クラウドコンピューティング/ストレージセキュリティ

クラウドコンピューティング/ストレージセキュリティ
プレゼンテーションタイトルがここに入る
Eric A. Hibbard
CTO Security & Privacy
Hitachi Data Systems
アジェンダ
Japan
SNIAとストレージセキュリティ
SNIAとストレ
ジセキ リティ
「クラウド」の理解
クラウドの性質、特徴、およびモデルの研究
クラウド内のセキュリティ
クラウドに関する訴訟
最終的な結論
2
Japan
SNIAとストレージセキュリティ
3
SNIAの概要
www snia org
www.snia.org
Japan
ハードウェアとソフトウェアの世界全体の収益が約500~
ハ
ドウェアとソフトウェアの世界全体の収益が約500~
600億ドルに達するストレージ業界の声
1997年に非営利事業者団体として設立
米国サンフランシスコに本部を設置
オーストラリア/ニュージーランド、ブラジル、中国、欧州/
中東/アフリカ、インド、日本、北米、および南アジアに拠点を
設置
コロラドと北京にテクノロジセンタを開設
教育、カンファレンス、仕様/標準、ソフトウェア、業界連合、ベス
トプラクティス、plugfest、およびSNIA仕様の適合試験を中心に活動
Storage Networking World (SNW) カンファレンスをComputerworld/
IDG Enterpriseと共同で開催
協調環境を提供するとともに、ストレージおよび情報管理業界の標準
協
境を提供す
も
ジ
び情報管 業
標準
化、教育、およびイノベーションの発展に世界規模で貢献
4
SNIAの機能
機
Japan
新しい
テクノロジ
消費者と
チャネル
業界全体の協調を通した
会員の価値
• ニーズの特定
• 技術内容の構築
• 市場全体の底上げ
• 実装の参照
ベンダ
標準
顧客の価値
• テクノロジ教育
• ソリューション認識
ソリュ ション認識
• スキル認証
• 製品認証
技術作業部会(TWG)
イニシアティブとフォーラム
SNIA会員
5
ストレージセキュリティの焦点領域
Japan
ストレージセキュリティには、物理的、技術的、および管理的コントロー
ルだけでなく、次のようなストレージシステムおよびソリューションに関
だけ なく 次
うな
ジシ
ムお び
シ
関
連した予防的、発見的、および修正的コントロールが関係している
ホストコントローラ、ホストアダプタ、
ダプ
またはホストバスアダプタ(HBA)を
搭載したコンピュータ
ストレージネットワークインタフェース
ストレ
ジネットワ クインタフェ ス
を備えたストレージアレイ
CAS
継続的データ保護(CDP)
長期保管(オンラインとオフライン)
ストレージレプリケーション(DR/BCを含む)
ストレージネットワークスイッチ
媒体のサニタイズ
ストレージネットワーク用の
ストレ
ジネ トワ ク用の
ケーブル設備
仮想化
ストレージ管理
バックアップシステム(テープ、
バ
ク
プシ
ム(
プ
仮想テープ、ディスク)
ストレージネットワークゲートウェイ
自己暗号化媒体(ハードディスクドライブ、
ソリッドステートディスクなど)
クラウドストレ ジ
クラウドストレージ
特化されたサービス(暗号化、圧縮、および
重複排除)
NAS
6
SNIAのストレージセキュリティ
Japan
ビジョン(SNIAが描く未来像):
SNIAのセキュリティビジョンは、今日のストレージエコシステムを構成する多種多様なテク
ノロジと標準の運用有効性を維持しながら、情報保証を強化し、セキュリティ投資を最適化
することである。
ミッション(SNIAが実現しようとしていること):
SNIAのセキュリティミッションは、情報を保護して保全性を確保するために、ストレージ
ネ トワ キングテクノロジの設計 使用 および管理に対し 教育的 技術的 および工
ネットワーキングテクノロジの設計、使用、および管理に対し、教育的、技術的、および工
学的保証を与えることである。
これには、標準の策定、教育セミナー、ベストプラクティスの文書化、カンファレンス、ビ
デオ、およびSNIAのセキュリティビジョンを高めるためのその他の活動への参加が含まれる。
目標
その1: SNIA会員による情報保証とそのストレージエコシステムへの適用方法の理解を支援
する。
する
その2: 適切なセキュリティメカニズムを特定してすべてのSNIA技術仕様に組み込む。
その3: データ/情報セキュリティの広く認められた専門家/権威になる努力をし続ける。
7
SNIAのセキュリティ組織
Japan
SNIAセキ リティ技術作業部会(TWG)
SNIAセキュリティ技術作業部会(TWG)
テーマ:ストレージネットワーキングに関する要件、
ア キテクチ
アーキテクチャ、インタフェース、プラクティス、
インタフ
ス プラクテ ス
テクノロジ、教材、および用語集
http://www snia org/tech activities/workgroups/security/
http://www.snia.org/tech_activities/workgroups/security/
Storage Security Industry Forum (SSIF)
ジ キ
関する教材 顧客
テーマ:ストレージセキュリティに関する教材、顧客
ニーズ、ホワイトペーパー、およびベストプラクティス
http://www snia org/cloud
http://www.snia.org/cloud
8
ストレージセキュリティの構成要素
ストレージ
Japan
ストレージシステムセキュリティ(SSS)
ストレ
ジシステムセキ リティ(SSS) – 基礎と
なる/組み込まれたシステムとアプリケーション
だけでなく、ITおよびセキュリティインフラスト
ラクチャ(外部認証サービス、集中管理されたロ
ギング ファイアウォ ルなど)との統合の保護
ギング、ファイアウォールなど)との統合の保護
ネットワーキング
セキュリティ
ストレージリソース管理(SRM) – データを保存お
よび検索するためのストレージリソースの安全
なプロビジョン、監視、調整、再割り当て、お
よびコントロール(つまり、ストレージ管理の
すべて)
DAR
転送中のデータ(DIF) – ストレージネットワーク、
LAN およびWAN上でデータを転送する場合の
LAN、およびWAN上でデータを転送する場合の
データの機密性、保全性、および可用性の保護
DIF
SRM
保存中のデータ(DAR) – サーバ、ストレージアレ
イ、NASアプライアンス、テープライブラリ、
およびその他の媒体(具体的には、取り外し可
能な媒体)に保存されているデータの機密性、
保全性、および可用性の保護
SSS
9
SNIAのストレージセキュリティ活動
Japan
2002年に最初のセキュリティサミットを開催
Storage Networking World (SNW) カンファレンスとSNW-Europe
カンファレンス用のセキュリティ コンプライアンス および法
カンファレンス用のセキュリティ、コンプライアンス、および法
的チュートリアル
ストレ ジセキュリティ知識体系(ホワイトペ パ 、レポ
ストレージセキュリティ知識体系(ホワイトペーパー
レポート
ト、
およびチュートリアル)を構築
地域的なセキュリティの課題に対し、記事や講演者により支部を
サポート
ストレージセキュリティのSNIA技術者認定
ト
ジ キ リティの
技術者認定
10
SNIAのセキュリティ関連資料
Japan
Storage Networking Industry Association
Association、技術提案書、
技術提案書
Storage Security Best Current Practices (BCPs) v2.1.0、
http://www.snia.org/forums/ssif/programs/best_practices/
Storage Networking Industry Association、 Introduction to Storage
Security – Version 2.0、2009年、http://www.snia.org/forums/ssif/
Storage Networking
St
N t
ki Industry
I d t Association、
A
i ti
St
Storage
Security:
S
it
The SNIA Technical Tutorial、2004年、
http://www.snia.org/education/storage_networking_primer/storage_
security/
Storage Networking Industry Association、 Storage Security
Professional’s
Professional
s Guide to Skills and Knowledge – Version 1
1.0、
0 2008年、
2008年
http://www.snia.org/forums/ssif/
11
Japan
「クラウド」の理解
12
「クラウド」にまつわる混乱
混
Japan
クラウドという用語はインターネットの比喩からきている
という用語はインタ ネットの比喩からきている
「クラウド」や「クラウドコンピューティング」という
用語の明確なまたは有力な定義は存在しない
用語にはユーザの定義が反映される
Forrester:「初期の熱心なマーケティング担当者によるクラウド
という用語の過度の使用が市場を混乱させている。」
Forresterによる「クラウド」の解釈:
サービスとしてのソフトウェア(SaaS)
インフラストラクチャサービス
インターネット上の何処かにあるアプリケーション
何処
あ
リ
13
「クラウド」とは何か
Japan
今日のIT関連の話題でよく使用される
「クラウド」という用語には次の2つがある**
クラウドサービス
クラウドコンピューティング
ラウ
ィ
近い将来...
クラウドインフラストラクチャ
クラウドストレ ジ
クラウドストレージ
** (IDC: Storage in the Cloud What, How, and Who? October, 2008)
14
クラウドコンピューティング
ではないもの
Japan
グリッドコンピュ ティング 一般的なタスクに適用される
グリッドコンピューティング:
般的なタスクに適用される
複数の管理領域からのコンピュータリソースを組み合わせたもの
ユーティリティコンピューティング: 従来の公益事業のような
従量課金サービスとしてコンピューティングリソース(コン
ピュータやストレージなど) をパッケージ化したもの
クラウドコンピューティングとは
クラウドコンピュ ティングとは
クラウドコンピューティング  グリッドコンピューティング 
(ユーティリティコンピューティング  N)
クラウドコンピューティングはコンピュートユーティリティのグリッドで
ある
15
クラウドサービス
Japan
インターネット上でリアルタイムに提供および利用される
インタ
ネ ト上でリアルタイムに提供および利用される
個人および法人向けの製品、サービス、およびソリュー
ション
コンテンツ配信
コラボレ ションツ ル
コラボレーションツール
レコードアーカイビング
電子商取引
ビジネス分析
例:Googleマップ、クレジットカード処理とPayPal、
Googleマップ クレジットカード処理とPayPal
米国郵政公社
16
クラウドコンピューティング
Japan
インターネット経由でさまざまなIT製品、サービス、およ
インタ
ネット経由でさまざまなIT製品 サ ビス およ
びソリューションをリアルタイムに提供可能にする新しい
ITの開発、導入、および提供モデル
ストレージ容量またはサービス処理リソース
例:企業向けのストレージやサーバをオンデマンドで提供している
AmazonやIBMなどの企業
主な用途:非基幹アプリケーションのためのユーティリティコンピュー
ティング
例:アプリケーション開発、データマイニングアプリケーションなど
**(IDC: Storage in the Cloud What, How, and Who? October, 2008)
17
クラウド標準に関する活動(1)
Japan
Cloud Computing Interoperability Forum(CCIF)は、Unified
は Unified Cloud
Interfaces(UCI)とAPIを開発している
Cloud Security Alliance(CSA)は、クラウドコンピュ
は クラウドコンピューティング内部
ティング内部
のセキュリティを保証するベストプラクティスの使用を促進している
Distributed Management
g
Task Force(DMTF)は、クラウドサービス
の利用者/開発者とクラウドサービスプロバイダ間の管理インタ
フェースに関する仕様を策定している
Distributed Application Platforms and Services(DAPS)のISO/IEC
JTC 1 小委員会 38(SC38)は、Webサービス、SOA、およびクラウ
ドコンピューティングを中心に活動している
18
クラウド標準に関する活動(2)
Japan
Object Management Group(OMG)は、標準の開発と同期させなが
は 標準の開発と同期させなが
ら、クラウドコンピューティングに関する統一用語集を作成している
Open Cloud Consortium(OCC)は、互換性標準を策定する目的で
は 互換性標準を策定する目的で
クラウド間インタフェースの作成を調査している
Open
p Grid Forum(OGF)は、Open
p Cloud Computing
p
g Interface
(OCCI)を開発している
Storage Networking Industry Association(SNIA)は、Cloud Data
Management Interface(CDMI)仕様を開発している
19
クラウドの複雑さ
複
Japan
さまざまな変動要因
開発中の実現テクノロジ
市場で提供されている様々なものが「クラウド」と呼ばれている
プライベートクラウドとパブリッククラウド
統一標準の不足、専用/独自仕様のインタフェース、「エンタープライズレベ
ルの SLAの不足(災害復旧など)
ルの」SLAの不足(災害復旧など)
「クラウド」  ユーティリティ  安価なITリソースと管理という誤解
クラウドの知識や経験のある人材がほとんどいない時期に「クラウドのスペ
シャリスト」として誤って伝えられた市場調査会社
多くの意味合いを含むクラウドの使用モデル
技術的、経済的、および法的
クラウド領域にはITスペシャリストがほとんどいない
ハイプカーブは明白であり、「クラウド」熱を冷ます必要がある
20
Japan
クラウドの
性質、特性、お び デ
性質、特性、およびモデルの研究
研究
21
クラウドの主な性質
(すべてを満たす必要がある)
Japan
オフサイト サードパーティプロバイダによる
オフサイト、サ
ドパ ティプロバイダによる —「クラウド内の」実行(オフサイト、
—「クラウド内の」実行(オフサイト
場所にとらわれない)
インターネット経由でアクセスされる — 標準ベースの汎用ネットワークアクセスだが、
セキュリティやサ ビス品質付加価値を排除しない
セキュリティやサービス品質付加価値を排除しない
「実装」のために必要なITスキルは最小限またはゼロ — オンライン、簡略化されたサー
ビス仕様、およびオンプレミスシステムの導入に時間がかからない
自動プロビジョニング — セルフサービス要求、ほぼリアルタイムの導入(デプロイメン
セルフサ ビス要求 ほぼリアルタイムの導入(デプロイメン
ト)、動的かつきめ細かなスケーリング
きめ細かな料金設定 — 使用ベースの料金設定が可能だが、一部のプロバイダは長期の料
金契約でこのきめ細かな料金設定を覆い隠している
ユーザインタフェース — ブラウザやそれに代わるもの
WebサービスAPI経由のシステムインタフェース — クラウドサービスにアクセスした
り クラウドサ ビス同士を統合するための標準ベ スのフレ ムワ クの提供
り、クラウドサービス同士を統合するための標準ベースのフレームワークの提供
共有リソース/共通バージョン — サービス内部の設定オプション経由で、共有サービス
の「周辺」をある程度カスタマイズできる
出典:IDC on The Cloud(http://blogs.idc.com/ie/?p=189)
22
NISTクラウドコンピューティング
の特性
Japan
オンデマンドセルフサービス:
オンデマンドセルフサ
ビス:利用者は、コンピュ
利用者は コンピューティング能力を必要に応じて自動
ティング能力を必要に応じて自動
的に、サービスプロバイダの人員の関与なしに、自らプロビジョニングできる。
幅広いネットワークアクセス:サービスはネットワーク経由で標準的な方法で利用可能
であり、これにより異なるタイプのクライアント(シンクライアントやファットクライ
であり
これにより異なるタイプのクライアント(シンクライアントやファットクライ
アントプラットフォーム)から利用できる。
リソースプーリング:マルチテナントモデルを使用して複数の利用者にサービスを提供
するためにプロバイダのコンピュ ティングリソ スはプ ルされている。それらの物
するためにプロバイダのコンピューティングリソースはプールされている
それらの物
理リソース、もしくは仮想リソースは利用者の要求に応じて動的に割り当て、または再
割り当てが行われる。
サービスを迅速かつ弾力的に
場合によっては自動的に プロビジョニ
迅速な弾力性:サ
ビスを迅速かつ弾力的に、場合によっては自動的に、プロビジョニ
ングしてすばやくスケールアウトしたり、迅速に解放してすばやくスケールインしたり
することができる。
測定されたサービス:
測定されたサ
ビス:クラウドシステムがサ
クラウドシステムがサービスタイプに適した抽象化レベルで測定
ビスタイプに適した抽象化レベルで測定
機能を活用し、リソースの使用を自動的に制御して最適化する。
※NIST: National Institute of Standard and Technologyの略。米国の国立標準技術研究所のこと
23
NISTクラウドサービスモデル
Japan
クラウドサ ビス型ソフトウェア(SaaS):利用者は、クラウドイン
クラウドサービス型ソフトウェア(
利用者は クラウドイン
フラストラクチャ上で稼働しているプロバイダのアプリケーションを
利用することができる。
クラウドサービス型プラットフォーム(PaaS):利用者は、プロバイ
ダが提供するプログラミング言語やツールを使用して作成または入手
したアプリケ ションをクラウドインフラストラクチャ上に導入して
したアプリケーションをクラウドインフラストラクチャ上に導入して
利用できる。
クラウドサービス型インフラストラクチャ(IaaS):利用者には、処
理能力やストレージ、ネットワーク、その他の基本的なコンピュー
ティングリソースなど、その上でオペレーティングシステムやアプリ
ケ ションを含む任意のソフトウェアを導入して実行できる環境が提
ケーションを含む任意のソフトウェアを導入して実行できる環境が提
供される。
24
NISTクラウド導入モデル
Japan
プライベ トクラウド このクラウドインフラストラクチャは、特定
プライベートクラウド:
このクラウドインフラストラクチャは 特定
の組織専用に運用される。その組織によって運用される場合もあれ
ば、サードパーティによって運用される場合もあり、組織内に設置さ
れる場合もあれば 外部にある場合もある
れる場合もあれば、外部にある場合もある。
パブリッククラウド:このクラウドインフラストラクチャは、不特定
多数の人々が、あるいは大きな業界団体レベルで利用できる。このク
多数の人々が
あるいは大きな業界団体レベルで利用できる このク
ラウドは、クラウドサービスを販売する組織が所有する。
:このクラウドインフラストラクチャは それ
ハイブリッドクラウド:このクラウドインフラストラクチャは、それ
ぞれ独立しているが、標準的な技術や独自の技術でデータやアプリ
ケーションのやり取りができる(例 クラウドバーストによるクラウ
ド間の負荷分散など) 2種類以上のクラウド形態(プライベート、コ
2種類以上のクラウド形態(プライベ ト コ
ミュニティ、またはパブリック)を組み合わせたものである。
注:NISTは、あまり一般的ではないためにここでは省略したコミュニティクラウドモデルも定義している。
25
NISTクラウドビュー
Japan
サービスとして
のソフトウェア
サービスとして
のプラット
フォーム
パブリッ
ック
クラウ
ウド
ハイブリッ
ッド
クラウ
ウド
コミュニテ
ティ
クラウ
ウド
プライベー
ート
クラウ
ウド
サービスとして
のインフラ
ストラクチャ
導入モデル
26
普及を阻む要因
Japan
安定性に対する懸念
スター選手があまりいない
参考事例となる利用企業が少ない
セキュリティに対する懸念
リ ィ
す 懸
ISVの商用サポートが不十分
デ タの地理的な所在が不明
データの地理的な所在が不明
技術の習得が必要
企業にとって使いにくい
27
Japan
クラウド内のセキュリティ
28
クラウドセキュリティとは何か?
Japan
クラウド内のセキュリティ:クラウドコンピューティング環境に展開さ
クラウド内のセキュリティ
クラウドコンピュ ティング環境に展開さ
れる運用機能(スタックのアップ/ダウン)としてインスタンス化され
たセキュリティ(製品、ソリューション、テクノロジ)。仮想ファイア
ウ
ウォール、IDS/IPS、AV、DLP、DoS/DDoS、IAMなどの戦略的ソ
ル IDS/IPS AV DLP D S/DD S IAMなどの戦略的ソ
リューションを想定している。
クラウドに対するセキュリティ:クラウドコンピューティングプロバイ
クラウドに対するセキュリティ:クラウドコンピュ
ティングプロバイ
ダから提供される他のクラウドコンピューティングサービスを保護する
ことに特化されたセキュリティサービス(次の項目を参照)。クラウド
ベ スのスパム対策 DDoS DLP WAFなどを想定している
ベースのスパム対策、DDoS、DLP、WAFなどを想定している。
クラウドによるセキュリティ:クラウド内のセキュリティ」で説明した
機能に依存する場合が多い「クラウドに対するセキュリティ」プロバイ
ダが利用しているクラウドコンピューティングサービスから提供される
セキュリティサービス。基本的には、今日クラウドと名乗っているすべ
てのサービスを想定している。
てのサービスを想定している
29
クラウドに対して最もよく抱く
セキ リティ上の懸念
セキュリティ上の懸念
Japan
クラウドサービスが次の課題にどのように対応するかを
クラウドサ
ビスが次の課題にどのように対応するかを
理解する
•
機密性 保全性 および可用性の確保
機密性、保全性、および可用性の確保
•
身元確認とアクセス制御の適切なレベルの維持
•
適切な監査およびコンプライアンス能力の保証
制御不能に対処する
クラウドサービスプロバイダを信用する
30
クラウドのセキュリティ
(または危険)
対応が必要な情報保証に関する
課題:

機密性

保全性

可用性

所有権

信憑性

実用性

プライバシー

許可された使用

否認防止
Japan
データ損失/漏えい対策がさらに
重要になる
データ集約によってリスク方程式
が変化する
法的強制力やコンプライアンスに
よりさらなる精査が要求される
り
な 精
要求
強制退去とデータの破棄について
注意深く検討する必要がある
インシデント管理が非常に複雑に
なる
31
Cloud Security
y Alliance ((CSA))
Japan
CSAは、クラウドコンピューティングのセキュリティ保証を実
CSAは
クラウドコンピュ ティングのセキュリティ保証を実
現するためのベストプラクティスの利用を促進するために結成
された非営利組織である
CSAの目的:
消費者とプロバイダのクラウドコンピューティングに必要なセキュリティ
要件と保証の証明に関する共通認識を高める。
クラウドコンピューティングセキュリティに関するベストプラクティスの
独自の研究を促進する
独自の研究を促進する。
クラウドコンピューティングとクラウドセキュリティソリューションの適
切な使用に関する啓もう活動や教育プログラムを立ち上げる。
クラウドセキュリティ保証に関する課題やガイダンスのコンセンサスリス
トを作成する。
32
考えられるセキュリティ上の
メリット
Japan
デ タの集中管理(ある程度)
データの集中管理(ある程度)
データとアプリケーションの区分け
ログ記録/説明責任の改善
資産導
資産導入イメージの標準化
標準
攻撃に対する回復力の向上とインシデント対応の合理化
監査とコンプライアンスのさらなる合理化
プロセスに対する可視性の向上
アプリケーションやサービスなどの導入の迅速化
33
Japan
クラウドに関する訴訟
34
プライバシーとクラウド
Japan
法律に違反してクラウド内部のインターネット上を機密情
法律に違反してクラウド内部のインタ
ネ ト上を機密情
報が移動する可能性がある
クラウド全体でのデータ「消失」:データの保持やメディ
ク
ウド全体
デ タ「消失
デ タ 保持やメデ
アのデータ消去は予測不能である
データ保護とセキュリティは契約条項とサービス内容合意
書に依存する
データが国境を越える可能性がある(場合によっては複数
の管轄区域に及ぶ)
35
デジタル証拠とクラウド
Japan
さまざまなソースからの法廷データの収集が深刻な問題に
さまざまなソ
スからの法廷デ タの収集が深刻な問題に
なる可能性がある
クラウドサービスのリアルタイム性によってデジタル証拠
ク
ウドサ ビ
タイム性 よ
デジタ 証拠
が減ったり、その証拠としての価値が低下したりする場合
がある
データの保全性や信憑性が疑わしい場合がある(攻撃に対
する保護が不適切な場合など)
クラウド内部で発生した軽率な行為の(陪審員に対する)
説明が非常に困難な可能性がある
36
eDiscoveryとクラウド
y
Japan
ビジネスプロセスはクラウド内部の数多くの要素(複数の
利用者やサプライヤ)に依存する可能性がある
データ分類やレコード管理の手法が一段と重要になるが、
デ
タ分類や
ド管理 手法が 段と重要 なるが
使用される可能性は低い
組織は、事業単位で直接クラウドが利用されることから、
関連データを識別する新たな課題に直面する可能性がある
関連データが多数の第三者(サプライヤ間)の管理下にあ
る可能性がある
37
Japan
最終的な結論
38
要約
Japan
今日のほとんどのクラウドサービスに対して、企業内部
今日のほとんどのクラウドサ
ビスに対して 企業内部
で提供されているセキュリティを満たす、あるいはそれ
を上回るソリューションを設計することは
を上回るソリュ
ションを設計することは可能である
が、その運営は実現できない可能性がある。
さまざまなクラウドの価値提案(俊敏性、低コスト、
さまざまなクラウドの価値提案(俊敏性
低コスト
スケーラビリティ、セキュリティ)を1つにまとめて、
この4つの提案すべてを同時にかつ均等に実現可能である
かのように示唆していることがよくある。ほとんどの場
合、トレードオフが付き物であることから、これはごま
かしにすぎない。
かしにすぎない
39
クラウドセキュリティのヒント
Japan
クラウドベースのセキュリティは既存のICTセキュリティ
クラウドベ
スのセキ リティは既存のICTセキ リティ
の代用品ではない...防御について深く検討すること
利用規約を理解する 期待できるのはせいぜい の程度
利用規約を理解する...期待できるのはせいぜいこの程度
他人(政府、競争相手、または民事係争者)に見られたく
ないものはクラウド内に置かない
クラウド内に利用者データを配置することによって法律違
ラウ
利用者
を 置す
法律違
反のリスクにさらされる可能性がある...どこにあるか?
40
最終的な結論
Japan
セキュリティ上の問題と法的な問題は、クラウドコン
セキ
リティ上の問題と法的な問題は クラウドコン
ピューティングの使用を選択した組織の課題として残る
が、このような問題の 部が解決される明るい兆しが見
が、このような問題の一部が解決される明るい兆しが見
られる。
ただし、リスクを理解し、慎重にクラウドに参加する
ただし
リスクを理解し 慎重にクラウドに参加する
(つまり、適切な契約条項と条件の組み合わせだけでな
く、検証可能なリスク対策を提供するクラウドサービス
、検証 能 リ
策を提供す
ラウ
プロバイダを選択する)ことが非常に重要である。
41
クラウドセキュリティに関する
情報源
Japan
SNIA Cloud Storage Initiative、
Initiative http://www.snia.org/cloud
http://www snia org/cloud
Cloud Security Alliance(CSA)、Security Guidance for Critical Areas
of Focus in Cloud Computing、Top Threats to Cloud Computing、
http://www.cloudsecurityalliance.org
European Network and information Security Agency(ENISA)、
Cloud Computing – Benefits, risks and recommendations for
information security、http://www.enisa.europa.eu/
Association(ISACA) Cloud
Information Systems Audit and Control Association(ISACA)、Cloud
Computing: Business Benefits With Security, Governance and
Assurance Perspectives、http://www.isaca.org
Cloud Security and Privacy、Mather、Kumaraswamy、Latif、2009、
O’Reilly Publishing、ISBN: 978-0-596-80276-9
42
Japan
ご質問やコメントは以下のアドレスでも受付いたします。
eric.hibbard@hds.com
ご清聴あ が うござ
ご清聴ありがとうございました
43
執筆者/プレゼンタについて
Japan
Eric Hibbard氏は、Hitachi
Hibbard氏は Hitachi Data SystemsのCTO Security and Privacyで、ストレ
Privacyで ストレージセキュリティ戦略
ジセキュリティ戦略、新しいス
新しいス
トレージセキュリティアーキテクチャの特定と定義、また新しいストレージネットワーキングインフラストラク
チャの設計を担当している。 彼は、政府機関、学界、業界で30年以上の経験を有する情報通信技術(ICT)分野の
セキュリティの高度な専門家である。
Hibbard氏は、正式なストレージとセキュリティの標準化に取り組んでいるだけでなく、データのセキュリティと
保護に関する組織にも参加している。 彼は、INCITS/CS1 Cyber Securityの国際代表、米法曹協会の科学技術法部
門のE-Discovery and Digital Evidence(EDDE)委員会の副議長、IEEE Information Assurance Standards
Committee(IASC)の副議長 IEEE P1619 Security in Storage Work Group(SISWG)の副議長
Committee(IASC)の副議長、IEEE
Group(SISWG)の副議長、および
および
Storage Networking Industry Association(SNIA)Security Technical Working Groupの議長を務めている。 また、
INCITS/T11、Information Systems Audit and Control Association(ISACA)、Information Systems Security
Association(ISSA)、Trusted Computing Group、IEEE-USA Critical Infrastructure Protection Committee
(C C)
(CIPC)、IETF、W3C、Trusted
C
C
Computing
G
Group、およびDistributed
および
Management Task Force(DMTF)にも
(
)にも
関与している。
Hibbard氏は、現在、International Information Systems Security Certification Consortium (ISC)2 CISSP認定だけで
なく ISSAP ISSMP およびISSEPの分野限定の認定も受けている また ISACA Certified
なく、ISSAP、ISSMP、およびISSEPの分野限定の認定も受けている。また、ISACA
C tifi d Information
I f
ti
Systems Auditor(CISA)とSNIA Certified Storage Engineer(SCSE)の認定も受けている。 彼は、コンピュータ
サイエンスとデータ通信における認証に関する学士を持っている。
44