マッシュアップ時代の情報セキュリティの考え方とガイドラインの活用

マッシュアップ時代の情報セキュリ

ティの考え方とガイドラインの活用

2014年3月26日

ニフティ株式会社 クラウド事業部

（JASA-クラウドセキュリティ推進協議会）

久保田朋秀

クラウドコンピューティングの進展と情報セキュリティ政策セミナー

クラウドセキュリティガイドラインの前提

クラウドセキュリティはサービスの

利用をより促進する

ためのもの

クラウドセキュリティに必要な要素は・・・

安全

Safety

安心

Security

信頼

Assurance

クラウドセキュリティガイドラインのあるべき姿

ガイドラインは責任分界を明確にし

中小・ベンチャー事業者への過剰な

負担をなくしていく効果も期待

APIマッシュアップ時代にあったコンポーネントの安全・安

心までブレイクダウンしたガイドライン発展の必要性

コンポーネントの安全と安心

 ITサービスにおける安全性の確保と安心の考え方 ITサービスにおける安全と安心／クラウドサービスの利用環境の整理 クラウドサービスの安全性確保における粒度の検討  安全性確保のための役割と責任 各プレイヤーの役割／プレイヤー間における信頼性確保／クラウドサービスの利用 環境における信頼性確保／プラットフォーム型のプレイヤーに望まれる対応 プラットフォーム型のプレイヤーの信頼性確保  クラウド時代のデータ利活用のための考え方 クラウド時代のITサービスとデータのライフサイクル クラウドサービス上のデータの種類と分類指針  監査の活用による安全性の保証 APIマッシュアップ時代の安全性の考え方 安全性モデルの考え方（機能と保証レベル）／信頼性確保のための監査の活用  今後の課題と提案 ITサービス産業発展のためにセキュリティができること 国内外のその他の基準との整合性

広告配信 決済 在庫管理 受発注管理 Aモール店 Bモール店 Cモール店 サーバー ストレージ PBaaS 認証 倉庫 店舗 流通 広告 検索

クラウドサービス

クラウドサービスの構造（ECの場合の例）

エンドユーザー

決済 在庫管理 受発注管理 Aモール店 Bモール店 サーバー ストレージ PBaaS 倉庫 店舗 流通 広告配信 認証 Cモール店

アグリゲートされたクラウドサービスは

多数のAPIの連結の構造体

APIを組み合わせたアプリケーション構造

安全性・信頼性をいかに保証するのか？

リスクポイントの洗い出しにガイドラインを

データの流れの中に存在する

 無数の企業

 無数のAPIの組み合わせ

 その経路

クラウドセキュリティの課題

クラウド利用者である店舗は

IT資産は保有せず、データはクラウドに預ける

クラウド利用者からの視点

データ保管にかかるセキュリ

ティ対策はクラウドベンダー

に移転

サイバー攻撃はどこに来るか？

守るべき責任はどこにあるか？

自身が行うべき対策・責任は何か？

偽サイト誘導

マルウェア

不正な決済

情報漏えい

リスト型アタック

DDoS攻撃

EDoS攻撃

リスクベース

利用者と事業者の責任分界点とリスク

クラウドサービスを活用する時代の

情報セキュリティガバナンス

説明責任

責任の明確化

選定責任／管理責任

クラウド時代に必要な考え方

情報漏えい

インシデントが

発生

何が漏えいしたか？

どこから漏えいしたか？

問題に対する対策をどうするか？

事故とクラウドガバナンス

決済機能 在庫管理 受発注管理 Aモール店 Bモール店 サーバー ストレージ PBaaS 倉庫 店舗 流通 広告配信 認証機能 Cモール店

システムライフサイクルとリスク管理

システムライフサイクルの中で

リスク管理の方策も提示すべき事項

Level.1

Level.2

Level.3

Level.4

Level.5

たとえばこのような証明制度（案）

クラウド利用者にわかりやすい対策レベルの表示

eg) テスト環境の提供

試用期間／Sandboxなど

eg) 情報の開示

ホワイトペーパー等による安全・信頼性の情報開示

eg) テスト環境における客観的な評価

脆弱性テスト等の実施と結果情報の公開

eg) 本番環境での有資格者による内部監査

情報セキュリティ監査・システム監査

eg) 本番環境での有資格者による外部監査

情報セキュリティ・システム監査の外部監査

例えば

ECシステムに推奨されるレベル

決済機能 在庫管理 受発注管理 Aモール店 Bモール店 サーバー ストレージ PBaaS 倉庫 流通 広告配信 認証機能 Cモール店 Lv.5 Lv.5 Lv.5 Lv.4 Lv.4 Lv.4 Lv.4 Lv.4 Lv.4

クラウドサービス利用者

契約者に対する保証

保証の根拠となる

_{サプライチェーンの対策}

パートナーシップ

における保証

ユ

ー

ザ

ー

に

対

す

る

安

全

サプライチェーンの対策レベル例

店舗

決済機能 在庫管理 受発注管理 Aモール店 Bモール店 サーバー ストレージ PBaaS 倉庫 店舗 流通 広告配信 認証機能 Cモール店 Lv.5 Lv.5 Lv.5 Lv.4 Lv.4 Lv.4 Lv.4 Lv.4 Lv.4 Lv.2 Lv.2

サプライチェーンのセキュリティレベルは低いレベルに依存

サプライチェーンの対策レベル例

番号 リスクの識別名 H01 リソース・インフラの高集約によるインシデントの影響の拡大 H02 仮想／物理の設計・運用の不整合 H03 他の共同利用者の行為による信頼の喪失 H04 リソースの枯渇（リソース割当の過不足） H05 隔離の失敗 H06 サービスエンジンの侵害 M07 クラウドプロバイダでの内部不正－特権の悪用 M08 管理用インターフェースの悪用（操作、インフラストラクチャアクセス） M09 データ転送途上における攻撃、データ漏えい （アップロード時、ダウンロード時、クラウド間転送） M10 セキュリティが確保されていない、または不完全なデータ削除 M11 クラウド内DDoS/DoS攻撃 L12 ロックインによるユーザの忌避 L13 ガバナンスの喪失 L14 サプライチェーンにおける障害 L15 EDoS攻撃（経済的な損失を狙ったサービス運用妨害攻撃） L16 事業者が管理すべき暗号鍵の喪失 L17 不正な探査・スキャンの実施 L18 証拠提出命令と電子的証拠開示 L19 司法権の違い L20 データ保護 L21 ライセンス

クラウド特有のリスク

経済産業省 平成23年度企業・個人の情報セキュリティ対策促進事業（グローバルなクラウドセキュリティ監査の利用促進）

コンポーネントごとに想定されるリスクに対する対策を行う

各コンポーネントのセキュリティ対策の積み重ねですべての

リスクに対応していることを証明していく。

これから必要とされる監査・認証制度

安心

安全

信頼

コ

ン

ポ

ー

ネ

ン

ト

の

組

み

合

わ

せ

全

体

で

想

定

さ

れ

る

リ

ス

ク

に

対

応

適切なコンポーネントの選択

必要なセキュリティ対策

技術者・エンジニア中心の中小・ベンチャー企業の

情報セキュリティ専門家の育成が急務

18万人もの情報セキュリティ人材の不足

情報セキュリティリテラシーと人材

クラウドセキュリティ人材への取り組み

エンジニアへガイドラインを元にした

クラウドセキュリティ／監査の教育

JASA-クラウドセキュリティ推進協議会

36社の加盟企業のエンジニアへの教育

情報セキュリティ監査人補 資格

2013年度 45名 取得

→ クラウドセキュリティ監査人へ

• コンポーネントレベルからの

安全・安心・信頼の基準によるインカム

– 中小・ベンチャーのアイデアや技術を活かした

優れた製品の競争優位性が高まる

– 大手企業にとってはAPIコンポーネントの利用

量が増える

– 我が国のIT産業の競争力の底上げ

情報セキュリティを産業振興のガソリンに！

統一基準の輸出等により市場はアジアへ、世界へ

クラウドセキュリティガイドラインを規範とした

 レベル分けされた安全性モデルの構築

 エンジニアに対する情報セキュリティ教育

（人材育成／資格の活用）

 リスクベースでのクラウドセキュリティ監査

JASA-クラウドセキュリティ推進協議会にて

パイロットで実施中

詳細は次の講演で…

ガイドライン発行後の今後