番号 回答内容[大分類] (01) クラウドの導入に伴う既存システムの改修コストが大きい[費用] (06) 情報漏洩などセキュリティに不安がある [安全性] (02) クラウドの導入によって自社コンプライアンスに支障をきたす[安全性] (07) 法制度が整っていない [安全性] (03) 通信費用がかさむ [費用] (08) 必要がない [その他] (04) ニーズに応じたアプリケーションのカスタマイズができない [拡張性] (09) メリットが分からない、判断できない [その他] (05) ネットワークの安定性に対する不安がある [ネット] (10) その他[その他]
2‐3[2] クラウドを利用している/利用しない理由
平成28年 通信利用動向調査では、クラウドサービスに関して「利用していないし、今後も利用する予定もない」と回答した国内企業に対して[クラウドサービスを利用しない理由]を複数回答可の10の回答項目で尋ねています。
平成28年 通信利用動向調査における[クラウドサービスを利用しない理由]の選択肢
大分類記号 大分類 上の表内の表記 番号 費 費用・手間 [費用] (01)(03) 拡 拡張性・カスタマイズ性 [拡張性] (04) 利 インターネット利用・可用性 [ネット] (05) 安 セキュリティ・コンプライアンス [安全性] (02)(06)(07) 他 その他・理由不明 [その他] (08)(09)(10)
本教材では、各選択肢を表内の[]内に示す表示で「利用しない理由」の大分類を行います。 本教材における[クラウドサービスを利用しない理由]の大分類
‐10 ‐
47.2
35.4
22.3
16.3
12.6
9.0
7.3
7.1
3.7
8.3
0 10 20 30 40 50
必要がない[他08]
情報漏えいなどセキュリティに不安がある[安06]
クラウドの導入に伴う既存システムの改修コストが大きい[費01]
メリットが分からない、判断できない[他09]
ネットワークの安定性に対する不安がある[利05]
通信費用がかさむ[費03]
ニーズに応じたアプリケーションのカスタマイズができない[拡04]
クラウドの導入によって自社コンプライアンスに支障をきたす[安02]
法制度が整っていない[安07]
その他[他10]
(%)
[利用しない理由]として「必要がない」に次いで、セキュリティ不安が挙がっています。 クラウドサービスを利用しない理由の回答割合
[クラウドサービスを利用しない理由]の回答割合の第1位は「必要がない」の47.2%となっています。
「クラウドサービスを利用していないし、今後も利用する予定もない」と回答した567企業の47.2%に当たる209社
[クラウドサービスを利用している理由]においても、[クラウドサービスを利用しない理由]においても、「セキュリティ」に関する回答割合はそれぞれの上位に現れています。
2‐3[2] クラウドを利用している/利用しない理由
クラウドサービスを利用していない理由 (567社:複数回答可)[2016年9月末]
【出所】平成28年通信利用動向調査(企業編)[総務省]
[クラウドサービスを利用しない理由]の回答割合の第2位は「情報漏えいなどセキュリティに不安がある」の35.4%となっています。 • 「情報漏えいなどセキュリティに不安がある」の回答割合の35.4%は、2スライド前に示した「情報漏洩等に対するセキュリティが高くなるから」の25.2%より高くなっていますが、理由に関する調査対象となった企業数が異なるため、回答した企業数は後者の方が多くなっています。
‐11 ‐
26.4
19.7
13.3
28.3
20.6
13.5
0
5
10
15
20
25
30
35
2015年(n=2,565)
2016年(n=4,308)
2017年(n=6,660)
2015年(n=3,135)
2016年(n=4,528)
2017年(n=7,349)
IaaS/PaaSについて
(%)
SaaSについて
クラウドサービスに関する「情報漏えいなどのセキュリティが心配」と回答した割合
国内企業におけるクラウドサービスの情報セキュリティに関する懸念は、年々低下しています。 クラウドサービスの情報セキュリティに関する国内企業の意識
クラウドサービスに関して、「セキュリティが高くなる」という意見もあれば、「セキュリティが不安」という意見もあります。
2‐3[3] 情報セキュリティの3つの要素
【出所】株式会社MM総研の2017年12月27日ニュースリリースに基づき作成 https://www.m2ri.jp/news/detail.html?id=279
• 平成28年通信利用動向調査(企業調査)においても、[クラウドサービスを利用している理由]と[クラウドサービスを利用しない理由]の両方で上位に挙がっていたのが「セキュリティ」に関する回答でした。
株式会社MM総研の調査によれば、クラウドサービスにおける「情報漏えいなどのセキュリティが心配」と回答した割合は年々減少しています。 • 株式会社MM総研では、企業のネットワーク運用担当者等にウェブアンケートを実施して、クラウドのセキュリティに関する意識を調査しました。 • クラウドのサービスモデル別に見ると、「IaaS/PaaS」の方が、「SaaS」に比べてセキュリティの心配する回答者の割合が、わずかに低くなっています。
クラウドサービスのセキュリティの心配する割合が低下した要因として、「クラウド事業者のセキュリティ対策の向上」や「クラウドサービス普及による利用者の理解の進展」などが考えられます。
‐12 ‐
コンピュータネットワークにおいて、情報セキュリティは非常に重要です。 情報セキュリティの重要性(情報セキュリティに関する事件)
クラウドサービスを含め、コンピュータネットワークにおいて情報セキュリティは重要であり、情報漏洩などの事件があった場合、企業価値や信用を大きく損なうことになります。
2‐3[3] 情報セキュリティの3つの要素
2017年9月、アメリカの大手信用情報会社Equifax(エクイファックス)社は、「不正アクセスによってコンピュータネットワークの脆弱性をつかれ、約1億4300万人の個人情報が流出した」と発表しました。
Equifax社の情報セキュリティに関する事件の説明と注意喚起のウェブサイト
【出所】2017 Cybersecurity Incident & Important Consumer Information[Equifax Inc.] https://www.equifaxsecurity2017.com/
• 流出した個人情報は、概ねアメリカ在住者に関するものであり、「アメリカ合衆国の人口の44%に相当する」と報道されました。
情報セキュリティに関する事件の事例
大規模な情報セキュリティに関する事件は、当該企業の価値や信用を損なうのみならず、社会問題となり得ます。
‐13 ‐
508399
613711
0
200
400
600
800
2013年 2014年 2015年 2016年
(万件)
日本において、情報セキュリティに関するサイバー犯罪の相談件数は増加傾向にあります。 情報セキュリティとサイバー犯罪
4,8036,220
9,550
7,089
9,530
0
2,000
4,000
6,000
8,000
10,000
12,000
2013年 2014年 2015年 2016年 2017年
不正アクセス等、コンピュータウィルス(件)
29,11336,237
58,34067,026 67,480
0
20,000
40,000
60,000
80,000
2013年 2014年 2015年 2016年 2017年
詐欺・悪質商法(件)
都道府県警察におけるサイバー犯罪等に関する相談件数 GSOCセンサーで認知された 政府機関への脅威の件数の推移
【出所】サイバーセキュリティ政策に係る年次報告 [サイバーセキュリティ戦略本部]
【出所】平成29年上半期におけるサイバー空間をめぐる脅威の情勢等について[警察庁] より作成 https://www.npa.go.jp/news/release/2017/20170907001.html
都道府県警察に寄せられるサイバー犯罪等の相談件数は、増加傾向にあります。 • サイバー犯罪の中には、[不正アクセスやコンピュータウィルス]といった情報セキュリティに関するものもあれば、「インターネット上で商品を注文し、代金を振り込んだが、商品が届かない」などの[詐欺・悪質商法]もあります。
内閣サイバーセキュリティーセンターのGSOC(ジーソック)が、各府省庁等のネットワークに設置したセンサーによって、認知された脅威件数は増加傾向にあります。
政府組織を含め、価値が高い情報を保有している組織は、サイバー攻撃の対象となりやすい傾向があります。
• GSOC(Government Security Operation Coordination team:政府機関情報セキュリティ横断監視・即応調整チーム)は、政府横断的なネットワーク監視、情報セキュリティ上の脅威の検出を行っています。
• 特定組織が運営するサーバや特定組織の構成員に狙いを絞ったサイバー攻撃は、「標的型攻撃」と呼ばれます。貴重な情報を集めたり、預かっている情報量が大きいサービスは「標的型攻撃」の対象になりやすいと考えられます。
2‐3[3] 情報セキュリティの3つの要素
‐14 ‐
日本には情報セキュリティに関する届出・無料相談窓口があります。 情報セキュリティに関する届出・相談窓口
(独)情報処理推進機構が運営する「情報セキュリティ安心相談窓口」のウェブサイト
【出所】情報セキュリティ安心相談窓口[情報処理推進機構(IPA)] https://www.ipa.go.jp/security/anshin/index.html
(独)情報処理推進機構(IPA:Information‐technology Promotion Agency, Japan)には、情報セキュリティに関する届出窓口が設けられています。
• 情報セキュリティ安心相談窓口は、電話・メール・FAX・郵送での相談を受けており、相談料は無料ですが、通話料・通信料は利用者負担です。 • 「標的型サイバー攻撃」対策として、「標的型サイバー攻撃特別相談窓口」を設けて、一般的な相談とは異なる助言・支援を行っています。
2‐3[3] 情報セキュリティの3つの要素
• 届出窓口は「コンピュータウイルス」「不正アクセス」「脆弱性関連情報」に区分され、届け出られた情報は被害の発生や拡大の防止等に利用されます。
情報処理推進機構には、情報セキュリティに関する無料相談窓口も設けられています。
‐15 ‐
情報セキュリティの3つの要素として「機密性」「完全性」「可用性」が挙げられています。 情報セキュリティの3つの要素
情報セキュリティには、サイバー犯罪への対策を含む「情報漏洩に関する指標」以外にも、天災や機器の故障への対策を含む「正しいデータの保存」に関する指標、「データへのアクセスの可能性」に関する指標があります。
以降では、より平易な言葉で情報セキュリティの各要素を説明します。
日本工業規格(JIS Q 27000:2014)において、情報セキュリティは、情報の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の3つを維持することとされています。
情報セキュリティの3つの要素とその説明
セキュリティの要素 日本工業規格による用語説明 (ISO/IEC 27000の直訳) 本教材による平易な用語説明
機密性(Confidentiality)
認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特性。
情報漏洩がないこと
完全性 (Integrity)
正確さ及び完全さの特性。 保有する情報が正しく、欠損がないこと
可用性 (Availability)
認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。
利用権限がある者が、いつでも情報を利用できること
• Q 27000:2014によれば「エンティティは,“実体”、“主体”などともいう。情報セキュリティの文脈においては、情報を使用する組織及び人、情報を扱う設備、ソフトウェア及び物理的媒体などを意味する」と記載しています。
• この説明は、情報セキュリティマネジメントシステムの基準と実務を示すために、国際標準化機構 (ISO) と国際電気標準会議 (IEC) 共同で策定したISO/IEC 27000の直訳です。理解しにくい直訳となっているため、第3列には本教材による平易な用語説明を記載しています。
【出所】情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語 27000:2014[日本工業規格]
2‐3[3] 情報セキュリティの3つの要素
• 情報セキュリティの3つの要素は、その頭文字をとって「情報セキュリティのCIA(シーアイエー)」と呼ばれることもあります。
‐16 ‐
情報セキュリティの3要素の説明 機密性とは「情報漏洩がないこと」を指しています。
• スマートフォンやUSBメモリでは、紛失や盗難があった場合でも、内部の情報が読みとられないようにすることで「機密性」が高まります。 (情報セキュリティはインターネットサービスのみならず、情報を蓄積する全ての電子機器を包括する概念です。)
パスワードなどの認証技術、通信の暗号化技術を利用することで機密性を高めることができます。 機密性の要件として、不正アクセスに対する防御や通信の盗聴防止が挙げられます。
完全性とは「保有する情報が正しく、欠損がないこと」を指しています。
• 講座2‐1に示したように、クラウドにはスケーラビリティ(拡張性)があるため、一般に機器の交換に伴う動作不能時間はありません。
完全性の要件として、コンピュータウィルスによる情報の消失・改ざんに対する防御が挙げられます。 セキュリティソフトウェアを導入するなど、情報の消失・改ざんへの対策を行うことで完全性を高めることができます。
可用性とは「利用権限がある者が、いつでも情報を利用できること」を指しています。 可用性の要件として、地震などの天災、それに伴う停電への対応策ができていることが挙げられます。 • 無停電電源装置と呼ばれる短時間の停電に反応して給電を行う機器を取り付けたり、サーバが設置されているデータセンターに自家発電装置を設
置したりすることで可用性を高めるケースもあります。
機器のメンテナンスや交換に伴う動作不能時間を短縮することで、可用性を高めることができます。
2‐3[3] 情報セキュリティの3つの要素
故障を含め特定の機器のデータが消失しても、バックアップから復旧可能とすることでも完全性を高めることができます。 • バックアップデータが同じ地域にあると、災害等で同時に利用できなくなるため、異なる国・地域に保存することで完全性を一層高めるケースもあります。
‐17 ‐
クラウドサービスは、情報セキュリティ対策を確認した上で選定・利用するべきです。 クラウドサービスに関する情報セキュリティの確認項目
総務省「国民のための情報セキュリティサイト」では、「クラウドサービス事業者が行っているか」を確認すべき項目として下記の7項目が示されています。
実態としては、クラウド事業者がセキュリティを高める観点から情報を一般公開していないケース、情報の理解には専門知識が必要となるケースがあり、各事業者・サービスの情報セキュリティ対策の確認が困難な場合もあります。
クラウドサービス事業者が行うべき主要な情報セキュリティ対策 データセンターの物理的な情報セキュリティ対策(災害対策や侵入対策など) データのバックアップ ハードウェア機器の障害対策 仮想サーバなどのホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性の判定と対策 不正アクセスの防止 アクセスログの管理 通信の暗号化
クラウドサービスは、事業者が上記のような情報セキュリティ対策を継続して適切に行っているかどうかを確認した上で選定・利用するべきです。
2‐3[4] クラウドと情報セキュリティ
【出所】クラウドサービスを利用する際の情報セキュリティ対策[総務省|国民のための情報セキュリティ対策] http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/admin/15.html
クラウドサービスを利用する際の情報セキュリティ対策の項目
• 事業者が、これらの情報セキュリティ対策を行うことで「機密性」「完全性」「可用性」を高めることができます。
‐18 ‐
情報セキュリティ対策には、国際規格としての第三者認証があります。 クラウドに関する情報セキュリティの第三者認証 企業やサービスの情報セキュリティ対策のレベルを簡便に確認する方法として、第三者認証が挙げられます。
ISO/IEC 27017(クラウドサービスセキュリティ) • ISO/IEC 27017では、組織単位の認定証の中に認証に含まれるクラウドサービスが列挙されています。
情報セキュリティに関する代表的な国際規格として、ISO/IEC 27000シリーズが挙げられます。
3大クラウドサービスと呼ばれるAWS(Amazon)、GCP(Google)、Azure(Microsoft)は、いずれもクラウドサービスのセキュリティに関する規格の「ISO/IEC 27017」の認証を取得しています。
2‐3[4] クラウドと情報セキュリティ
• ISO(国際標準化機構)とIEC(国際電気標準会議)が共同で定めた規格であるため、ISO/IECと呼ばれます。
【出所】ISO/IEC 27017[クラウドサービスセキュリティ][日本品質保証機構] https://www.jqa.jp/service_list/management/service/iso27017/
• 「ISO/IEC 27001」は一般的な情報セキュリティの構築・維持の基準となる「手順や方法」が記載されており、その基準を満たし審査に合格すれば、「ISMS(Information Security Management System:情報セキュリティマネジメントシステム)認証(取得)」と呼ばれます。
従来から一般的な情報セキュリティに関する規格の「ISO/IEC 27001」はありましたが、2015年にクラウドサービスの情報セキュリティに関する規格「ISO/IEC 27017」に関する認証が開始されました。
• 第三者認証とは、当該組織と直接の利害関係がない第三者の審査によって行われる認証を指しています。
‐19 ‐
「責任共有モデル」は、クラウド事業者と利用者の管理権限に応じた責任分担の考え方です。 クラウドにおける責任共有モデル
AWSなどのIaaSに関するクラウド事業者は、情報セキュリティに関して一般に責任共有モデルを採用しています。
• クラウドの基礎部分のセキュリティはAWSの責任である一方で、クラウドの内部のセキュリティは顧客(利用者)の責任であることを指しています。
• IaaSにおいては、利用者は自由に仮想サーバにインストールするOSやソフトウェアを選択できるため、クラウド事業者は仮想サーバの中を管理できません。 • 情報セキュリティの国際規格で認証されたクラウド事業者であっても、管理権限がない領域に関する情報セキュリティには責任を持つことはできません。
AWSのウェブサイトにおいて、責任共有モデルの説明として「AWS の責任は"クラウドのセキュリティ"」としている一方で、「お客様の責任は"クラウドにおけるセキュリティ"」としています。
IaaSでは、利用者がインストールしたOSやソフトウェアに起因するセキュリティのトラブルは、管理権限のある利用者(顧客)の責任となります。
• IaaSをはじめとするクラウドのサービスモデルに関しては、講座2‐2にて紹介しました。 • 英語の「shared responsibility model」の日本語訳として「責任共有モデル」が定着していますが、「shared」は「共有」よりも「分担」と訳す方が意味が明瞭になります。
AWSにおける責任共有モデルの表記
2‐3[4] クラウドと情報セキュリティ
【出所】責任共有モデル[Amazon Web Services, Inc.] https://aws.amazon.com/jp/compliance/shared‐responsibility‐model/
‐20 ‐
国際的なクラウド事業者は、責任共有モデルに対応する責任分担を表明しています。 クラウドプラットフォームにおける責任分担に関する表記
Microsoftによるサービスモデル別の責任分担のイメージ
GCPにおける責任共有モデルに対応する説明(抜粋)
Google Cloud Platform プロジェクトの安全性確保 Google はお客様のプロジェクトの安全性を一部担いますが、セキュリティに対する責任は Google 単体ですべてを担えるものではなく、お客様の協力が不可欠です。 機密データの管理 データの重要性はその性質により異なります。Google Cloud Platform では、安全なアプリケーションの構築に必要な基本機能を提供していますが、これらのデータの適切な移動やアクセスをアプリケーションレベルで制御するのはお客様の責任です。これには、エンドユーザーが企業ネットワークやパブリック クラウド インフラストラクチャの外で重要な情報を共有しないよう防ぐ対策(データ損失防止)も含まれます。
2‐3[4] クラウドと情報セキュリティ
AWSに限らず、国際的なクラウド事業者は責任共有モデルに対応する責任分担を表明しています。
【出所】Shared Responsibilities for Cloud Computing[Microsoft]https://gallery.technet.microsoft.com/Shared‐
Responsibilities‐81d0ff91
【出所】GOOGLE CLOUD PLATFORM のセキュリティ[Google] https://cloud.google.com/security/?hl=ja
GoogleのGCPにおいては、「アプリケーション レベルでのデータ制御」は利用者(顧客)の責任」であることを示しています。
MicrosoftのAzureでは、クラウドのサービスモデル別・サービス運営の内容別にクラウド事業者と利用者(顧客)の責任分担を示しています。
クラウドに関するセキュリティの責任分担は、サービスモデルのIaaS、PaaS、SaaSの分類にも依存しています。
‐21 ‐
クラウド事業者と利用者の情報セキュリティの責任分担は、サービスモデルによって異なります。 各サービスモデルにおける情報セキュリティの分担
2011年にNIST(米国国立標準技術研究所)の研究者は、クラウドサービスに関する情報セキュリティのガイドラインを示した「Guidelines on Security and Privacy in Public Cloud Computing」を公表しました。
• IaaSやPaaSでは、仮想サーバ内のOS/ソフトウェアのアップデートといった保守作業は利用者の責任で行う必要があります。 • SaaSでは、利用者に情報セキュリティに関する専門知識や保守作業を要求しませんが、ログインIDやパスワードの管理は利用者の責任となります。
各サービスモデルに関する情報セキュリティの記述
この資料において、クラウドの3種のサービスモデルの情報セキュリティ分担に関して、下表のように記載しています。
【出所】Guidelines on Security and Privacy in Public Cloud Computing[NIST]から翻訳 https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800‐144.pdf
サービスモデル 管理権限と情報セキュリティに関連する説明(抜粋)
IaaS クラウドの利用者は、一般に搭載するOSや開発環境の選択に関して、高い自由度を持っている。クラウドの基礎部分を越えるセキュリティ対策は、主としてクラウド利用者が実施する。
PaaS クラウドの利用者は、プラットフォーム上のアプリケーションやアプリケーションの環境を管理・設定できる。セキュリティ対策は、クラウド事業者とクラウド利用者で分割される。
SaaS セキュリティ対策は、主としてクラウド事業者が実施する。一部を除いて、クラウド利用者はクラウドの基礎部分や個別のアプリケーションの設定を管理、操作できない。
IaaSやPaaSは利用者も情報セキュリティに関する責任や保守作業の一部を分担する一方で、SaaSにおける情報セキュリティ対策は、原則としてクラウド事業者が実施します。
2‐3[4] クラウドと情報セキュリティ
一般にクラウドサービスにおける情報セキュリティは、サービスモデルに応じて利用者にも責任や保守作業の一部分担が求められます。
