経済産業省が、クラウドサービスの利用促進を目的とした「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を公開しました。このガイドラインでは、クラウド利用者がクラウドサービスを利用する際に考慮すべき情報セキュリティ事項などを取りまとめています。今回は、ホスティングサービスに関わるこのガイドラインの内容を掘り下げてみましょう。
現状にかなり近い内容となった「クラウド利用ガイドライン」
経済産業省は2011年4月1日、「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を公開しました。このガイドラインは、クラウドサービスの利用が普及、拡大している一方で、とくに情報セキュリティ上の不安を払拭できないことからクラウドサービスの利用に踏み切れないケースも多いという実態を踏まえたものです。その背景には、海外のクラウドサービスにおいてサーバ内のデータが消失したり、意図しない者とデータが共有されてしまうといった事例が報告されていることにあります。
こうした現状を受け、クラウドサービスにおける情報セキュリティ上の不安を減少させ、利用促進を図ることを目的に、クラウド利用者がクラウドサービスを利用する際に考慮すべき情報セキュリティ事項などを取りまとめたものが本ガイドラインです。組織がクラウドコンピューティングを全面的に利用する極限状態を想定した上で、組織が自ら行うべきことと、クラウド事業者に対して求める必要のあること、さらにクラウドコンピューティング環境における情報セキュリティマネジメントの仕組みについて記載しています。中でも「監査」について大きくページを割いていることが特徴と言えます。
情報セキュリティについてはとくに踏み込んだ内容になっており、項目ごとに「クラウド利用者のための実施の手引」と「クラウド事業者の実施が望まれる事項」が明記されているため、理解をより深めるとともに利用者と事業者それぞれがすべきことを明確にしています。また、SaaS、PaaS、IaaSといったクラウドサービスの種類についても言及しており、サービスごとに利用者、事業者で関わるユーザや担当者、開発者などそれぞれの立場に必要な作業も記載されています。さらに、ホスティングサービスでも多く採用されているサプライチェーン方式、つまりSaaS事業者がPaaS事業者のサービスを利用してエンドユーザに提供する場合、SaaS事業者はPaaS事業者の利用者となります。これはPaaS事業者とIaaS事業者との関係でも同様です。ガイドラインでは、こういったクラウドサービス特有のケースにも対応しているのです。
利用者も事業者もセキュリティ管理サイクルを回すことがポイント
クラウドサービスでは、マッシュアップなどの技術を利用して複数のクラウドサービスを複合利用するケースもあります。ガイドラインでもこの点に言及しており、利用者はサービスを利用する前に責任の分界点を明確にし、障害に対応できることが望ましいとしています。また利用者は、すべての資産を明らかにし、その管理責任者を指名、適切な管理策を維持する責任を割り当てることが望ましいとしています。そして、資産目録の管理場所の項目にクラウドサービス名とクラウド事業者名を追加すべきと指摘しています。事業者側においても、クラウドコンピューティング環境にあるクラウド利用者の資産に関する資産目録の一覧が取得できるインターフェースをクラウド利用者に提供することが望ましいとしています。とくに日本の企業は、クラウド事業者に資産情報を提供することに抵抗を感じるかもしれません。しかし、それによって責任の所在を明確にできるのです。
ガイドラインでは、情報セキュリティについて情報漏えい対策、アクセス制御、特権管理、モバイル、ファイル管理、暗号化、脆弱性管理といった項目も設けています。たとえば情報漏えい対策では、クラウド利用者は情報漏えいが起きないようにクラウドサービスの利用手順を策定するとともに、情報漏えいの可能性を考慮して、クラウドサービスの利用者にリスクと対策を周知するとあり、一方クラウド事業者は、クラウドサービスにおける情報漏えいに関する対策を行い、円滑なシステムの運用に支障のない範囲でクラウド利用者にその対策内容を開示することが望ましいとしています。クラウドサービスではデータを1つのサーバに保存するのではなく、複数のサーバ上に分散して保存されるうえに、冗長性を高めるために分割されたデータが複製されて複数のサーバ上に配置されることも多いため、とくにデータの移動や削除の際にデータを完全消去することを前提とし、データの一部が残らないよう注意すべきとしています。
情報セキュリティの担保は意見が分かれるところですが、前述のように利用者と事業者が資産情報を提供しあい、お互いにどこまでセキュリティ対策を施すかを明確にすることが重要になります。そして、お互いに情報セキュリティの管理サイクルを回すことが重要です。具体的には、つねに最新の攻撃や脅威の動向を把握し、クラウド上のシステムに脆弱性がないかを確認、対策を行って検証していきます。さらに外部監査によって管理サイクルの状況をレポートし、利用者、事業者ともにその内容を参照できる状態が最もよい関係と言えるでしょう。
クラウドサービスで進むガイドライン対応
経済産業省のガイドライン発表を受けて、他の団体や組織でもガイドが公開されています。代表的なものでは、独立行政法人 情報処理推進機構(IPA)が「中小企業のためのクラウドサービス安全利用の手引き」および「クラウド事業者による情報開示の参照ガイド」を公開しており、特定非営利活動法人ASP・SaaS・クラウドコンソーシアム(ASPIC)では「クラウドサービス利用者の保護とコンプライアンス確保のためのガイド?経営層による的確なリスクマネジメントのために?」を、クラウドセキュリティアライアンス(CSA)の日本支部である日本クラウドセキュリティアライアンスでも「解説クラウド・セキュリティ・ガイダンス」を公開しています。こうした日本独自のガイドラインに対し、いちはやく動いたのは「Windows Azure」を提供するマイクロソフトや、「Amazon EC2」を提供するAmazonなど、いわゆるPaaS、IaaS事業者でした。これらの事業者はとくにセキュリティに関する技術文書やQ&Aのホワイトペーパーを公開しています。
では、ホスティングサービスにおいてはどうでしょうか。
ホスティングサービスは以前の「場所を貸す」感覚から、クラウド時代に対応した「保護された仮想化環境の提供」へと意識が変わりつつあります。ホスティングサービスで提供されるメニューにもクラウド型サービスが増えてきました。クラウド型ホスティングと従来のホスティングの大きな違いは、仮想化された環境が提供されている点で柔軟性、利便性、コスト削減率が高くなっています。
さらに最近では、クラウド利用を前提としたホスティングにセキュリティ機能をあわせて提供する傾向が強くなっており、セキュリティ機能を標準で提供するケースも増えています。また、セキュリティベンダもクラウド環境におけるセキュリティ対策に本腰を入れてきていることも大きな流れです。従来のサーバセキュリティ対策製品が仮想化環境にも対応していますし、クラウドセキュリティとしてクラウド内にあるデータを一貫して管理するとともに暗号化を行うソリューションも登場しています。クラウド内のデータを暗号化することによって、万一のデータ漏えいに備えるというスタンスです。
クラウド環境向けのセキュリティソリューションは、利用者側だけでなく事業者側でも導入可能となっているため、今後はこういったセキュリティソリューションをホスティング事業者が導入するケースも増えてくると思われます。とはいえ、ホスティングサービスは2000年代初期にハッキングを受けるケースが多かったため、早期からセキュリティへの意識が高いことも事実です。最近では、ホスティング事業者が「PCI DSS」などといった個人情報や機密データの保護に関わる認証を取得するケースが増えています。PCI DSSはセキュリティ基準の中でも非常に高いセキュリティを認証するものです。
今後はさらに、ビジネスのミッションクリティカルな部分においてもクラウドサービスが活用されると思われます。クラウドサービスの利用を前提にホスティングサービスを利用する際には、まずホスティングサービス側と詳しい内容まで話し合うことをお勧めします。利用者が思う以上にセキュリティ対策が充実していることがわかるでしょう。