Upload
occ-cloud-secf
View
606
Download
4
Embed Size (px)
DESCRIPTION
Open Cloud Campus クラウドネットワーク研究会 クラウドセキュリティ分科会 第一回勉強会 講演資料 河野 省二
Citation preview
クラウドサービスの構造と責任分界点
株式会社ディアイティ セキュリティサービス事業部 河野省二 <[email protected]>
2012/07/23 Open CloudCampus 第1回クラウドセキュリティ分科会 1
ちょっとタイトルが難しいね・・・
そもそもクラウドサービスってのはどういうものですか? XaaS ってことは「サービス」として提供されるもの つまり、サービスビジネスなのだから、サービスの良い所を選
んだほうが良い!!ということです良いサービスとは何でしょうか・・・
欲しいサービスがすべてあり、価格が予算内に収まっている 品質が良いとは、過不足なく、適価であるということ
2012/07/23 Open CloudCampus 第1回クラウドセキュリティ分科会 2
というわけで・・・
今日のプレゼンでは ,• クラウドサービスの選び
方• ユーザがやるべきこと
みたいなものを、クラウドセキュリティの観点でお話します
2012/07/23 Open CloudCampus 第1回クラウドセキュリティ分科会 3
情報セキュリティの目的は・・・
IT を最大に活用するための最小限の安全の確保
PC 持ち出し禁止とか、 USB メモリ利用禁止とか、クラウド利用禁止とか、心の底から馬鹿じゃないの?と思っています。
2012/07/23 Open CloudCampus 第1回クラウドセキュリティ分科会 4
最近話題になっているクラウド関連の事故
ハードウェアの問題によるもの 電源ダウン、二次電源の誤動作、スイッチングハブの誤動作など→ データセンター側のファシリティの問題 → ユーザはなにも対策ができない
オペレータの誤操作 保守作業の準備不足、オペレータの知識不足など→ プロバイダ側のエンジニアの質の問題 → ユーザはプロバイダ側の運用体制などを知りたい
アクセス権の奪取 コンソールの管理者権限の奪取、アプリケーションのアクセス権の
不正利用→ プロバイダ側に問題はない(あるとすればログイン方法の不備) → ユーザは権限についてもう少しまじめに考えたほうが良い
2012/07/23 Open CloudCampus 第1回クラウドセキュリティ分科会 5
ユーザがしなくちゃいけないこと
1. こまめなバックアップ2. パスワードなどの正しい管理
ハードウェアのトラブルについてはどうしようもないので、自らがバックアップをとっておくこと。パスワードの管理などは、できればワンタイムパスワード、できなければ 2 要素認証、それもできなければログインごとのパスワードの変更。
2012/07/23 Open CloudCampus 第1回クラウドセキュリティ分科会 6
という前提だと・・・
1. バックアップがとりやすい2. パスワードのオプションが豊富
これが良いプロバイダの条件となります。もちろん、バックアップをすぐに活かすためには、バックアップの互換がとれるプロバイダをもう1件以上探しておくことが重要です
2012/07/23 Open CloudCampus 第1回クラウドセキュリティ分科会 7
情報漏えいについては心配ありませんか?
「プロバイダ内部の不正( Malicious Insider )」については、現在のところ事例がありません 物理的なデータ構造がわかりにくくなっているので、データの
取得をしようとすれば、管理者もしくはユーザのアカウントを盗み、それを活用した後に、さらにログを消すといった作業が必要です
この「ワークファクタ(作業要因)」は、特に狙ったデータでもない限り、目的に見合わないものになるでしょう
データがどこにあるのかわからないというのが気持ち悪いのですが・・・ メンタル的な問題は解消できないので、どうしても納得出来な
いという方はクラウドサービスにかぎらず、様々なサービスが使えないでしょう・・・
2012/07/23 Open CloudCampus 第1回クラウドセキュリティ分科会 8
利用者のためのガイドライン
ISMS やプライバシーマークを取得している利用者 経済産業省の「クラウドサービス利用のための情報セキュリ
ティマネジメントガイドライン」を参考にしてくださいhttp://www.meti.go.jp/press/2011/04/20110401001/20110401001.html
中小企業でこれからサービスを検討する利用者 IPA の「中小企業のためのクラウドサービス安全利用の手引
き」を参考にしてくださいhttp://www.ipa.go.jp/security/cloud/tebiki_guide.html
2012/07/23 Open CloudCampus 第1回クラウドセキュリティ分科会 9
クラウドサービス利用のための情報セキュリティマネジメントガイドライン
2012/07/23 Open CloudCampus 第1回クラウドセキュリティ分科会 10
中小企業のためのクラウドサービス安全利用の手引き
2つの文書で構成されています 中小企業のためのクラウド
サービス安全利用の手引き クラウド事業者による情報開示の参照ガイド
プロバイダとユーザの情報交換によって安心を構築します SLA だけではなく、構築、
運用などに必要な情報を得るための仕組みが解説されています
2012/07/23 Open CloudCampus 第1回クラウドセキュリティ分科会 11
プロバイダ向けにも・・・
ISO/IEC 27017 の策定 経産省のガイドラインをも
とに、国際標準が策定されています
Implementation Guidance (実施の手引き ) で は 、 Cloud consumer 向け と Cloud Provider 向けの両方が記載される予定です
プロバイダの監査や認証にも使える標準を目指して 2014年くらいに発行され
る予定です
国際標準化
に向けて取り組
み中
2012/07/23 Open CloudCampus 第1回クラウドセキュリティ分科会 12
お問い合せは・・・
株式会社ディアイティ セキュリティサービス事
業部
[email protected] / 03-5634-7655
2012/07/23 Open CloudCampus 第1回クラウドセキュリティ分科会 13