クラウドサービスの構造と責任分界点

株式会社ディアイティ　セキュリティサービス事業部　河野省二 <shoji@dit.co.jp>

2012/07/23 Open CloudCampus 第１回クラウドセキュリティ分科会 1

ちょっとタイトルが難しいね・・・

そもそもクラウドサービスってのはどういうものですか？ XaaS ってことは「サービス」として提供されるもの つまり、サービスビジネスなのだから、サービスの良い所を選

んだほうが良い！！ということです良いサービスとは何でしょうか・・・

欲しいサービスがすべてあり、価格が予算内に収まっている 品質が良いとは、過不足なく、適価であるということ

2012/07/23 Open CloudCampus 第１回クラウドセキュリティ分科会 2

というわけで・・・

今日のプレゼンでは ,• クラウドサービスの選び

方• ユーザがやるべきこと

みたいなものを、クラウドセキュリティの観点でお話します

2012/07/23 Open CloudCampus 第１回クラウドセキュリティ分科会 3

情報セキュリティの目的は・・・

IT を最大に活用するための最小限の安全の確保

PC 持ち出し禁止とか、 USB メモリ利用禁止とか、クラウド利用禁止とか、心の底から馬鹿じゃないの？と思っています。

2012/07/23 Open CloudCampus 第１回クラウドセキュリティ分科会 4

最近話題になっているクラウド関連の事故

ハードウェアの問題によるもの 電源ダウン、二次電源の誤動作、スイッチングハブの誤動作など→ 　データセンター側のファシリティの問題　→　ユーザはなにも対策ができない

オペレータの誤操作 保守作業の準備不足、オペレータの知識不足など→ 　プロバイダ側のエンジニアの質の問題　→　ユーザはプロバイダ側の運用体制などを知りたい

アクセス権の奪取 コンソールの管理者権限の奪取、アプリケーションのアクセス権の

不正利用→ 　プロバイダ側に問題はない（あるとすればログイン方法の不備）　→　ユーザは権限についてもう少しまじめに考えたほうが良い

2012/07/23 Open CloudCampus 第１回クラウドセキュリティ分科会 5

ユーザがしなくちゃいけないこと

1. こまめなバックアップ2. パスワードなどの正しい管理

ハードウェアのトラブルについてはどうしようもないので、自らがバックアップをとっておくこと。パスワードの管理などは、できればワンタイムパスワード、できなければ 2 要素認証、それもできなければログインごとのパスワードの変更。

2012/07/23 Open CloudCampus 第１回クラウドセキュリティ分科会 6

という前提だと・・・

1. バックアップがとりやすい2. パスワードのオプションが豊富

これが良いプロバイダの条件となります。もちろん、バックアップをすぐに活かすためには、バックアップの互換がとれるプロバイダをもう１件以上探しておくことが重要です

2012/07/23 Open CloudCampus 第１回クラウドセキュリティ分科会 7

情報漏えいについては心配ありませんか？

「プロバイダ内部の不正（ Malicious Insider ）」については、現在のところ事例がありません 物理的なデータ構造がわかりにくくなっているので、データの

取得をしようとすれば、管理者もしくはユーザのアカウントを盗み、それを活用した後に、さらにログを消すといった作業が必要です

この「ワークファクタ（作業要因）」は、特に狙ったデータでもない限り、目的に見合わないものになるでしょう

データがどこにあるのかわからないというのが気持ち悪いのですが・・・ メンタル的な問題は解消できないので、どうしても納得出来な

いという方はクラウドサービスにかぎらず、様々なサービスが使えないでしょう・・・

2012/07/23 Open CloudCampus 第１回クラウドセキュリティ分科会 8

利用者のためのガイドライン

ISMS やプライバシーマークを取得している利用者 経済産業省の「クラウドサービス利用のための情報セキュリ

ティマネジメントガイドライン」を参考にしてくださいhttp://www.meti.go.jp/press/2011/04/20110401001/20110401001.html

中小企業でこれからサービスを検討する利用者 IPA の「中小企業のためのクラウドサービス安全利用の手引

き」を参考にしてくださいhttp://www.ipa.go.jp/security/cloud/tebiki_guide.html

2012/07/23 Open CloudCampus 第１回クラウドセキュリティ分科会 9

クラウドサービス利用のための情報セキュリティマネジメントガイドライン

2012/07/23 Open CloudCampus 第１回クラウドセキュリティ分科会 10

中小企業のためのクラウドサービス安全利用の手引き

２つの文書で構成されています 中小企業のためのクラウド

サービス安全利用の手引き クラウド事業者による情報開示の参照ガイド

プロバイダとユーザの情報交換によって安心を構築します SLA だけではなく、構築、

運用などに必要な情報を得るための仕組みが解説されています

2012/07/23 Open CloudCampus 第１回クラウドセキュリティ分科会 11

プロバイダ向けにも・・・

ISO/IEC 27017 の策定 経産省のガイドラインをも

とに、国際標準が策定されています

Implementation Guidance （実施の手引き ） で は 、 Cloud consumer 向け と Cloud Provider 向けの両方が記載される予定です

プロバイダの監査や認証にも使える標準を目指して 2014年くらいに発行され

る予定です

国際標準化

に向けて取り組

み中

2012/07/23 Open CloudCampus 第１回クラウドセキュリティ分科会 12

お問い合せは・・・

株式会社ディアイティ　セキュリティサービス事

業部

ss-info@dit.co.jp / 03-5634-7655

2012/07/23 Open CloudCampus 第１回クラウドセキュリティ分科会 13