Cloud Security Allianceがまもなく発足
最近、クラウドコンピューティングに関する業界の動きが活発ですが、クラウドコンピューティングにおけるセキュリティやコンプライアンスの問題を議論する非営利団体Cloud Security Alliance (CSA)がまもなく発足するそうです。
CSAのHPに掲げられたミッションステートメントによれば、CSAは、クラウドコンピューティングにおけるセキュリティ保障(Security Assurance)を提供するためのベストプラクティスの普及を促進し、また、クラウドコンピューティングを使うことで、他のコンピューティング形態をセキュアにすることを支援するための教育を提供する、とあります (私訳です)。CSAの活動がクラウド以外にも広がっていくというのは興味深いですね。
また、CSAがアドレスする問題領域として、次の3点が挙げられています。
- Electric Discovery
- Portability and interoperability
- GRC (Governance, Rick, Compliance)
最初に出てくるElectric Discovery(電子的な情報開示手続き)の章では、企業情報をクラウド上に置くことが、各国の法律の求める情報セキュリティやコンプライアンスの要求を満たすことの困難さについてに触れています。確かに、これは企業がクラウドをIT基盤として使う際の非常に大きな問題であることは明白なので、ここにCSAがタックルすることは意義があると思います(企業だけで解決できる問題だけでは ないのでしょうけど)。
さらに、以下の15個のドメインを(技術的な)課題として挙げています。
- 情報ライフサイク管理
- ガバナンスとエンタープライスリスク管理
- コンプライアンスと監査
- 一般的法律業務 (General Legal)
- Eディスカバリ (eDiscovery)
- 暗号化と鍵管理
- アイデンティティとアクセス管理
- ストレージ
- 仮想化
- アプリケーションセキュリティ
- ポータビリティと相互運用性
- データセンター運用管理
- 事故に対する対応、通知、回復 (Incident Response, Notification, Remediation)
- 伝統的なセキュリティのインパクト(事業継続性、ディザスタリカバリ、物理的なセキュリティ)
- アーキテクチャ・フレームワーク
上で挙げられている項目の多くは、クラウドコンピューティングに特化したものではありません。著名なセキュリティ専門家ブルース・シュナイアー(Bruce Schneier)も、最近のインタビューで、クラウドコンピューティングには、全く新しいSecurity上の課題があるわけではない。とコメントしています。CSAに関する議論の場としてLinkedInにグループが作成されていますが、その中でも、彼のコメントを元に、議論が行われています。クラウドコンピューティングは、クラウド(基盤)提供者、サービス提供者、サービス使用者と複数の役割のプレーヤーを内在するモデルであり、それをカバーするセキュリティも幅広い要素を含む必要があります。Cloud Securityの定義はさておき :-) 我々が目の当たりにしている新しい流れの中で、業界やユーザ、行政などを巻き込んで、セキュリティの問題が議論されて、ベストプラクティスが普及していくことは重要だと私は考えています。
まだあまり詳細がわからないCSAですが、4月21日にサンフランシスコで開催されるRSA Conferenceでwhitepaperが公開されるそうです。その後でまたフォローしたいと思います。