アルテア・セキュリティ・コンサルティング代表　二木 真明
　　　　　　（JNSA幹事／日本クラウドセキュリティアライアンス運営委員）

クラウドコンピューティングという言葉が使われ始めてから、既に10年以上が経過し、世界的に見れば、クラウドの利用はもはや常識化しつつあります。
自社で多くのIT投資が可能な大企業や、セキュリティを気にする金融機関などでもクラウド利用は拡大しています。当初みられた、「オンプレミス」か「クラウド」か、といった二者択一的な議論は古いものとなり、適材適所で
組み合わせて利用する「ハイブリッド」利用が一般的になりつつあります。

クラウドを使う際に、常に問題となるのが、その「セキュリティ」です。当初、利用する側の企業や組織にとって、クラウドに置かれた情報の安全性を、どのように評価するかが大きな問題でした。一方、サービス事業者にとっては、自らの提供するサービスについて、利用者が気にするセキュリティを、どのように説明するかが大きな課題でした。しかし、事業者、利用者それぞれの試行錯誤や、クラウドセキュリティの標準化、認証・監査制度（※注）などの充実によって、この課題はクリアされつつあります。実際、少ない人的、物理的資源でオンプレミスのシステムのセキュリティを自ら維持するよりも、大規模な共用環境であるクラウドでは、より低コストで高いセキュリティが享受できるということも、認知されつつあります。

一方、利用者側には固有の問題もあります。特に、アウトソーシングに大きく依存していた日本企業のIT部門では、クラウドのような新しい概念に基づく発想の転換が難しい側面がありました。また、硬直化したセキュリティポリシーやルールに、それらが作られた際に「想定外」であったクラウドとはマッチしない要求が存在したことも大きな障害だったように思います。ビジネスの要請や環境の変化に対して（リスクを正しく評価した上で）柔軟にルールを見直して対応するという考え方が根付いていないことが原因でした。
ただ、すべての用途に対して事業者が提供するセキュリティ対策が十分か、と言えばそうではありません。
一般に事業者は、セキュリティ対策のベースラインを彼らが想定する平均的な利用者の要求レベルに合わせて設定しています。多くの利用者を低い価格で取り込もうとすれば、ベースラインはあまり高くできません。そうした事業者のサービスから、利用者側が独自の要求に合うものを見つけ出すのは、なかなか困難です。特に、利用者側が自らリスク評価の尺度を持たないような場合、どうしても利用者側の要求は高くなりがちで、それに合うサービス事業者の選択は、より困難となります。
日本で、なかなかクラウド利用が進まなかった背景には、こうしたことがあったのではないかと筆者は考えています。

しかし、こうした状況も、今は昔・・・となりつつあります。それは、クラウド事業者が提供するサービスが、より柔軟になってきたからです。
多くの場合、サービスインフラのセキュリティは、事業者がその死活問題として取り組んでいるため、適切な対応が行われています。問題は、利用者に対して自由度が与えられている部分、つまり利用者に管理責任が生じる部分です。
クラウドのセキュリティを考える上で、ユーザ側の責任範囲を正しく意識することは極めて重要です。しかし、IaaSのように、利用者の自由度＝責任範囲が極めて広いサービスで、利用者側がセキュリティを正しく構築することは、オンプレミス以上に難しいかもしれません。
そこで、最近、大手のクラウド事業者では、利用者が、その責任範囲でセキュリティを構築する際に必要となる機能やフレームワークをオプションとして提供し、それを使って必要なセキュリティを構築できるようなサービスが提供されています。もちろん、こうしたフレームワークや機能の提供はセキュリティだけでなく、様々なクラウド利用シーンを想定して行われるため、必要なシステムとそのセキュリティをまとめて効率よく構築できるようになっているのです。

以下にマイクロソフト Azureとアマゾン AWS、Google Cloudの関連URLを上げておきます。

（Microsoft Azure）https://azure.microsoft.com/ja-jp/services/
（Amazon AWS）　https://aws.amazon.com/jp/products/?nc2=h_l2_p
（Google Cloud）　https://cloud.google.com/products/?hl=ja

これらの、いずれもが様々な用途ごとの機能やそれに伴うセキュリティ機能を数多く提供しています。それらには、従来オンプレミスで必須とされてきた、ID管理とアクセス制御、（多要素）認証、ファイアウォール、侵入検知・防御、Webアプリケーションファイアウォールなどの機能も含まれます。
これからクラウド事業者、特にIaaSを選択する場合は、こうした機能を利用して必要なシステムとそのセキュリティを組み立てる前提で考えていくことが必要なのではないかと思います。こうした動きはIaaSだけではありません。
PaaS/SaaSにおいても、その利用に必要なセキュリティ機能や、ベストプラクティスを提供することで、セキュアな利用ができるような取り組みを行っている事業者が増えています。

（Salesforce）https://trust.salesforce.com/ja/security/

もちろんセキュリティベンダも負けてはいません。サードパーティーとしてクラウドの仮想環境で動作するウイルス対策、侵入防御や脆弱性管理などのセキュリティ機能を提供する動きも広がっています。また、従来、オンプレミスのシステム監視を行っていたSOC事業者が、クラウド上のシステム監視をメニューに加える動きも増えています。このように、クラウド普及と共に、それを取り巻くセキュリティ環境も大きく変化しています。これからは、「クラウドが安全かどうか」ではなく、「いかにクラウドを安全に使うか」が重要になってくると思う次第です。

注：クラウド監査・認証制度の例
クラウド情報セキュリティ監査制度（JASA）
http://jcispa.jasa.jp/cloud_security/

CSA（Cloud Security Alliance） STAR認証
https://cloudsecurityalliance.org/star/certification/#_overview

＃連載リレーコラム、ここまで

＜お断り＞
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】
★会員交流部会主催で「JNSA活動説明会」を開催します。
　・JNSAの活動について詳しく知りたい
　・どの部会・WGに参加すればよいのかよくわからない
　このような疑問をお持ちの方はぜひ、ご参加下さい。
　日時：4月24日（火）17：00−18：00
　場所：JNSA事務局　1F 会議室
　参加お申込みは、JNSA事務局まで。

★「産学情報セキュリティ人材育成交流会」を開催します。
日時：4月28日（土）13：30−17：40
場所：東京大学 本郷キャンパス｜グランフロント大阪
詳細はこちら↓
https://www.jnsa.org/internship/event.html

★セミナー講演資料を掲載しました！
・2/26開催　IoTセキュリティWG主催
「IoTセキュリティセミナー｜
IoT機器を守るために何を学ばなければならないか？」
資料はセミナープログラムから↓
https://www.jnsa.org/seminar/2018/0226/

・4/17開催　JNSA PKI相互運用技術WG・電子署名WG主催セミナー
「PKI Day 2018｜
超スマート社会（Society 5.0）におけるトラストの在り方」
資料はセミナープログラムから↓
https://www.jnsa.org/seminar/pki-day/2018/

 

【事務局からの連絡、お知らせ】
★2018年度総会を以下の日程で行います。
　日時：2018年6月12日（火）16時から（会場：ベルサール神保町）
　同日に活動報告会も開催予定で、詳細は後日ご案内します。

★JNSA会報誌「JNSA Press Vol.45」をHPに掲載しました。
https://www.jnsa.org/jnsapress/vol45/

★サイバーインシデント緊急対応企業一覧を公開しています。
https://www.jnsa.org/emergency_response/
緊急対応可能な窓口をお持ちの会員企業様は、
JNSA事務局までお問合せ下さい。

☆次回配信は5月11日（金）を予定しています。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン　第135号
発信日：2018年4月20日
発　行：JNSA事務局　
*************************************