クラウド元年

横浜市バズワード好きリーグ(YBFL)の一部リーグプレイヤーの私としては、今年は無駄にクラウドクラウドいうことにします。みなさん覚悟してください。

クラウドとセキュリティ

 「クラウド時代のセキュリティ」とは何でしょうか。セキュアプログラミング、脆弱性つぶし、暗号、認証手段といったセキュリティを守るための要素技術はあまり変わらないと思います。セキュリティの観点からみて、今までのシステムとクラウドによるシステムが異なる点で注意すべきは何でしょうか?2つの視点があると思っています。

  1. サービスモデル:「明示的に」三者モデルにつまり、サービス利用者、サービス提供者(クラウド利用者)、サービス運用者(クラウド提供者)です。また、その三者モデルがすべて多対多の関係で結びつくこともポイントです。
  2. クラウドの持つ特性:
    1. 外部・内部設計を頻繁に変えることができる
    2. 可変性の中で類似のシステムが多数存在すること
    3. 運用重視

これらの二つの視点から議論すべき点が3つほどあります。

内部統制対応

 よく言われることですが、内部統制対応です。はっきり言ってクラウドと内部統制は水と油です。「中身はよーわからんがなんかうまい具合にしてくれるもの」を「中身をきっちり統制する」ことができるはずありません。そもそもクラウドはXaaSといわれますが、中身の仕組みや運用を知らないと使えないという意味では、内部統制を実現するクラウドは一般的なサービスの定義から外れている気がします。
 実際、クラウドに配置されているサービス提供の仕組みがクラウド利用者、つまりサービス提供者の知らないところで定期的に変更されているということは、クラウド提供者側の効率化などのクラウドの特長を実現するうえで十分考えられることだと思います。それでも、サービス運用者側にクラウドが内部統制を満たす仕組みであり、仕組みに沿った運用がなされていることを証明してもらわなければなりません。ところが、変更が頻繁に起こるとすれば、変更前後で常に内部統制状態になるよう機械的にな仕組みを作らねば不便ですね。

クラウド提供者の信頼証明

これは直接内部統制とは関係ないですが、クラウドがセキュアであることをサービス利用者にも分かる形で示さないとならない点でしょう。今まではインターネットバンキングなどでも何となくサービス利用者はサービス提供者を信用していたわけですが、これはサービス提供者の実社会での信頼が元になっていたんだと思います。もちろん、裏はSIベンダのデータセンタだったりするわけですが、サービス利用者はサービス提供者を信頼するので裏のデータセンタの信頼性を気にしたかったと思います。しかし、明示的にクラウドを使っていることを宣言した場合は必ずサービス利用者が、サービス利用者だけではなく、サービス運用者(クラウド提供者)側を信頼できる仕組みが必要となってきます。
 たとえば、サービス利用者がその信頼の源に「内部統制がされていること」ということが重要なファクターになったと(これはちょっと??ですが、法律、入札条件、何か社会的な問題が起こった場合はそうなるでしょう)考えてみてください。クラウド提供者側が、内部統制がされていることを証明しなければなりません。クラウド提供者は複数のクラウド利用者分の内部統制を実装しなければなりませんが、機械的にな仕組みを作らねば不便ですね。
そうでなくともすでに証明書のレベルで問題が発生している現状を考えると今後はもっときっちりこの問題を議論する必要があるでしょう。

セキュリティのコスト

 現在、企業システムの内部統制は、内部統制が可能な物理的・手順的な仕組みをコンサルなどを利用して実装し、それが運用されていることを証明するような監査人のお墨付きをもらうという形で実施していると思います。このコストは馬鹿になりません。クラウドを使えば低コストで済みます。実際、内部統制でもっとも面倒なのは、たぶん腐りきったレガシーシステムや全く独自の業務プロセスの分析でしょうから。モノが外だしされれば非常に楽になります。

http://www.encrisp.com/solutions.aspx?id=14

とりあえずまずはそんなところで。