クラウドにおける7つのセキュリティ脅威を公開−クラウド・セキュリティ・アライアンス(CSA)
今年のRSA Conferenceの出展企業は300社以上とのことで、昨年より若干増えたようだ。(今回初めて出展した企業は20社程度)展示会場の入口近くのメインストリートには、RSA Security、MicroSoft、Symantec、IBM、McAfee、VeriSignなど大手ベンダーが陣を構えていた。大手ベンダー・ブースを横目に、スタートアップ企業が軒を連ねる一コマブース群に足を運ぶと、そこには「Cloud Security Alliance(CSA)」のブースがあり、運良く設立者のひとりと会話することができたので、彼らの活動状況を紹介しよう。
「Cloud Security Alliance(CSA)」とは、クラウド・コンピューティングのセキュリティを確保するためのベストプラクティスを促進を目指す業界団体で、昨年4月に設立されている。同氏によると、設立当初は、MicroSoftやGoogleなどのクラウド・サービス事業者の加盟がないとメディアに叩かれたが、今では両社に加えて、AT&TやTerremarkなどの事業者などもコーポレート・メンバーとして加盟しているとのこと。(その他、Cisco、HP、VMware、Symantecなどの大手ベンダーも名を連ねているがAmazonはない様子)
同団体は、昨年12月の「Guidance for Critical Area of Focus in Cloud Computing ver2.1」リリースに加えて、今回のRSA Conferenceで、「Top Threats to Cloud Computing」というクラウド適用における脅威の報告書を公開した。ここでは両報告書を簡単に紹介しよう。
クラウド適用におけるセキュリティ・ベストプラクティス
昨年4月に公開されたver1.0は、クラウド環境におけるセキュリティの重要性(問題提起)が主に記述されていて、ベストプラクティスと呼ぶには若干物足りなさがあった。ver2.1では、以下13ドメインの各々において、「クラウド利用者や事業者がどのような方法を取るべきか」、「どのようなことを検討しなければならないのか」という点を明確に言及している。70ページに及ぶ報告書は多少読み応えがあるが、クラウド適用を検討しているIT管理者にはver1.0を併用して読んでもらいたい。
今後チェックリストや経営層向けのエグゼクティブ・サマリーなどを備え、容易に活用できるようにしてゆきたいとの話であった。
- クラウド・アーキテクチャー・フレームワーク
- ガバナンス、エンタープライズ・リスク管理
- 法律・Eディスカバリー
- コンプライアンスと監査
- 情報ライフサイクルマネージメント
- ポータビリティと相互接続性
- トラディショナルセキュリティ、ビジネス継続性、ディザスター・リカバリー
- データセンター・オペレーション
- インシデント・レスポンス
- アプリケーションセキュリティ
- 暗号化・鍵管理
- アイデンティティ・アクセス管理
- 仮想化
クラウド適用におけるセキュリティ脅威
3月1日に公開された「Top Threats to Cloud Computing」によれば、以下、7つの項目に関して、エンタープライズ企業のクラウド適用における潜在的な脅威を分析している。1つの脅威は1ページで完結し、脅威の解説、改善方法、影響度に加えて、先述のセキュリティ・ガイダンスのどのドメインに属するものなのか、IaaS、PaaS、SaaSのどのサービスモデルに適用されるものなのかが、綺麗にまとまっている。(全部で15ページ程度と読み易い)
- パブリック・クラウド・サービスの不正・違法利用
- 安全でないインターフェースとAPIs
- 悪意のある内部犯行
- 技術問題の共有
- データ損失、漏洩
- アカウント、サービスのハイジャック
- 未知のリスクプロファイル
RightScale社やMorph Labs社のように、異なるクラウドを跨ったクラウド管理サービスを提供するスタートアップ企業も台頭したことによって、複数のパブリック・クラウドサービス活用の敷居が下がっている反面、公開されたAPIがセキュリティ上命取りになるとのリスクも挙げられている。前のエントリーで、物理環境におけるセキュリティポリシーをクラウド化しても、同レベルに引き上げる必要があると書いたものの、クラウド環境ならではのセキュリティ脅威は、跡を絶たない。
展示会場での今年のトピックスは、「セキュリティ・アプライアンス(H/W)の仮想アプライアンス化」「メールセキュリティ、Webセキュリティのクラウドサービス化」と言ったところだろうか。
シスコ・システムズも、昨年10月に$183M(約180億)で買収したクラウドベースのWebセキュリティを提供する「Scan Safe Web Security」をメインに推し出し、メールセキュリティ分野では、GoogleのPostini、ZScalerなどブースは活気に満ち溢れていた。国内においても、ゲーム大手のカプコンが、Googleのメールセキュリティ(Postini)を導入するなど、実績を増やしているようだ。(宣伝でごめんなさい。)
某メールセキュリティ・ベンダーのブース説明員の話では、2008年度はSaaSモデルのサービス売上が全体の42%だったのに対して、2009年度は 62%(成長率147%)まで向上したとのことで、確実にクラウド・サービス・モデルのセキュリティ対策が浸透していると言える。
それにしても、3時間程しか会場にはいなかったが、幸いにも懐かしい顔ぶれに3人会うことができたことも収穫だった。
Citrix社のSecurity Strategist, CTOのKurt Roemer氏(元Netcontinnum)、Proofpoint社のSVP SalesのDean Hickman Smith氏(元ConSentry)のDean Hickman Smith氏、Identity Engine社のChad Scrupps氏(元ConSentry)と皆んな新しい職場で頑張っている様子。一度ビジネスした仲間は大事にしてゆきたいと改めて実感。セキュリティの展示会に来ると古巣に戻った感じがするから不思議。