オンプレミス - クラウド = セキュリティ?

最終更新: 5月8日

RSA CONFERENCE 2013レポート第2弾。

Cloud Security Alliance(CSA)のサミットに出席した。その名前の通り、クラウドセキュリティに関する活動をしている団体。どうもJapan Chapterはそれほど活動が活発ではないようだが、この会合は活気を感じた。


このカンファレンスに合わせ、いくつかのドキュメントが公開された。


 これ以外にも、興味深いドキュメントが紹介された。

  • "Security Guidance for Critical Areas of Mobile Computing" モバイルコンピューティングを安全に利用するためのガイド。KBIZが加盟するJSSECでも同様のドキュメントはあるが、NFCについて触れられているのは新しいと感じた(もしJSSECでもちゃんと書いていたらごめんなさい...)。

  • PCI DSSの"Cloud Computing Guidelines" クラウドベースのPOSが増えてきており、それに対応する形でPCI DSSのクラウド版が作成された。クラウドは危ないからクレジットカード情報は...、と言いたかったかもしれないが、利用の広がりに押し切られた形か。


 CSAは他にも興味深い活動をしている。


  • CSA STAR Security, Trust & Assurance Resourcesという活動で、クラウドサービス業者がどのようなセキュリティコントロールを提供しているかが分かるようにしている。セキュリティコントロールの軸はCloud Control Matrixを利用。

  • CSA OCF Open Certification Frameworkとして、クラウドサービス業者の認証を行っている。こちらでもベースとなるコントロールはCloud Control Matrixを使う。

  • CCSK Certificate of Cloud Security Knowledgeという、クラウドセキュリティに関する資格を提供している。近々、(ISC)2との提携をアナウンスする予定。

  • CAI Consensus Assessment Initiativeとして、クラウドを評価する際の質問事項をまとめて公開している。

  • ISO/IEC27017 Cloud Securityの国際標準として、ISO/IEC27017が紹介された。但し、どうもこれは、ISO/IEC27001で十分だということで否決された模様。


 2013年はPrivate cloudとPublic cloudを組み合わせたHybrid cloudの年となる、と。そして、セキュリティ機能もクラウドで実現されていくようになるそうだ。


 オンプレミスのシステムがどんどんクラウドに移行し、そこではセキュリティが求められる。そのおかげでセキュリティ業界に活気が出てきているのか。日本にもいずれやってくるかな。


 それにしても、活発に活動して、クラウドに関するドキュメントをどんどん公開するクラウドセキュリティアライアンス、偉いやんす。


小熊