クラウドコンピューティングにおけるセキュリティ

先日、クラウド・コンピューティングにおけるセキュリティの問題を議論する非営利団体Cloud Security Allianceの設立についてご紹介しましたが、4月22日に"Security Guidance for Critical Areas of Focus in Cloud Computing"という文書が公開されています。

先日もご紹介した15個のドメインは基本的にはそのままで(いくつか名前が変わっているものはありますが)、1つ1つに対して、problem statement, issues, guidelineがまとめられています。

Cloud Architecuture
(1) ラウドコンピューティングのアーキテクチャフレームワーク

Governing in the Cloud
(2) ガバナンスとエンタープライスリスク管理
(3) リーガル
(4) 電子開示 (Electronic Discovery)
(5) コンプライアンスと監査
(6) 情報ライフサイクル管理
(7) ポータビリティと相互運用性

Operating in the Cloud
(8) 伝統的なセキュリティ, 事業継続性、ディザスタリカバリ
(9) データセンター運用管理
(10) 事故に対する対応、通知、回復 (Incident Response, Notification, Remediation)
(11) アプリケーションセキュリティ
(12) 暗号化と鍵管理
(13) アイデンティティとアクセス管理
(14) ストレージ
(15) 仮想化

80頁を超える文書ですが、それぞれの項目は独立して書かれているので、興味があるところから読むことが出来ます。各項目毎に別の著者が執筆しており、分量や構成にはばらつきがありますが、これからの深掘りに期待ができると思います。15個もの項目があることが示すように、クラウドコンピューティングにおけるセキュリティがカバーする範囲は多岐に渡っています。しかし、この問題に現実的な解決策が特にパブリッククラウドを企業システムが利用する際のポイントになることも確かです。

例えば、「ポータビリティと相互運用性」に関しては、ガイドラインの一つとして、データの自社側での定期的なバックアップを挙げています。現在のクラウドサービスでは、様々なデータモデル (例, 関係データベース、key-valueペア)が提供されていますが、これらのデータのimport/export, 同じデータモデル間であれば簡単に以降を可能にするようなデータモデルやAPIの標準化が進んでいくのではないかと思います。

ちなみに、「クラウドアーキテクチャ」の章では、クラウドを、以下の4つの形態に分類しています。

• Private
• Managed
• Public
• Hybrid

ここで、Managed Cloudというのはあまり馴染みがないかもしれませんが、サービスの運用管理は、第3者が行うが、インフラそのものは自社内で提供するというモデルを指すそうです。