さて、現在ワタクシは別のイベント会場の誰もいないプレスルームでぼっち状態でこの原稿を書いております(広々してて超さびしい……)。今回は週報用に別のネタを用意していたのですが、いま自分の勉強用に聞いたセッションがあまりにもすばらしかったので、予定を変更しましてこちらをお届けしようかと。9月14日に東京・ホテル日航東京で行われたイベント「AWS SUMMIT TOKYO 2012」の事例セッション「金融機関でのクラウド活用について - 金融機関向けAWS対応セキュリティリファレンスの活用と事例」についてご紹介します。
クラウドを安全に使うために、ユーザ側が心得ておかなければならないこと
9月10日、電通国際情報サービス(ISID)、野村総合研究所(NRI)、SCSKの3社は共同で「金融機関向け『Amazon Web Services』対応セキュリティリファレンス」というガイドラインを公開しました。これは読んで字のごとく、金融機関がクラウド基盤(AWS)を安全に利用するためのガイドラインです。
「セキュリティが信用できないクラウドに大事なデータを置くなんて、冗談じゃない」―こんな声を聞いたことがある人も多いのではないでしょうか。今回、国内ではじめて開催したというAWS SUMMIT TOKYOは、どのセッションも満員御礼、会場ロビーは人でごった返し、国内企業のクラウド、もといAWSへの関心の高さを改めて実感しました(さびしいのはプレスルームだけ……←しつこい)。
一方で、クラウドに対するセキュリティの不安は、なかなか払拭されないのもまた事実。個人的にはクラウドとは呼びがたいのですが、ファーストサーバのデータ消失事件があったりしたせいなのでしょうか、クラウドの安全性に対してワケもなく不安を煽られている方の数は、実際にクラウドを使っているユーザであっても少なくないと推察します。ましてや、銀行や証券などのシステムでクラウドを使うなんて、「えー大丈夫なの???」と不安になる方がいてもおかしくありません。
そんな不安の根拠をきっちり検証し、AWSのサービス内容も精読し、米国などの事例も詳細に調べあげたのが今回紹介するリファレンスです。金融機関でなくとも、またAWSユーザでなくとも、「クラウドを安全に使うために、ユーザ側が心得ておかなければならないこと」の示唆にあふれています。ここでの最大のポイントは、ユーザとベンダの双方によるセキュリティの"シェアードモデル"、つまり双方で責任を分担し、互いに担保する領域を明確にするという点です。
明確なガイドラインのニーズが強いクラウドセキュリティ
ここからはセッションの内容をもとに、もうすこし詳しくこのセキュリティリファレンスの内容を見ていきましょう。セッションに登壇されたのはISID 渥美俊英氏、NRI 野上忍氏、SCSK 瀧澤与一氏の3名です。
まずは渥美氏から今回発表されたセキュリティリファレンスの概要の説明が行われました。
米国ではすでにリスク管理計算など、ニーズの変動が大きい分野ではAWSの利用が非常に適しているとして、金融機関でも積極的に使われ始めているとのこと。そして最近は米国にとどまらず、国内メガバンクでも行内SNSの構築にAWSを利活用しようとしている動きが出ているそうです。「銀行などの金融機関も、企業としての活力を高めるためにクラウドを活用すべき、と考える傾向は強くなってきている」と渥美氏。
一方で、企業のクラウド利用が進んできているとはいえ、こと金融機関での利用となると「セキュリティは?」「ガイドラインへの適合は?」とさまざまな疑問符が付くのは何も日本に限ったことではないそうです。とくにガイドラインへの適合は重要な問題で、クラウド事業者がいくら「うちのクラウドはセキュリティ、大丈夫ですから!!!」と強硬に主張して独自の仕様を開示していても、省庁や業界団体が策定するセキュリティのガイドラインと対応するものかどうか、判断が非常に難しくなります。
そこで「ガバナンスやプロセス、Webアプリケーションに至るまで、専門性をもった人間による検証が必要」として、AWSの導入を推進するソリューションプロバイダでもあるISID、NRI、SCSKの3社が共同で、AWSを金融機関で安全に使えるかどうかの本格的に検証を開始、本リファレンスの作成となったわけです。
ここでキーワードとして覚えておきたいのが「FISC(The Center for Financial Industry Information System)」です。FISCとは、金融庁の外郭団体である財団法人金融情報システムセンターのことで、このFISCが発刊する「金融機関等コンピュータシステムの安全対策基準・解説書」、要するにFISCの策定した全305項目に渡るセキュリティの基準が、金融機関の情報システムにとって、その安全性の共通の拠り所となっています。つまりはFISCの基準とAWSのセキュリティ対応内容が適合していれば、「AWSは金融機関で安全に利用できる」と言うことができるのです。リファレンス作成のための検証作業も、FISCの基準に沿ったかたちで行われました。
このセキュリティリファレンスでは「利用者およびAWSの責任境界を、各項目について明示している」点が注目されます。つまりデータに対して誰がどこまで責任をもつか、という線引きです。冒頭でも触れましたが、AWSはセキュリティに関してはユーザとの間で責任を分担するシェアードモデルを採っています。今回のAWS SUMMIT TOKYO 2012において、AWSのトップの方々は「ハイパーバイザより下のインフラはAWSが死守する」といった発言を繰り返していました。それより上のアプリケーション部分やデータのセキュリティは顧客が受けもつという考え方です。3社は、この責任境界の切り分けをFISCの全項目(ATMなどの機器設置に関する項目は除く)において適用できるかどうかを検証しました。とくにAWS側の担当に関しては
・公開文書への参照 … AWSがすでに外部に公開してあるソースから参照
・第三者認証からの類推 … クライテリアが公開されている取得済み第三者認証の名称と項目から妥当性を判断
・AWSの非公開情報 … 上記2つからは判別できなかった項目については3社がAWSとNDAを締結し、個別に確認
というステップで洗い出しを行い、その根拠としました。そしてその結果、「FISCの項目すべてにおいて適用可能と判断」(渥美氏)できたそうです。これにより、「FISCの安全対策基準の項目ごとにAWSとユーザの間の責任境界を、根拠となる文書とともに把握できる」セキュリティリファレンスが誕生しました。
「各項目に対する米国と日本のAWSのそれぞれの対応状況もすべて調査した。根拠がどこにあるのか、という点についてはかなりきっちりと精査し、詳細に記述した。曖昧な判断と取られないように、"なぜそう判断したか"について解説している箇所もある」とNRI 野上氏が語るように、信頼性の高いリファレンスに仕上げるために、3社による丁寧な検証が重ねられたことがうかがえます。
なお、このセキュリティリファレンスは、誰でもネットから入手できる「サマリー版」と、AWSとNDAを締結し、3社のいずれかにコンタクトして個別案件として開示する「詳細版」の2つが用意されています。他のセキュリティリファレンスと異なるのは、複製、配布、改変、さらには改変後の再配布などが自由である点です。9月10日から公開を開始したそうですが、「金融機関以外でも、またAWS以外のクラウドベンダとのセキュリティ対応においても参考になるのではと考え、自由度の高いかたちで公開したが、思った以上に反響が大きい」(渥美氏)とのこと。それだけ、クラウドのセキュリティに関する明確なガイドラインを求めるニーズが強いということなのでしょう。
