★☆★JNSAメールマガジン 第10号 2013.5.24☆★☆
近年のクラウド活用の潮流に乗って、クラウドコンピューティングセキュリティがホットな標準化の課題として注目されている。ITU-Tでは、「クラウドコンピューティング」自身の規格化はSG13がリードすることが決まっているものの、クラウドコンピューティングセキュリティについては、SG17とSG13とで研究課題の取り合いとなっている。2013年4月に開催されたSG17会合(ジュネーブ)において、両SGの研究課題の住み分けにつき、一定の整理がなされた。
結果としては、SG13では、主にクラウドコンピューティング本体の検討がメインとなるため、セキュリティに関連する利用形態(Use Case)、セキュリティに関するクラウド視点の要求事項などの整理を行うこととし、SG17では、特にセキュリティ技術の視点から、脅威分析や詳細セキュリティ対策の検討を進めることとなった。
また、ISO/IEC JTC1/SC27では、ITU-Tと同様にクラウドセキュリティの規格化が注目されているが、課題の抽出が十分できておらず、現状はクラウド事業者に対するISMS認証に向けたガイドライン化に力点が置かれている。これらの規格化の一部はITU-Tと共同で進めることとなっている。ITU-Tと比較すると、ISO/IEC JTC1/SC27は欧米主要国の影響力、貢献が強いため、規格の課題設定に関わる適正検討については、より慎重に進められている。
SG17(ITU-T)やSC27(ISO)は、限定した応用(アプリケーション)や特定の技 術領域(例えば、ネットワーク)に閉じたセキュリティ技術の規格化を行うもの ではなく、より汎用的な活用を視野にいれたジェネラルなセキュリティ技術の規 格化を目指しているため、他分野を管轄する標準化組織(団体)との連携が不可 欠となる。
一方、ITU-TやISO等の標準化に参加する人的なリソースがますます低減して いる現状において、やはり標準化の鍵を握る国は米国であろう。ロシア、中国、 韓国などの動向を正確に把握しながら、適正な国際標準を我が国のために、どの ように形成し、どの国(米国を中心とした)、及び団体と連携、同調するかを見 極めて行くことが極めて重要となる。
文頭[編注:第1回参照]に、標準化の主な目的を3つ掲げたが、セキュリ ティに関連する国際標準化に限定すると、目的1、及び目的2を達成することは難 しくなっている。多くの参加国とのコンセンサスをとることができなくなってい るのと同時に、脅威が多様化し変動する中で一定の規格を時間をかけて策定する ことに有効性を見いだせない、というのがその理由である。
しかしながら、目的3であれば、策定されたガイドラインなどが参加国に依 存した形(ある国は規定として、ある国はガイドとして)で利用できるため、目 的3が今後の標準化の方向になってきており、それがある意味、標準化の限界と 言えるかもしれない。
以上、標準化の詳細には触れなかったが、現状の雰囲気と限界を雑駁に述べ た。一定の達成内容の限界は標準化には存在するものの、上記の目的3において も有効な規格化は可能であることは明らかである。
標準化への参加は、交渉・調整能力、英語でのコミュニケーション能力を鍛 錬できるだけでなく、最先端の技術者との交流もできる。ぜひとも我が国から多 くの技術者の標準化参加を期待したいところである。