RSA CONFERENCE 2013レポート第2弾。

Cloud Security Alliance(CSA)のサミットに出席した。その名前の通り、クラウドセキュリティに関する活動をしている団体。どうもJapan Chapterはそれほど活動が活発ではないようだが、この会合は活気を感じた。
このカンファレンスに合わせ、いくつかのドキュメントが公開された。
The Notorious Nine Cloud Computing Top Threats in 2013" ラウドコンピューティングに対する脅威ランキング。今までにも同様のレポートを作成しており、ランキングの変化も示されている。一位はデータの漏洩。これって「脅威」なのかなぁ...? (「脅威」というよりは、「発現したリスク」のような...)
Privacy Level Agreement Outline for the Sale of Cloud Services in the European Union" EUにおける、個人情報保護に関する保護レベルを定義する際の項目についてガイドしている。SLAでなくてPLAね。
"Top Ten Big Data Security and Privacy Challenges" (レビュー用) ビッグデータを取り扱うシステムにおいて、どのような課題があるかをまとめたドキュメント。Google Documentsを使ってレビュー。
Cloud Control Matrix v3.0 (レビュー用) クラウドコンピューティング環境を安全に利用するためのコントロール一覧。こちらもGoogle Documentsを使ってレビュー。
これ以外にも、興味深いドキュメントが紹介された。
"Security Guidance for Critical Areas of Mobile Computing" モバイルコンピューティングを安全に利用するためのガイド。KBIZが加盟するJSSECでも同様のドキュメントはあるが、NFCについて触れられているのは新しいと感じた(もしJSSECでもちゃんと書いていたらごめんなさい...)。
PCI DSSの"Cloud Computing Guidelines" クラウドベースのPOSが増えてきており、それに対応する形でPCI DSSのクラウド版が作成された。クラウドは危ないからクレジットカード情報は...、と言いたかったかもしれないが、利用の広がりに押し切られた形か。
CSAは他にも興味深い活動をしている。
CSA STAR Security, Trust & Assurance Resourcesという活動で、クラウドサービス業者がどのようなセキュリティコントロールを提供しているかが分かるようにしている。セキュリティコントロールの軸はCloud Control Matrixを利用。
CSA OCF Open Certification Frameworkとして、クラウドサービス業者の認証を行っている。こちらでもベースとなるコントロールはCloud Control Matrixを使う。
CCSK Certificate of Cloud Security Knowledgeという、クラウドセキュリティに関する資格を提供している。近々、(ISC)2との提携をアナウンスする予定。
CAI Consensus Assessment Initiativeとして、クラウドを評価する際の質問事項をまとめて公開している。
ISO/IEC27017 Cloud Securityの国際標準として、ISO/IEC27017が紹介された。但し、どうもこれは、ISO/IEC27001で十分だということで否決された模様。
2013年はPrivate cloudとPublic cloudを組み合わせたHybrid cloudの年となる、と。そして、セキュリティ機能もクラウドで実現されていくようになるそうだ。
オンプレミスのシステムがどんどんクラウドに移行し、そこではセキュリティが求められる。そのおかげでセキュリティ業界に活気が出てきているのか。日本にもいずれやってくるかな。
それにしても、活発に活動して、クラウドに関するドキュメントをどんどん公開するクラウドセキュリティアライアンス、偉いやんす。
小熊
Comments