BCPとしてのクラウドの是非、セキュリティガバナンスの考え方とは?
高橋 どのクラウドサービスを選定するかの目を養うことも大切です。経営者はどのようなルールで運営しているのか把握して、問題があれば改善するように求めることも必要です。ただ「安くて早く導入できるから」だけで選ぶのではいけません。
藤田 日本は事件が発生してからセキュリティ担当者が忙しくなりますが、欧米だと逆です。欧米はIT予算の5%程度をセキュリティ対策として毎年確保していて、普段から事故防止対策に力を入れています。毎年、5%もあれば教育もできますし、ルールを見直したり、最新の攻撃に備える、防御を固めるなどいろんなことができるはずです。
ネットの脅威は標的型攻撃など高度化しています。ゼロデイ攻撃などは、ブラックマーケットもあり、防御するほうが圧倒的に難しい。日本の特殊事情を申し上げると、内部から漏えいするケースが多いそうです。
高橋 それだけならいいですけど、内部の人間が外部とつながっていたらより事態は深刻になります。悪意なく感染してしまうケースもありますし。最近では「必要以上に名刺を配らない」のもセキュリティ対策と言われています。なりすましに使われたりするケースもあるからです。
藤田 BCPについても少し整理してみましょう。「BCPにはクラウド」という考えが普及していますが、IT専門家からするとクラウドである必要はなくて、サーバーが遠隔地に複数あれば十分です。それよりクラウドだと事業者がサービス提供をやめることも想定しておかなくてはなりません。実際にアメリカでありました。何年もクラウドで運用しているとデータ量も膨大となります。そのデータをクラウドから引き上げて自社や別のクラウドサービスに移行できるのか、どのくらい時間がかかるのかなども課題となります。
高橋 リスクの洗い出しは重要です。リーガルな観点から見ると、SLA(Service Level Agreement)が極めて重要です。実際の提供されるサービスのセキュリティの基準になります。また、SLAでは、契約時に契約終了時の取り扱いをどう定めているかよく確認する必要があります。
藤田 パブリッククラウドだと構築が手軽で利用開始の手続きが簡略化されていることもあり、SLAが緩いという感覚があります。クラウドではないIT企業が顧客と結ぶ契約とは格段に違います。そこは注意が必要です。データの取り扱いに関して参考になる判例はありますか?
高橋 90年代にスティーブ・ジャクソン・ゲームス訴訟がありました。ゲーム解説本の会社がアメリカのシークレットサービスから強制捜査を受け、その捜査の際の扱いが、違法であったとして国賠訴訟に発展した事件です。このゲーム会社が運営していた電子掲示板に強制捜査対象となっていたユーザーが利用していたことで強制捜査となったものの、会社のハードディスクごと押収されるなどしてほかのユーザーやゲーム会社が損害を被ったというものです。クラウドのマルチテナント環境で生じるリスクに通じるものがあります。
当時まだ90年代でしたので、この事件はオンライン人権派となる電子フロンティア財団が発足するきっかけにもなりました。細かいところをみるとかなり特殊な背景もありましたが一般論でとらえれば、法執行機関側においても法治国家においては、捜査にかかる捜索・差押えが必要最小限になるようにと心がけているということはいえるでしょう。しかしながら、2009年にはクラウドに関して、プロバイダ自身が、犯罪の嫌疑をうけて、サーバーが差し押さえられたという事件が報道されていたりして、(自分自身には非がないのに強制捜査に巻き込まれる)リスクもあると言うことができます。
藤田 データ保全に関して発想の転換が必要なのかもしれません。データをどう保てていればいいのか。万が一、不正アクセスや強制捜査の対象となり、データをサーバーから消去したくてもできないような状況になったとき、暗号化を施しておけば意味のあるデータが第三者に渡ることは防ぐことができます。暗号化ですべての懸念が払拭できるとは限りませんが、ある程度はデータの完全性が保たれるともとらえることもできます。全てが自分の管理下ではないクラウドを使うときにはそうした考え方で臨むといいのかなと考えています。
高橋 データを法的にどう位置づけるかは難しいです。有体物として扱えるのか。あるいはユーザーからクラウドサービスに対して削除権のようなものが成り立つのかと考えてみると、現実にどこまで沿うのか疑問です。
権利よりも現実的には最適なものを選ぶことが大事ではないでしょうか。SLAを考慮した上でどうしても譲れない条件があるとしたら、多少高くてもオンプレミスのほうがいいのかもしれません。クラウドは必須ではないのですから。そこは仕方がないとみるべきです。
クラウドを利用するときには自分たちがオポチュニティを最大限得られて、リスクをコントロールできるのはどこかという観点で最適な組み合わせを判断していくのが大事です。
藤田 なるほど。クラウド時代のセキュリティガバナンスを考える上でポイントを挙げると、最適な選択肢は何かとよく考慮すること、企業は契約書を法務を通じてよく精査すること、データ保全のためには適切にバックアップや暗号化の手法も検討することなど。こうしたクラウドサービスを利用する上では、法的な側面を含めたクラウド特有のセキュリティリスクなどの特徴はIT担当者だけではなく経営者もよく理解しておくべきだと思います。本日はどうもありがとうございました。
クラウドに関わる全ての人へ!CSA認定「クラウドセキュリティ研修」
クラウドサービスが普及しつつある中で、セキュリティの問題を認識しつつも何をしたら良いかわからない方が多いのではないでしょうか?
日本HPでは、このような方々のためにクラウドユーザーが理解しておかなければならないリスクや課題を基礎から学ぶトレーニングを開始しました。クラウド&ビッグデータ時代に企業で求められる必須のセキュリティトレーニングです。
※本コースは、Cloud Security Alliance(CSA)のクラウドコンピューティングのためのセキュリティガイダンスに基づいています。
★CSA認定「クラウドセキュリティ基礎(1日間)」の詳細はこちらから!
★CSA認定「クラウドセキュリティプラス(2日間)」※の詳細はこちらから!
※クラウドセキュリティプラスはAWSを利用した演習を含みます。
基礎からガバナンスまでクラウドセキュリティが学べる!
HPの「セキュリティ研修」
HPの「セキュリティ研修」では、クラウドセキュリティのトレーニング以外にも、情報セキュリティの基礎を始めとして、リスク分析やBCP(継続性計画)の作成、組織全体のガバナンスまで、幅広いセキュリティ分野を体系立てて提供しています。
★HP「セキュリティ研修」の詳細はこちらから!
