【テクニカルレポート】クラウドコンピューティングにおけるセキュリティ確保の取り組み（前編）……日立評論

ブロードバンドテクノロジー

2012年8月11日（土） 13時15分

　クラウドコンピューティングの特徴は、クラウド事業者が提供するネットワーク、サーバ、ストレージなどのITリソースを不特定多数の利用者が共用することにある。複数の利用者が同一ITリソースを使用することにより、情報漏洩や他利用者からの影響などの危惧が生じる。さらに、システムがクラウド事業者の管理下にあることから、自社内では可能だったコンプライアンス確保も課題となる。

　日立クラウドソリューション「Harmonious Cloud」は、クラウドに特有のセキュリティの確保に取り組んでいる。

【1】はじめに

　クラウドコンピューティングの誕生により、IT（Information Technology）システムを「所有」せずに「利用」することが可能となった。クラウドの巨大リソースを不特定多数が共用することによって、効率化の実現からコストの削減がもたらされた。一方でクラウドの利用者数増加に伴い、社会的影響が大きくなったことで、障害時の業務継続や情報セキュリティの確保などが課題になっている。

　このような状況から、社会基盤化するクラウドに対し、セキュリティの面で国内外の公的機関や業界団体によるガイドラインなどの制定が進められている。

　日立グループは、クラウドサービスの安全・安心を実現するため、これらガイドラインなども踏まえながら、種々の取り組みを行っている。

　ここでは、クラウドコンピューティングにおけるセキュリティ確保の取り組みについて述べる。

【2】セキュリティの観点からのクラウドの特性

2.1　リソースの共用と独立性

　クラウドコンピューティングでは、クラウド事業者が提供するITリソース（ネットワーク、サーバ、ストレージなど）を不特定多数の利用者が共用する。通常、ビジネス向けのクラウドシステムでは、利用する企業（テナント）ごとに、仮想化技術などを用いて相互に独立した環境を提供している（図1参照）。しかし、物理的には同一のITリソースを使用することから、テナント間の「独立性」の強度が、クラウドにおけるセキュリティの最重要項目となる。独立性に関しては、以下のような項目が考えられる。

（1）データの独立性
　ほかのテナントによるアクセスから自社のデータが防護されており、使用を終了したストレージ中のデータ消去など、ライフサイクル全体にわたる措置がなされていること

（2）性能の独立性
　あるテナントの処理負荷が、ほかのテナントの性能に影響を与えず、性能負荷の伝播（ぱ）が局所化され、限定されること

　一般に、（2）については、多くのクラウドサービスは「ベストエフォート」であるとし、処理速度などはクラウド全体の負荷状況に左右されるとしている。しかし、企業活動にとって重要なシステムもクラウドへと移行しようとしている現在では、看過できない要素となっている。

2.2　外部システム利用とコンプライアンス

　さらに、クラウドコンピューティングでは、自社内では可能だったコンプライアンス確保も課題となる。情報システムにおける法令・規制・契約を順守するためのコンプライアンスは、システムが自社の管理下にある場合、ログなどの証跡保持、モニタリングの実施などによって確保することが可能である。他方、クラウドにおいては、このような措置はクラウド事業者の中で行われる。このため、利用者がコンプライアンスに関わるような事象を把握し、検証するための手段が必要となる。

　これについては、クラウド事業者との間で、証跡（例：作業履歴，ログデータ）の保全やモニタリング項目（例：応答性能，外部からの攻撃数）の計測をSLA（Service Level Agreement）などで規定し、利用者側で捕捉するなどの方法が考えられる。

【3】クラウドセキュリティに関する動向

3.1　国内の動向

　上述のとおり、クラウドコンピューティングでは、クラウド独自の特性に応じたセキュリティ対策が必要となっている。クラウドの普及が進む中、公的機関・業界団体などがクラウドセキュリティに関する各種のガイドラインを策定している（表1参照）。

　総務省による「ASP（Application Service Provider）・SaaS（Software as a Service）における情報セキュリティ対策ガイドライン」は、安全性・信頼性に対する事業者の情報開示を促進することを目的としている。一般財団法人マルチメディア振興センターは、このガイドラインなどを根拠として「ASP・SaaS安全・信頼性に係る情報開示認定制度」を運用している。この認定制度では、事業者やサービスの安全・信頼性に関する情報について開示項目を規定している。外部システムの利用に関し、利用者がその評価を可能とすることを目的とした制度と言える。

　経済産業省が策定した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」では、利用者向け手引き事項、事業者向け要望事項を中心としつつ、事業者が対応すべき要望事項が整理されている。このガイドラインは、情報セキュリティ規格群ISO/IEC 27000シリーズでの標準化に向けて日本から提案され、現在、標準化作業が進められている。

　双方のガイドラインに共通する点は、ISO/IEC 27002を基本に、クラウドの特性に応じた管理策の応用を行っていることにある。主な観点として次の三つが挙げられる。

（1）事業者から利用者へのセキュリティ対策情報の開示
（2）セキュリティ対策責任分担の明確化
（3）利用者資産や利用サービス状況の利用者への可視化（監視機能の提供）

　官公庁調達事案では、以前から内閣官房情報セキュリティセンター（NISC：National Information Security Center）が政府機関の情報セキュリティを全体的・共通的に向上するために「政府機関の情報セキュリティ対策のための統一基準群（管理基準、技術基準）」を発行している。クラウド利用の要件として、最近の改訂で以下の項目などが加えられた。

（1）海外のデータセンターに情報を保存する場合の留意点
（2）事業者間の管理責任範囲の明確化

3.2　海外の動向

　海外でのクラウドセキュリティに関する動向としては、米国に本拠を置く非営利法人のCSA（Cloud Security Alliance）の活動が挙げられる。

　CSAは、日本支部が設立されている。また、独立行政法人情報処理推進機構（IPA：Information-technology Promotion Agency，Japan）は、クラウドセキュリティに関する調査研究、普及啓発、教育、対策・指針策定などを目的に、CSAと相互協力協定を締結している。

　欧州では、ENISA（European Network and Information Security Agency：欧州ネットワーク情報セキュリティ庁）が、「クラウドコンピューティング：情報セキュリティ確保のためのフレームワーク」、「クラウドコンピューティング：情報セキュリティに関わる利点、リスクおよび推奨事項」を発行するなどの活動を行っている。

※後編に続く

■参考文献

1）総務省：ASP・SaaSにおける情報セキュリティ対策ガイドライン
http://www.soumu.go.jp/main_sosiki/joho_tsusin/policyreports/chousa/asp_saas/pdf/asp_saas_zentai.pdf

2）経済産業省：クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表
http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html

3）内閣官房情報セキュリティセンター：政府機関の情報セキュリティ対策のための統一基準
http://www.nisc.go.jp/materials/index.html

4）勝見：クラウドセキュリティアライアンスとその活動について、情報処理、Vol. 51，No. 12，情報処理学会（2010.12）

5）日立製作所：「安全・安心クラウド」を実現するための日立のセキュリティの取り組み―日立「プラットフォームリソース提供サービス」（PaaS/IaaS）を例として―
http://www.hitachi.co.jp/cloud/solution/paas/platform.html

■筆者紹介（敬称略）
高原清：1991年日立製作所入社、情報・通信システム社 ITサービス事業部クラウド本部クラウドソリューション開発部所属現在、Harmonious Cloudのサービス開発に従事情報処理学会会員

永井康彦：1985年日立製作所入社、株式会社日立コンサルティング ITコンサルティング＆サービス本部所属現在、システムセキュリティデザインのコンサルティングに従事工学博士情報処理学会会員、電子情報通信学会会員、電気学会会員、日本航空宇宙学会会員

受田賢知：2001年日立製作所入社、横浜研究所情報サービス研究センタサービスイノベーション研究部所属現在、クラウドコンピューティングの研究に従事情報処理学会会員

※本記事は株式会社日立製作所より許可を得て、同社の発行する「日立評論」2012年7月号収録の掲題論文を転載したものである。

《RBB TODAY》