GoogleやDropboxのセキュリティ事故とクラウドセキュリティガイドラインに学ぶクラウドの選び方 | 第2回

第1回コラムでは、有事に備えるWebサイトのあり方について解説しました。この第2回では、自社のWebサイトをクラウド型CMSや各種クラウドサービスに委託する場合、どのようなことに注意するべきか、過去のクラウド事故やCSA（クラウド・セキュリティ・アライアンス：世界的なクラウド・セキュリティの業界団体）と経産省のガイドラインをもとに、クラウド選定の基準を解説していきます。

クラウドサービスの事故

クラウドサービスも人が作るものですので、ミスを100％なくすことできません。しかし、そのミスの傾向やパターンを知ることで、ある程度事故を回避できるはずです。もし、クラウドサービスに障害が発生したらどんなことが起こるのか、はじめにクラウドサービスの事故についていくつか紹介します。

• 2009年3月10日発表：Google Docsのセキュリティ障害

  米インターネット検索大手グーグルは、2009年3月7日にオンラインでドキュメントを作成・利用できるサービス「Google Docs」で、非公開のドキュメントが共有されてしまうという不具合の発生を確認したと発表しました。不具合は、7日までに修正されたそうです。影響を受けたのはユーザーの0.05％とされます。このようなマンションタイプの集合システム（ユーザーごとに個別のシステムを動かすのではなく、1つの大きなシステムを多くのユーザーが利用するシステム）の場合は、セキュリティ障害で広範囲な影響が出る場合があります。

  参考：オンラインサービス「Google Docs」に不具合、非公開の文書共有される（FPBB News）

• 2011年6月21日発表：Dropboxのセキュリティ障害

  日本でも人気の米国オンラインストレージサービス「Dropbox」では、現地時間の6月19日に約4時間、任意のパスワードで他のユーザーのアカウントにアクセスできる状態が続いたことを発表しました。こちらもマンションタイプの集合システムのため、セキュリティ障害で広範囲な影響が出る場合があります。

  参考：Dropboxでセキュリティ障害--一時的にパスワード不要のアクセス可能に（CNET Japan)

• 2009年4月21日発表：パトリオット法発動

  パトリオット法とは、簡単に説明すると9.11事件後に制定された政府の捜査権限に関する法律で、情報収集の権限が拡大されました。実例として、米国テキサス州のデータセンター企業Core IP Networks LLCは、FBIに予告なしに急襲され、全データセンターのシャットダウンを命令されました。その後、機材すべてが令状によって押収。社長宅にも同時に15台のパトカーとSWATチームが急襲したとのことです。

  海外クラウドの場合は、保管されているデータの扱いが物理的なデータ所在地の法配下におかれるため注意が必要です。しかしながら、Amazonクラウドのように、公式発表として「Amazonは米国資本の会社であるため、東京リージョンもパトリオット法の対象内である」と述べているクラウドもあるため、さらに注意が必要です。

  参考：FBIが令状によりデータセンターを押収、巻き添えの顧客は大損害（ブログ：Publickey）

以上のように、海外のクラウドサービスについては、データの扱いが物理的なストレージがある場所の法配下におかれるリスクがあります。また、国内外を問わず、マンション方式のホスティングの場合はセキュリティや権限の障害により、悪意の有無を問わず改ざんのリスクがあることも理解しておきましょう。

ユーザーを守るクラウド・セキュリティ・ガイドライン

次に、クラウドサービスを選ぶ際の指標となるクラウド・セキュリティ・ガイドラインについて国内外の資料を紹介します。もともとクラウド・セキュリティ・ガイドラインは、クラウドサービスを利用するユーザーを守るため、サービス品質の基準となる指針を明言するためのものです。各国の法律や考え方の違いにより若干差はありますが、基本的なポリシーは同じと考えてもらって結構です。ただし、それぞれに明言している範囲が違うのでご注意ください。

米国CSA
「Security Guidance for Critical Areas of Focus in Cloud Computing」
（クラウドコンピューティングで重要な領域のセキュリティ・ガイダンス）

米国のクラウドセキュリティに関する指針を作成する団体、クラウド・セキュリティ・アライアンス（CSA：Cloud Security Alliance）が作成したガイドラインです。

同ガイドラインは、ガバナンス、法律、ネットワーク・セキュリティ、監査、アプリケーション・セキュリティ、ストレージ、暗号化、仮想化、リスク管理といった各分野の課題に総合的に取り組んでおり、パブリッククラウド（一般利用者を対象としたクラウド）について重点的に記載しています。基本的に米国連邦法、州法に準拠して記載されているため、日本の法律を想定していませんのであらかじめご注意下さい。

原稿執筆時の最新版、Version2.1の章構成は以下の通りです。英語資料になりますが、章構成を見るだけで、おおよそ何が書いていあるか、どんな点に注意すべきかわかると思います。

• セクション1. クラウド・アーキテクチャー
  • ドメイン1: クラウドコンピューティングの定義
• セクション2. クラウドを統治する
  • ドメイン2: 政府と企業のリスクマネジメント
  • ドメイン3: 法律と電子証拠開示
  • ドメイン4: コンプライアンスと監査
  • ドメイン5: 情報のライフサイクル管理
  • ドメイン6: クラウドの移植性と相互運用性
• セクション3. クラウドの運用
  • ドメイン7: 事業継続と災害対策
  • ドメイン8: データセンター運用
  • ドメイン9: 事故への対応・通知・復旧
  • ドメイン10: アプリケーションとセキュリティ
  • ドメイン11: 暗号化と鍵の管理
  • ドメイン12: IDとアクセス管理
  • ドメイン13: 仮想化

なお、上記の各章が「Recommendation（推奨、問題提起）」と「For SaaS Solution（解決方法）」の構成で書かれています。また、あくまでガイドラインであるため、守るべきチェック項目を中心に書かれており、どこまで遵守すればよいかなどの数値基準は原則として書かれていません。あくまでクラウドを選択する際のチェックリストとして活用するのがよいでしょう。

経済産業省
「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」

国内初の本格的なクラウド・セキュリティ・ガイドラインです。全体のページ数は90ページと比較的短くまとめられており、また実践的な内容が多いので、現時点でクラウドサービスを選択するうえで、最良のガイドラインだと言えるでしょう。ただし、あくまでガイドラインですので、こちらも数値的な基準値は記載されていません。ユーザーとプロバイダ側の監査ツールとして使用することを想定したクラウドセキュリティに関する考え方をまとめたものです。あくまでクラウド選択の際のチェック項目としてご利用ください。

経産省のサイトからは複数のファイルがダウンロードできますが、まずは「クラウドサービス利用のための情報セキュリティマネジメントガイドラインについて（PDF）」に目を通すとよいでしょう。全体をわかりやすくプレゼンテーション形式でまとめてあります。

10分でできる、セキュリティを考慮したクラウドのチェックポイント

今回はクラウド・セキュリティ・ガイドラインについて紹介しました。クラウドサービスの選定前には、すべてのガイドラインに目を通していただきたいところですが、なかなか大変でしょう。そこで最後にもう1つ、10分でできるクラウドサービスのチェックポイントお伝えします。それは、標準規格に準拠しているかをチェックすることです。

クラウド・セキュリティ・ガイドラインを遵守することは、プロバイダ側にとってはコストがかかることであり、リスクを負うことでもあります。よってクラウド・セキュリティ・ガイドラインを遵守しているプロバイダはパンフレットやWebページにて、情報セキュリティマネジメントシステム（ISMS）が、国際標準規格である「ISO/IEC 17799」や日本工業規格 JIS Q 27002「情報セキュリティマネジメントの実践のための規範」に準拠していることを記載しているはずです。ぜひ、チェックしてみてください。

例を示すと、弊社のデータセンターである「S-Port」では次のような記載があります。

次にクラウドサービスの規約などもチェックしてみてください。ほとんどのクラウドサービスの規約は、プロバイダ側のリスクヘッジのために作られています。裏を返せば、そこに書いている以上のことはしてくれません。特に規約の部分で確認しておきたいのが、BCP（事業継続計画）関連の部分です。大規模障害や有事の際に、どのような手順でいつまでに復旧できるかを明記しているサービスを利用するべきと考えています。BCP関連で注意すべき点については、第1回の記事も参考にしてください。