マッシュアップ時代の情報セキュリ ティの考え方とガイドラインの
クラウドコンピューティングの進展と情報セキュリティ政策セミナー マッシュアップ時代の情報セキュリ ティの考え方とガイドラインの活用 2014年3月26日 ニフティ株式会社 クラウド事業部 (JASA-クラウドセキュリティ推進協議会) 久保田朋秀 © JASA-JCISPA 2014 無断複製を禁じます クラウドセキュリティガイドラインの前提 クラウドセキュリティはサービスの 利用をより促進するためのもの クラウドセキュリティに必要な要素は・・・ 安全 安心 信頼 Safety Security Assurance © JASA-JCISPA 2014 無断複製を禁じます クラウドセキュリティガイドラインのあるべき姿 ガイドラインは責任分界を明確にし 中小・ベンチャー事業者への過剰な 負担をなくしていく効果も期待 ガイドライン P.16より抜粋 © JASA-JCISPA 2014 無断複製を禁じます コンポーネントの安全と安心 APIマッシュアップ時代にあったコンポーネントの安全・安 心までブレイクダウンしたガイドライン発展の必要性 ITサービスにおける安全性の確保と安心の考え方 ITサービスにおける安全と安心/クラウドサービスの利用環境の整理 クラウドサービスの安全性確保における粒度の検討 安全性確保のための役割と責任 各プレイヤーの役割/プレイヤー間における信頼性確保/クラウドサービスの利用 環境における信頼性確保/プラットフォーム型のプレイヤーに望まれる対応 プラットフォーム型のプレイヤーの信頼性確保 クラウド時代のデータ利活用のための考え方 クラウド時代のITサービスとデータのライフサイクル クラウドサービス上のデータの種類と分類指針 監査の活用による安全性の保証 APIマッシュアップ時代の安全性の考え方 安全性モデルの考え方(機能と保証レベル)/信頼性確保のための監査の活用 今後の課題と提案 ITサービス産業発展のためにセキュリティができること 国内外のその他の基準との整合性 © JASA-JCISPA 2014 無断複製を禁じます クラウドサービスの構造(ECの場合の例) エンドユーザー クラウドサービス 広告 広告配信 Aモール店 認証 サーバー 検索 Bモール店 Cモール店 流通 倉庫 決済 在庫管理 受発注管理 ストレージ PBaaS 店舗 クラウド利用者 © JASA-JCISPA 2014 無断複製を禁じます APIを組み合わせたアプリケーション構造 アグリゲートされたクラウドサービスは 多数のAPIの連結の構造体 広告配信 決済 認証 Aモール店 サーバー Bモール店 ストレージ 在庫管理 受発注管理 PBaaS Cモール店 流通 店舗 倉庫 © JASA-JCISPA 2014 無断複製を禁じます クラウドセキュリティの課題 データの流れの中に存在する 無数の企業 無数のAPIの組み合わせ その経路 安全性・信頼性をいかに保証するのか? リスクポイントの洗い出しにガイドラインを © JASA-JCISPA 2014 無断複製を禁じます クラウド利用者からの視点 データ保管にかかるセキュリ ティ対策はクラウドベンダー に移転 クラウド利用者である店舗は IT資産は保有せず、データはクラウドに預ける © JASA-JCISPA 2014 無断複製を禁じます 利用者と事業者の責任分界点とリスク 偽サイト誘導 マルウェア DDoS攻撃 EDoS攻撃 リスト型アタック 不正な決済 情報漏えい リスクベース サイバー攻撃はどこに来るか? 守るべき責任はどこにあるか? 自身が行うべき対策・責任は何か? © JASA-JCISPA 2014 無断複製を禁じます クラウド時代に必要な考え方 クラウドサービスを活用する時代の 情報セキュリティガバナンス 説明責任 責任の明確化 選定責任/管理責任 © JASA-JCISPA 2014 無断複製を禁じます 事故とクラウドガバナンス 情報漏えい インシデントが 発生 何が漏えいしたか? どこから漏えいしたか? 問題に対する対策をどうするか? © JASA-JCISPA 2014 無断複製を禁じます システムライフサイクルとリスク管理 システムライフサイクルの中で リスク管理の方策も提示すべき事項 広告配信 決済機能 認証機能 Aモール店 サーバー Bモール店 ストレージ 在庫管理 受発注管理 PBaaS Cモール店 流通 店舗 倉庫 © JASA-JCISPA 2014 無断複製を禁じます クラウド利用者にわかりやすい対策レベルの表示 たとえばこのような証明制度(案) Level.5 eg) 本番環境での有資格者による外部監査 Level.4 eg) 例えば 本番環境での有資格者による内部監査 Level.3 eg) テスト環境における客観的な評価 Level.2 eg) テスト環境の提供 Level.1 eg) 情報の開示 情報セキュリティ・システム監査の外部監査 情報セキュリティ監査・システム監査 ECシステムに推奨されるレベル 脆弱性テスト等の実施と結果情報の公開 試用期間/Sandboxなど ホワイトペーパー等による安全・信頼性の情報開示 © JASA-JCISPA 2014 無断複製を禁じます サプライチェーンの対策レベル例 パートナーシップ における保証 Lv.4 Lv.5 Lv.4 Lv.5 ユ ー ザ ー に 対 す る 安 全 広告配信 決済機能 Aモール店 Bモール店 Cモール店 在庫管理 受発注管理 Lv.4 流通 Lv.4 認証機能 サーバー ストレージ Lv.5 Lv.4 PBaaS Lv.4 倉庫 クラウドサービス利用者 契約者に対する保証 店舗 保証の根拠となる サプライチェーンの対策 © JASA-JCISPA 2014 無断複製を禁じます サプライチェーンの対策レベル例 Lv.4 Lv.5 Lv.4 Lv.5 広告配信 決済機能 Aモール店 Bモール店 Cモール店 在庫管理 受発注管理 Lv.4 Lv.2 流通 Lv.4 認証機能 サーバー ストレージ Lv.5 Lv.4 Lv.2 PBaaS Lv.4 倉庫 店舗 サプライチェーンのセキュリティレベルは低いレベルに依存 © JASA-JCISPA 2014 無断複製を禁じます クラウド特有のリスク 番号 H01 H02 H03 H04 H05 H06 M07 M08 M09 M10 M11 L12 L13 L14 L15 L16 L17 L18 L19 L20 L21 リスクの識別名 リソース・インフラの高集約によるインシデントの影響の拡大 仮想/物理の設計・運用の不整合 他の共同利用者の行為による信頼の喪失 リソースの枯渇(リソース割当の過不足) 隔離の失敗 サービスエンジンの侵害 クラウドプロバイダでの内部不正-特権の悪用 管理用インターフェースの悪用(操作、インフラストラクチャアクセス) データ転送途上における攻撃、データ漏えい (アップロード時、ダウンロード時、クラウド間転送) セキュリティが確保されていない、または不完全なデータ削除 クラウド内DDoS/DoS攻撃 ロックインによるユーザの忌避 ガバナンスの喪失 サプライチェーンにおける障害 EDoS攻撃(経済的な損失を狙ったサービス運用妨害攻撃) 事業者が管理すべき暗号鍵の喪失 不正な探査・スキャンの実施 証拠提出命令と電子的証拠開示 司法権の違い データ保護 ライセンス 経済産業省 平成23年度企業・個人の情報セキュリティ対策促進事業(グローバルなクラウドセキュリティ監査の利用促進) クラウドサービスにおけるリスクと管理策に関する有識者による検討結果(2011年度版) © JASA-JCISPA 2014 無断複製を禁じます これから必要とされる監査・認証制度 コンポーネントごとに想定されるリスクに対する対策を行う © JASA-JCISPA 2014 無断複製を禁じます これから必要とされる監査・認証制度 各コンポーネントのセキュリティ対策の積み重ねですべての リスクに対応していることを証明していく。 でコ 想ン 定ポ さー れネ るン リト スの ク組 にみ 対合 応わ せ 全 体 安心 安全 信頼 © JASA-JCISPA 2014 無断複製を禁じます 情報セキュリティリテラシーと人材 18万人もの情報セキュリティ人材の不足 適切なコンポーネントの選択 必要なセキュリティ対策 技術者・エンジニア中心の中小・ベンチャー企業の 情報セキュリティ専門家の育成が急務 © JASA-JCISPA 2014 無断複製を禁じます クラウドセキュリティ人材への取り組み エンジニアへガイドラインを元にした クラウドセキュリティ/監査の教育 JASA-クラウドセキュリティ推進協議会 36社の加盟企業のエンジニアへの教育 情報セキュリティ監査人補 資格 2013年度 45名 取得 → クラウドセキュリティ監査人へ © JASA-JCISPA 2014 無断複製を禁じます 情報セキュリティを産業振興のガソリンに! • コンポーネントレベルからの 安全・安心・信頼の基準によるインカム – 中小・ベンチャーのアイデアや技術を活かした 優れた製品の競争優位性が高まる – 大手企業にとってはAPIコンポーネントの利用 量が増える – 我が国のIT産業の競争力の底上げ © JASA-JCISPA 2014 無断複製を禁じます 今後期待される取り組み 統一基準の輸出等により市場はアジアへ、世界へ 安全性モデルの構築は政府としての取り組みが望まれる © JASA-JCISPA 2014 無断複製を禁じます ガイドライン発行後の今後 クラウドセキュリティガイドラインを規範とした レベル分けされた安全性モデルの構築 エンジニアに対する情報セキュリティ教育 (人材育成/資格の活用) リスクベースでのクラウドセキュリティ監査 JASA-クラウドセキュリティ推進協議会にて パイロットで実施中 詳細は次の講演で… © JASA-JCISPA 2014 無断複製を禁じます ありがとうございました © JASA-JCISPA 2014 無断複製を禁じます
© Copyright 2024