クラウドコンピューティング/ストレージセキュリティ プレゼンテーションタイトルがここに入る Eric A. Hibbard CTO Security & Privacy Hitachi Data Systems アジェンダ Japan SNIAとストレージセキュリティ SNIAとストレ ジセキ リティ 「クラウド」の理解 クラウドの性質、特徴、およびモデルの研究 クラウド内のセキュリティ クラウドに関する訴訟 最終的な結論 2 Japan SNIAとストレージセキュリティ 3 SNIAの概要 www snia org www.snia.org Japan ハードウェアとソフトウェアの世界全体の収益が約500~ ハ ドウェアとソフトウェアの世界全体の収益が約500~ 600億ドルに達するストレージ業界の声 1997年に非営利事業者団体として設立 米国サンフランシスコに本部を設置 オーストラリア/ニュージーランド、ブラジル、中国、欧州/ 中東/アフリカ、インド、日本、北米、および南アジアに拠点を 設置 コロラドと北京にテクノロジセンタを開設 教育、カンファレンス、仕様/標準、ソフトウェア、業界連合、ベス トプラクティス、plugfest、およびSNIA仕様の適合試験を中心に活動 Storage Networking World (SNW) カンファレンスをComputerworld/ IDG Enterpriseと共同で開催 協調環境を提供するとともに、ストレージおよび情報管理業界の標準 協 境を提供す も ジ び情報管 業 標準 化、教育、およびイノベーションの発展に世界規模で貢献 4 SNIAの機能 機 Japan 新しい テクノロジ 消費者と チャネル 業界全体の協調を通した 会員の価値 • ニーズの特定 • 技術内容の構築 • 市場全体の底上げ • 実装の参照 ベンダ 標準 顧客の価値 • テクノロジ教育 • ソリューション認識 ソリュ ション認識 • スキル認証 • 製品認証 技術作業部会(TWG) イニシアティブとフォーラム SNIA会員 5 ストレージセキュリティの焦点領域 Japan ストレージセキュリティには、物理的、技術的、および管理的コントロー ルだけでなく、次のようなストレージシステムおよびソリューションに関 だけ なく 次 うな ジシ ムお び シ 関 連した予防的、発見的、および修正的コントロールが関係している ホストコントローラ、ホストアダプタ、 ダプ またはホストバスアダプタ(HBA)を 搭載したコンピュータ ストレージネットワークインタフェース ストレ ジネットワ クインタフェ ス を備えたストレージアレイ CAS 継続的データ保護(CDP) 長期保管(オンラインとオフライン) ストレージレプリケーション(DR/BCを含む) ストレージネットワークスイッチ 媒体のサニタイズ ストレージネットワーク用の ストレ ジネ トワ ク用の ケーブル設備 仮想化 ストレージ管理 バックアップシステム(テープ、 バ ク プシ ム( プ 仮想テープ、ディスク) ストレージネットワークゲートウェイ 自己暗号化媒体(ハードディスクドライブ、 ソリッドステートディスクなど) クラウドストレ ジ クラウドストレージ 特化されたサービス(暗号化、圧縮、および 重複排除) NAS 6 SNIAのストレージセキュリティ Japan ビジョン(SNIAが描く未来像): SNIAのセキュリティビジョンは、今日のストレージエコシステムを構成する多種多様なテク ノロジと標準の運用有効性を維持しながら、情報保証を強化し、セキュリティ投資を最適化 することである。 ミッション(SNIAが実現しようとしていること): SNIAのセキュリティミッションは、情報を保護して保全性を確保するために、ストレージ ネ トワ キングテクノロジの設計 使用 および管理に対し 教育的 技術的 および工 ネットワーキングテクノロジの設計、使用、および管理に対し、教育的、技術的、および工 学的保証を与えることである。 これには、標準の策定、教育セミナー、ベストプラクティスの文書化、カンファレンス、ビ デオ、およびSNIAのセキュリティビジョンを高めるためのその他の活動への参加が含まれる。 目標 その1: SNIA会員による情報保証とそのストレージエコシステムへの適用方法の理解を支援 する。 する その2: 適切なセキュリティメカニズムを特定してすべてのSNIA技術仕様に組み込む。 その3: データ/情報セキュリティの広く認められた専門家/権威になる努力をし続ける。 7 SNIAのセキュリティ組織 Japan SNIAセキ リティ技術作業部会(TWG) SNIAセキュリティ技術作業部会(TWG) テーマ:ストレージネットワーキングに関する要件、 ア キテクチ アーキテクチャ、インタフェース、プラクティス、 インタフ ス プラクテ ス テクノロジ、教材、および用語集 http://www snia org/tech activities/workgroups/security/ http://www.snia.org/tech_activities/workgroups/security/ Storage Security Industry Forum (SSIF) ジ キ 関する教材 顧客 テーマ:ストレージセキュリティに関する教材、顧客 ニーズ、ホワイトペーパー、およびベストプラクティス http://www snia org/cloud http://www.snia.org/cloud 8 ストレージセキュリティの構成要素 ストレージ Japan ストレージシステムセキュリティ(SSS) ストレ ジシステムセキ リティ(SSS) – 基礎と なる/組み込まれたシステムとアプリケーション だけでなく、ITおよびセキュリティインフラスト ラクチャ(外部認証サービス、集中管理されたロ ギング ファイアウォ ルなど)との統合の保護 ギング、ファイアウォールなど)との統合の保護 ネットワーキング セキュリティ ストレージリソース管理(SRM) – データを保存お よび検索するためのストレージリソースの安全 なプロビジョン、監視、調整、再割り当て、お よびコントロール(つまり、ストレージ管理の すべて) DAR 転送中のデータ(DIF) – ストレージネットワーク、 LAN およびWAN上でデータを転送する場合の LAN、およびWAN上でデータを転送する場合の データの機密性、保全性、および可用性の保護 DIF SRM 保存中のデータ(DAR) – サーバ、ストレージアレ イ、NASアプライアンス、テープライブラリ、 およびその他の媒体(具体的には、取り外し可 能な媒体)に保存されているデータの機密性、 保全性、および可用性の保護 SSS 9 SNIAのストレージセキュリティ活動 Japan 2002年に最初のセキュリティサミットを開催 Storage Networking World (SNW) カンファレンスとSNW-Europe カンファレンス用のセキュリティ コンプライアンス および法 カンファレンス用のセキュリティ、コンプライアンス、および法 的チュートリアル ストレ ジセキュリティ知識体系(ホワイトペ パ 、レポ ストレージセキュリティ知識体系(ホワイトペーパー レポート ト、 およびチュートリアル)を構築 地域的なセキュリティの課題に対し、記事や講演者により支部を サポート ストレージセキュリティのSNIA技術者認定 ト ジ キ リティの 技術者認定 10 SNIAのセキュリティ関連資料 Japan Storage Networking Industry Association Association、技術提案書、 技術提案書 Storage Security Best Current Practices (BCPs) v2.1.0、 http://www.snia.org/forums/ssif/programs/best_practices/ Storage Networking Industry Association、 Introduction to Storage Security – Version 2.0、2009年、http://www.snia.org/forums/ssif/ Storage Networking St N t ki Industry I d t Association、 A i ti St Storage Security: S it The SNIA Technical Tutorial、2004年、 http://www.snia.org/education/storage_networking_primer/storage_ security/ Storage Networking Industry Association、 Storage Security Professional’s Professional s Guide to Skills and Knowledge – Version 1 1.0、 0 2008年、 2008年 http://www.snia.org/forums/ssif/ 11 Japan 「クラウド」の理解 12 「クラウド」にまつわる混乱 混 Japan クラウドという用語はインターネットの比喩からきている という用語はインタ ネットの比喩からきている 「クラウド」や「クラウドコンピューティング」という 用語の明確なまたは有力な定義は存在しない 用語にはユーザの定義が反映される Forrester:「初期の熱心なマーケティング担当者によるクラウド という用語の過度の使用が市場を混乱させている。」 Forresterによる「クラウド」の解釈: サービスとしてのソフトウェア(SaaS) インフラストラクチャサービス インターネット上の何処かにあるアプリケーション 何処 あ リ 13 「クラウド」とは何か Japan 今日のIT関連の話題でよく使用される 「クラウド」という用語には次の2つがある** クラウドサービス クラウドコンピューティング ラウ ィ 近い将来... クラウドインフラストラクチャ クラウドストレ ジ クラウドストレージ ** (IDC: Storage in the Cloud What, How, and Who? October, 2008) 14 クラウドコンピューティング ではないもの Japan グリッドコンピュ ティング 一般的なタスクに適用される グリッドコンピューティング: 般的なタスクに適用される 複数の管理領域からのコンピュータリソースを組み合わせたもの ユーティリティコンピューティング: 従来の公益事業のような 従量課金サービスとしてコンピューティングリソース(コン ピュータやストレージなど) をパッケージ化したもの クラウドコンピューティングとは クラウドコンピュ ティングとは クラウドコンピューティング グリッドコンピューティング (ユーティリティコンピューティング N) クラウドコンピューティングはコンピュートユーティリティのグリッドで ある 15 クラウドサービス Japan インターネット上でリアルタイムに提供および利用される インタ ネ ト上でリアルタイムに提供および利用される 個人および法人向けの製品、サービス、およびソリュー ション コンテンツ配信 コラボレ ションツ ル コラボレーションツール レコードアーカイビング 電子商取引 ビジネス分析 例:Googleマップ、クレジットカード処理とPayPal、 Googleマップ クレジットカード処理とPayPal 米国郵政公社 16 クラウドコンピューティング Japan インターネット経由でさまざまなIT製品、サービス、およ インタ ネット経由でさまざまなIT製品 サ ビス およ びソリューションをリアルタイムに提供可能にする新しい ITの開発、導入、および提供モデル ストレージ容量またはサービス処理リソース 例:企業向けのストレージやサーバをオンデマンドで提供している AmazonやIBMなどの企業 主な用途:非基幹アプリケーションのためのユーティリティコンピュー ティング 例:アプリケーション開発、データマイニングアプリケーションなど **(IDC: Storage in the Cloud What, How, and Who? October, 2008) 17 クラウド標準に関する活動(1) Japan Cloud Computing Interoperability Forum(CCIF)は、Unified は Unified Cloud Interfaces(UCI)とAPIを開発している Cloud Security Alliance(CSA)は、クラウドコンピュ は クラウドコンピューティング内部 ティング内部 のセキュリティを保証するベストプラクティスの使用を促進している Distributed Management g Task Force(DMTF)は、クラウドサービス の利用者/開発者とクラウドサービスプロバイダ間の管理インタ フェースに関する仕様を策定している Distributed Application Platforms and Services(DAPS)のISO/IEC JTC 1 小委員会 38(SC38)は、Webサービス、SOA、およびクラウ ドコンピューティングを中心に活動している 18 クラウド標準に関する活動(2) Japan Object Management Group(OMG)は、標準の開発と同期させなが は 標準の開発と同期させなが ら、クラウドコンピューティングに関する統一用語集を作成している Open Cloud Consortium(OCC)は、互換性標準を策定する目的で は 互換性標準を策定する目的で クラウド間インタフェースの作成を調査している Open p Grid Forum(OGF)は、Open p Cloud Computing p g Interface (OCCI)を開発している Storage Networking Industry Association(SNIA)は、Cloud Data Management Interface(CDMI)仕様を開発している 19 クラウドの複雑さ 複 Japan さまざまな変動要因 開発中の実現テクノロジ 市場で提供されている様々なものが「クラウド」と呼ばれている プライベートクラウドとパブリッククラウド 統一標準の不足、専用/独自仕様のインタフェース、「エンタープライズレベ ルの SLAの不足(災害復旧など) ルの」SLAの不足(災害復旧など) 「クラウド」 ユーティリティ 安価なITリソースと管理という誤解 クラウドの知識や経験のある人材がほとんどいない時期に「クラウドのスペ シャリスト」として誤って伝えられた市場調査会社 多くの意味合いを含むクラウドの使用モデル 技術的、経済的、および法的 クラウド領域にはITスペシャリストがほとんどいない ハイプカーブは明白であり、「クラウド」熱を冷ます必要がある 20 Japan クラウドの 性質、特性、お び デ 性質、特性、およびモデルの研究 研究 21 クラウドの主な性質 (すべてを満たす必要がある) Japan オフサイト サードパーティプロバイダによる オフサイト、サ ドパ ティプロバイダによる —「クラウド内の」実行(オフサイト、 —「クラウド内の」実行(オフサイト 場所にとらわれない) インターネット経由でアクセスされる — 標準ベースの汎用ネットワークアクセスだが、 セキュリティやサ ビス品質付加価値を排除しない セキュリティやサービス品質付加価値を排除しない 「実装」のために必要なITスキルは最小限またはゼロ — オンライン、簡略化されたサー ビス仕様、およびオンプレミスシステムの導入に時間がかからない 自動プロビジョニング — セルフサービス要求、ほぼリアルタイムの導入(デプロイメン セルフサ ビス要求 ほぼリアルタイムの導入(デプロイメン ト)、動的かつきめ細かなスケーリング きめ細かな料金設定 — 使用ベースの料金設定が可能だが、一部のプロバイダは長期の料 金契約でこのきめ細かな料金設定を覆い隠している ユーザインタフェース — ブラウザやそれに代わるもの WebサービスAPI経由のシステムインタフェース — クラウドサービスにアクセスした り クラウドサ ビス同士を統合するための標準ベ スのフレ ムワ クの提供 り、クラウドサービス同士を統合するための標準ベースのフレームワークの提供 共有リソース/共通バージョン — サービス内部の設定オプション経由で、共有サービス の「周辺」をある程度カスタマイズできる 出典:IDC on The Cloud(http://blogs.idc.com/ie/?p=189) 22 NISTクラウドコンピューティング の特性 Japan オンデマンドセルフサービス: オンデマンドセルフサ ビス:利用者は、コンピュ 利用者は コンピューティング能力を必要に応じて自動 ティング能力を必要に応じて自動 的に、サービスプロバイダの人員の関与なしに、自らプロビジョニングできる。 幅広いネットワークアクセス:サービスはネットワーク経由で標準的な方法で利用可能 であり、これにより異なるタイプのクライアント(シンクライアントやファットクライ であり これにより異なるタイプのクライアント(シンクライアントやファットクライ アントプラットフォーム)から利用できる。 リソースプーリング:マルチテナントモデルを使用して複数の利用者にサービスを提供 するためにプロバイダのコンピュ ティングリソ スはプ ルされている。それらの物 するためにプロバイダのコンピューティングリソースはプールされている それらの物 理リソース、もしくは仮想リソースは利用者の要求に応じて動的に割り当て、または再 割り当てが行われる。 サービスを迅速かつ弾力的に 場合によっては自動的に プロビジョニ 迅速な弾力性:サ ビスを迅速かつ弾力的に、場合によっては自動的に、プロビジョニ ングしてすばやくスケールアウトしたり、迅速に解放してすばやくスケールインしたり することができる。 測定されたサービス: 測定されたサ ビス:クラウドシステムがサ クラウドシステムがサービスタイプに適した抽象化レベルで測定 ビスタイプに適した抽象化レベルで測定 機能を活用し、リソースの使用を自動的に制御して最適化する。 ※NIST: National Institute of Standard and Technologyの略。米国の国立標準技術研究所のこと 23 NISTクラウドサービスモデル Japan クラウドサ ビス型ソフトウェア(SaaS):利用者は、クラウドイン クラウドサービス型ソフトウェア( 利用者は クラウドイン フラストラクチャ上で稼働しているプロバイダのアプリケーションを 利用することができる。 クラウドサービス型プラットフォーム(PaaS):利用者は、プロバイ ダが提供するプログラミング言語やツールを使用して作成または入手 したアプリケ ションをクラウドインフラストラクチャ上に導入して したアプリケーションをクラウドインフラストラクチャ上に導入して 利用できる。 クラウドサービス型インフラストラクチャ(IaaS):利用者には、処 理能力やストレージ、ネットワーク、その他の基本的なコンピュー ティングリソースなど、その上でオペレーティングシステムやアプリ ケ ションを含む任意のソフトウェアを導入して実行できる環境が提 ケーションを含む任意のソフトウェアを導入して実行できる環境が提 供される。 24 NISTクラウド導入モデル Japan プライベ トクラウド このクラウドインフラストラクチャは、特定 プライベートクラウド: このクラウドインフラストラクチャは 特定 の組織専用に運用される。その組織によって運用される場合もあれ ば、サードパーティによって運用される場合もあり、組織内に設置さ れる場合もあれば 外部にある場合もある れる場合もあれば、外部にある場合もある。 パブリッククラウド:このクラウドインフラストラクチャは、不特定 多数の人々が、あるいは大きな業界団体レベルで利用できる。このク 多数の人々が あるいは大きな業界団体レベルで利用できる このク ラウドは、クラウドサービスを販売する組織が所有する。 :このクラウドインフラストラクチャは それ ハイブリッドクラウド:このクラウドインフラストラクチャは、それ ぞれ独立しているが、標準的な技術や独自の技術でデータやアプリ ケーションのやり取りができる(例 クラウドバーストによるクラウ ド間の負荷分散など) 2種類以上のクラウド形態(プライベート、コ 2種類以上のクラウド形態(プライベ ト コ ミュニティ、またはパブリック)を組み合わせたものである。 注:NISTは、あまり一般的ではないためにここでは省略したコミュニティクラウドモデルも定義している。 25 NISTクラウドビュー Japan サービスとして のソフトウェア サービスとして のプラット フォーム パブリッ ック クラウ ウド ハイブリッ ッド クラウ ウド コミュニテ ティ クラウ ウド プライベー ート クラウ ウド サービスとして のインフラ ストラクチャ 導入モデル 26 普及を阻む要因 Japan 安定性に対する懸念 スター選手があまりいない 参考事例となる利用企業が少ない セキュリティに対する懸念 リ ィ す 懸 ISVの商用サポートが不十分 デ タの地理的な所在が不明 データの地理的な所在が不明 技術の習得が必要 企業にとって使いにくい 27 Japan クラウド内のセキュリティ 28 クラウドセキュリティとは何か? Japan クラウド内のセキュリティ:クラウドコンピューティング環境に展開さ クラウド内のセキュリティ クラウドコンピュ ティング環境に展開さ れる運用機能(スタックのアップ/ダウン)としてインスタンス化され たセキュリティ(製品、ソリューション、テクノロジ)。仮想ファイア ウ ウォール、IDS/IPS、AV、DLP、DoS/DDoS、IAMなどの戦略的ソ ル IDS/IPS AV DLP D S/DD S IAMなどの戦略的ソ リューションを想定している。 クラウドに対するセキュリティ:クラウドコンピューティングプロバイ クラウドに対するセキュリティ:クラウドコンピュ ティングプロバイ ダから提供される他のクラウドコンピューティングサービスを保護する ことに特化されたセキュリティサービス(次の項目を参照)。クラウド ベ スのスパム対策 DDoS DLP WAFなどを想定している ベースのスパム対策、DDoS、DLP、WAFなどを想定している。 クラウドによるセキュリティ:クラウド内のセキュリティ」で説明した 機能に依存する場合が多い「クラウドに対するセキュリティ」プロバイ ダが利用しているクラウドコンピューティングサービスから提供される セキュリティサービス。基本的には、今日クラウドと名乗っているすべ てのサービスを想定している。 てのサービスを想定している 29 クラウドに対して最もよく抱く セキ リティ上の懸念 セキュリティ上の懸念 Japan クラウドサービスが次の課題にどのように対応するかを クラウドサ ビスが次の課題にどのように対応するかを 理解する • 機密性 保全性 および可用性の確保 機密性、保全性、および可用性の確保 • 身元確認とアクセス制御の適切なレベルの維持 • 適切な監査およびコンプライアンス能力の保証 制御不能に対処する クラウドサービスプロバイダを信用する 30 クラウドのセキュリティ (または危険) 対応が必要な情報保証に関する 課題: 機密性 保全性 可用性 所有権 信憑性 実用性 プライバシー 許可された使用 否認防止 Japan データ損失/漏えい対策がさらに 重要になる データ集約によってリスク方程式 が変化する 法的強制力やコンプライアンスに よりさらなる精査が要求される り な 精 要求 強制退去とデータの破棄について 注意深く検討する必要がある インシデント管理が非常に複雑に なる 31 Cloud Security y Alliance ((CSA)) Japan CSAは、クラウドコンピューティングのセキュリティ保証を実 CSAは クラウドコンピュ ティングのセキュリティ保証を実 現するためのベストプラクティスの利用を促進するために結成 された非営利組織である CSAの目的: 消費者とプロバイダのクラウドコンピューティングに必要なセキュリティ 要件と保証の証明に関する共通認識を高める。 クラウドコンピューティングセキュリティに関するベストプラクティスの 独自の研究を促進する 独自の研究を促進する。 クラウドコンピューティングとクラウドセキュリティソリューションの適 切な使用に関する啓もう活動や教育プログラムを立ち上げる。 クラウドセキュリティ保証に関する課題やガイダンスのコンセンサスリス トを作成する。 32 考えられるセキュリティ上の メリット Japan デ タの集中管理(ある程度) データの集中管理(ある程度) データとアプリケーションの区分け ログ記録/説明責任の改善 資産導 資産導入イメージの標準化 標準 攻撃に対する回復力の向上とインシデント対応の合理化 監査とコンプライアンスのさらなる合理化 プロセスに対する可視性の向上 アプリケーションやサービスなどの導入の迅速化 33 Japan クラウドに関する訴訟 34 プライバシーとクラウド Japan 法律に違反してクラウド内部のインターネット上を機密情 法律に違反してクラウド内部のインタ ネ ト上を機密情 報が移動する可能性がある クラウド全体でのデータ「消失」:データの保持やメディ ク ウド全体 デ タ「消失 デ タ 保持やメデ アのデータ消去は予測不能である データ保護とセキュリティは契約条項とサービス内容合意 書に依存する データが国境を越える可能性がある(場合によっては複数 の管轄区域に及ぶ) 35 デジタル証拠とクラウド Japan さまざまなソースからの法廷データの収集が深刻な問題に さまざまなソ スからの法廷デ タの収集が深刻な問題に なる可能性がある クラウドサービスのリアルタイム性によってデジタル証拠 ク ウドサ ビ タイム性 よ デジタ 証拠 が減ったり、その証拠としての価値が低下したりする場合 がある データの保全性や信憑性が疑わしい場合がある(攻撃に対 する保護が不適切な場合など) クラウド内部で発生した軽率な行為の(陪審員に対する) 説明が非常に困難な可能性がある 36 eDiscoveryとクラウド y Japan ビジネスプロセスはクラウド内部の数多くの要素(複数の 利用者やサプライヤ)に依存する可能性がある データ分類やレコード管理の手法が一段と重要になるが、 デ タ分類や ド管理 手法が 段と重要 なるが 使用される可能性は低い 組織は、事業単位で直接クラウドが利用されることから、 関連データを識別する新たな課題に直面する可能性がある 関連データが多数の第三者(サプライヤ間)の管理下にあ る可能性がある 37 Japan 最終的な結論 38 要約 Japan 今日のほとんどのクラウドサービスに対して、企業内部 今日のほとんどのクラウドサ ビスに対して 企業内部 で提供されているセキュリティを満たす、あるいはそれ を上回るソリューションを設計することは を上回るソリュ ションを設計することは可能である が、その運営は実現できない可能性がある。 さまざまなクラウドの価値提案(俊敏性、低コスト、 さまざまなクラウドの価値提案(俊敏性 低コスト スケーラビリティ、セキュリティ)を1つにまとめて、 この4つの提案すべてを同時にかつ均等に実現可能である かのように示唆していることがよくある。ほとんどの場 合、トレードオフが付き物であることから、これはごま かしにすぎない。 かしにすぎない 39 クラウドセキュリティのヒント Japan クラウドベースのセキュリティは既存のICTセキュリティ クラウドベ スのセキ リティは既存のICTセキ リティ の代用品ではない...防御について深く検討すること 利用規約を理解する 期待できるのはせいぜい の程度 利用規約を理解する...期待できるのはせいぜいこの程度 他人(政府、競争相手、または民事係争者)に見られたく ないものはクラウド内に置かない クラウド内に利用者データを配置することによって法律違 ラウ 利用者 を 置す 法律違 反のリスクにさらされる可能性がある...どこにあるか? 40 最終的な結論 Japan セキュリティ上の問題と法的な問題は、クラウドコン セキ リティ上の問題と法的な問題は クラウドコン ピューティングの使用を選択した組織の課題として残る が、このような問題の 部が解決される明るい兆しが見 が、このような問題の一部が解決される明るい兆しが見 られる。 ただし、リスクを理解し、慎重にクラウドに参加する ただし リスクを理解し 慎重にクラウドに参加する (つまり、適切な契約条項と条件の組み合わせだけでな く、検証可能なリスク対策を提供するクラウドサービス 、検証 能 リ 策を提供す ラウ プロバイダを選択する)ことが非常に重要である。 41 クラウドセキュリティに関する 情報源 Japan SNIA Cloud Storage Initiative、 Initiative http://www.snia.org/cloud http://www snia org/cloud Cloud Security Alliance(CSA)、Security Guidance for Critical Areas of Focus in Cloud Computing、Top Threats to Cloud Computing、 http://www.cloudsecurityalliance.org European Network and information Security Agency(ENISA)、 Cloud Computing – Benefits, risks and recommendations for information security、http://www.enisa.europa.eu/ Association(ISACA) Cloud Information Systems Audit and Control Association(ISACA)、Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives、http://www.isaca.org Cloud Security and Privacy、Mather、Kumaraswamy、Latif、2009、 O’Reilly Publishing、ISBN: 978-0-596-80276-9 42 Japan ご質問やコメントは以下のアドレスでも受付いたします。 eric.hibbard@hds.com ご清聴あ が うござ ご清聴ありがとうございました 43 執筆者/プレゼンタについて Japan Eric Hibbard氏は、Hitachi Hibbard氏は Hitachi Data SystemsのCTO Security and Privacyで、ストレ Privacyで ストレージセキュリティ戦略 ジセキュリティ戦略、新しいス 新しいス トレージセキュリティアーキテクチャの特定と定義、また新しいストレージネットワーキングインフラストラク チャの設計を担当している。 彼は、政府機関、学界、業界で30年以上の経験を有する情報通信技術(ICT)分野の セキュリティの高度な専門家である。 Hibbard氏は、正式なストレージとセキュリティの標準化に取り組んでいるだけでなく、データのセキュリティと 保護に関する組織にも参加している。 彼は、INCITS/CS1 Cyber Securityの国際代表、米法曹協会の科学技術法部 門のE-Discovery and Digital Evidence(EDDE)委員会の副議長、IEEE Information Assurance Standards Committee(IASC)の副議長 IEEE P1619 Security in Storage Work Group(SISWG)の副議長 Committee(IASC)の副議長、IEEE Group(SISWG)の副議長、および および Storage Networking Industry Association(SNIA)Security Technical Working Groupの議長を務めている。 また、 INCITS/T11、Information Systems Audit and Control Association(ISACA)、Information Systems Security Association(ISSA)、Trusted Computing Group、IEEE-USA Critical Infrastructure Protection Committee (C C) (CIPC)、IETF、W3C、Trusted C C Computing G Group、およびDistributed および Management Task Force(DMTF)にも ( )にも 関与している。 Hibbard氏は、現在、International Information Systems Security Certification Consortium (ISC)2 CISSP認定だけで なく ISSAP ISSMP およびISSEPの分野限定の認定も受けている また ISACA Certified なく、ISSAP、ISSMP、およびISSEPの分野限定の認定も受けている。また、ISACA C tifi d Information I f ti Systems Auditor(CISA)とSNIA Certified Storage Engineer(SCSE)の認定も受けている。 彼は、コンピュータ サイエンスとデータ通信における認証に関する学士を持っている。 44
© Copyright 2024 Paperzz