ガートナー ジャパン
メインメニュー ホーム リサーチ コンサルティング ベンチマーク エグゼクティブ プログラム イベント 会社情報 メインメニュー
SAMPLE RESEARCH

サンプル・リサーチ

イメージ クラウド・コンピューティングのセキュリティとコンプライアンスについて理解しておくべきこと

Enterprise Applications (APP)/APP-10-81
Research Note
J. Heiser
掲載日:2010年7月21日/発行日:2010年6月30日

クラウド・コンピューティングの技術モデルとビジネスモデルは、セキュリティに関する固有の課題をもたらす。こうした課題 には、新しいリスク評価と選定のプロセスを通じて対処しなければならない。

要約

機密性の高い情報は、適切な水準で保護されていることを確認できるサプライヤーの技術とプロセスに関する可視性が確保されていない限り、自社以外のクラウドで保管/運用すべきではない。セキュリティ管理者は、業務上および法律上のセキュリティ要件を慎重に分析する必要があり、調達の専門家との共同作業を通じて、セキュリティ機能、サービス・レベルと信頼性を迅速に評価するプロセスを開発しなくてはならない。

主要な所見

    ● 大半の企業は、社内部門が提供しているリスク管理サービスの形態と範囲を認識していない。その結果、セキュリティとコンプライアンスのニーズを十分に文書化しないまま、外部サービスを利用している。

    ● クラウド・コンピューティングのセキュリティは、早期採用企業が柔軟性と統制のバランスについてノウハウがあり、セキュリティと透明性を強化するようプロバイダーに迫るため、次第に洗練されることになる。

推奨事項

    ● クラウド・コンピューティングの利用は、説明責任、プライバシー、機密性、整合性、可用性に関するビジネス・ニーズを満たしていることを明確に示せる十分な透明性を、プロバイダーが確保している場合にのみ検討する。

    ● クラウド・コンピューティングによるサービス・デリバリが適切なユースケースと不適切なユースケースを特定し、技術購入担当者が確実にクラウド・コンピューティング・サービスの利用に関するポリシーを認識/厳守するようにする。

    ● クラウド・コンピューティング・サービスへ全面的に移行する前に、セキュリティの再確認 (維持) を実施する。

    ● アプリケーションの脆弱性に関してソース・コードをテストした証跡を提出するようクラウド・プロバイダーに要求し、適切な場合は、クレジットカード業界セキュリティ基準協議会 (PCI DSS)、米国の医療保険の携行性と責任に関する法律 (HIPAA)、EUのデータ保護指令などの規制標準に従うことを約束するよう求める。


分析

要約
どのような形態であれ、外部サービスには、特権ユーザーへのアクセス、顧客同士の隔離、フィジカル・セキュリティをめぐるセキュリティ上の疑問が生じる (「How to Manage Risk in Alternative Delivery Models」参照)。クラウド・コンピューティングは、時には異なるデータセンターに存在する複数のホストに処理を分散する仮想化の仕組みを通じて規模の拡大を実現する。このモデルは恐らく高度な事業継続性をもたらし得るが、適切なレベルのデータ・セキュリティを維持しつつネットワーク全体で信頼できる認証を行うことは、スキルが問われるセキュリティ上の課題となる。セキュリティに関するその他の懸念としては、数千社の顧客の貴重なデータが集中している状態が、インターネット上の攻撃者にとって格好の標的になるという点が挙げられる (「What Does Google Know?」参照)。技術、組織、プロセスが透明性に欠ける状況では、外部サービスで企業データを保管または処理する際、データがどれだけ保護されるのかという判断が困難となる。

分析
外部サービスは、処理するデータのセキュリティ要件を満たすように設計/実行されていることが確認できるまで利用してはならない。サービス・プロバイダーを利用する際は、プロバイダーがデータの保護に責任を持つよう要求しなければならないが、説明責任までプロバイダーにアウトソースすることはできない。サービスの範囲内で発生したあらゆる事態について、規制当局、ビジネス・パートナー、顧客、従業員に説明する責任は、依然としてそのサービスを契約した企業側にある。プロバイダーは自社サービスが安全であると約束し、通常は実際に安全であると考えられるが、とはいえ、付随するリスクを評価する義務が当該サービスを購入した企業にあることに変わりはない。

規制のコンプライアンスに関して、具体的には以下のような問題が挙げられる。

    プライバシー:個人情報の扱いに関する規制は世界中で異なり、個人情報の国外保管の可否をめぐって制限を課す国が増えている。クラウド・サービスにおいて、1つのサービス・レベルだけであらゆる法域に対応するのは不可能である。特定の国にデータを保管するという契約上の義務を通して、プライバシーに関する規制に対処しようとするプロバイダーが増えているが、実態の検証は困難である。

    法域:国および州による規制の影響は、プライバシー上の考慮事項にとどまらない。適切なプラクティス、調査支援、データの漏洩/侵害に関する情報開示を含むさまざまな問題への要件は、法域によって異なる。契約上の義務とされていても、それがあらゆる国で同じように遵守され、同程度の強制力を持つと想定してはならない。

    PCI:PCI DSSは、カード処理システムに最も適用されるが、クレジットカード番号を保管する (クラウド・ベースのCRMアプリケーションでは予想以上に頻繁に発生する) たびに、組織はカード番号の漏洩を防ぐ法的/倫理的な義務を負う。

    調査と電子開示 (E-Discovery):不適切な活動や違法な活動の社内調査とE-Discoveryは、組織内のインフラ基盤で実施する場合でも困難であり、高いコストが発生する。業務レコードと考えられるものすべてを処理するサービスの導入を検討している場合や、それ以外に調査を実施する必要があると予期している場合、サービス・プロバイダーがそうしたサービスを進んで支援することはもちろん、支援する能力を持つことさえ期待できない。特にクラウド・サービスでは、多数の顧客に関するログとデータが同じ場所に存在し、さらに組み合わせが絶えず変化するホストとデータセンターに分散されている可能性があるため、調査が困難である。特定の形態の調査を支援するという契約上の義務と、そのような活動をかつて支援し成功させたという証拠が得られない場合、調査と証拠開示は要求できないと想定しておく以外に安全策はない。特に政府や裁判所の決めた日程を守る必要があるのであれば、調査費用が極めて高額になる可能性がある点に注意すべきである。

    行政機関による調査:サービス・プロバイダーは、どの法域で業務を行っているのであれ、その法域の規制に従わねばならないことから、米国外の顧客が米国愛国者法 (USA PATRIOT Act) の影響について懸念を抱くのは当然である。行政機関による調査を支援する必要があるならば、権限を持つ者が顧客データにアクセスできる仕組みが存在することは十分に想定可能であり、その仕組みの不正利用を防ぐ対策についてサービス・プロバイダーに問いただすべきである。ある顧客に対して警察などの法執行機関による調査がなされた場合、機器やデータが押収される可能性があり、他の顧客にも影響が及ぶ恐れがある。

    データ保持:法的な目的で業務レコードをアーカイブしなければならない場合は、関連するクラウド・ベースのあらゆるアクティビティにおいても、データの保管と検索が検証可能なほど堅牢なアーカイブ機能を提供しなければならない。ハイエンドの電子メール製品はそのような要件を満たしていることが多いが、それ以外の大半のクラウド・サービスはそうではない。

    プロセス検証:プロセスの監視を重視する米国企業改革法 (SOX法) などの規制への対応として、通常は米国公認会計士協会が定めた監査基準書第70号 (SAS70)が適用される。これはセキュリティ認証であるかのように誤解されることが多いが、実際はプロセスの審査にすぎず、技術上の問題は考慮されない高額な第三者認証である。

必要となる詳細情報
外部サービスがどのようなレベルのセキュリティと事業継続性を実現していても、技術、プロセス、人、場所に関する情報が少なければ少ないほど、保護と統制の相対的レベルについて有益な評価を行うことは難しくなる。企業のデータセンターに適用する際は良好に機能するリスク評価プロセスであっても、外部サービスについては、事故や人間による不正操作に十分耐え得るという実用レベルの保証は得られないことが多い。適切な詳細情報がなければ、特定のユースケースに関して十分に安全であるという結論を出すことはできない。新しいコンピューティング・モデルには、新たなリスク評価プロセスが必要である。

サービスのセキュリティとコンプライアンスの相対的リスクを評価する方法としては、基本的に以下の3つがある (「Assessing Outsourcing and Third-Party Security Risks」参照)。

    プロバイダーの主張をそのまま信用する:クラウド・コンピューティングを導入する企業の多くは、適切に管理されているというプロバイダーの言葉を信用して、それ以上のリスク評価を実施しない。機密性の低いデータやプロセスであれば問題ないかもしれない。しかし、クラウド・コンピューティングの場合、他の用途にとっては便利な、サービスとしてのソフトウェア (SaaS) アプリケーションを「機密性の高い情報の保管には使用禁止とする」というポリシーを設定しても、ユーザーが日常的に無視すると考えられることを認識しておくべきである。機密性が低い情報であれば、実際にプロバイダーの自己評価が十分に厳格かつ客観的なものであることもあり得る。プロバイダーがサービスとその評価方法について詳細な情報を提供すればするほど、保証のレベルは上がる。

    セキュリティ評価をオンサイトで実施する:最近ガートナーが実施した調査によると、ガートナーの顧客の半数以上がサービス・プロバイダーに対するオンサイト・セキュリティ評価を実施していた。これは、ある時点のリスク水準については比較的レベルの高い保証となるものの、社外で評価を実施する顧客とそれに対応するプロバイダーの双方に多額の費用が発生する。

    オンサイト評価を実施する第三者機関を利用する:結局は、第三者機関の方が客観的であり、通常は特殊な専門知識も備えている。第三者評価の費用は、複数の顧客で分担することができれば上記の方法よりもはるかに安くなる可能性がある。その実現性が最も高まるのは、標準化されたセキュリティ認証を利用する場合である。しかし残念なことに、現在そのようなプログラムは非常に脆弱である。ISO 27001が最もよく知られているが、まだ監査などの規則ではない。SAS70は汎用的な監査基準であり、個別のセキュリティやコンプライアンスのニーズに対処するものではないが、リスク認証の形式としては最も一般的である。規制対象の情報が関係する場合はSAS70の利用が望ましいと考えられるが、SAS70に基づくサービスを購入する企業は、監査の対象範囲とプロセスのセットが十分に包括的なものであることを細心の注意を払って確認すべきであり、監査報告書を慎重に分析しなければならない。SAS70評価の成果物は、プロバイダーのリスクを評価するすべての企業にとって有益なはずであるが、SAS70は北米の標準であり、他の地域で完全に適用可能ではない。SAS70はプロセスを評価するだけであって基盤となる技術は評価しないため、特定のコンピューティング環境の利用に付随するリスクをSAS70によって完全に評価することは不可能である。

クラウド・コンピューティング・サービスのセキュリティ評価においては、実施する当事者を問わず、以下に挙げる3つの主なプロセス領域を評価する必要がある (「Assessing the Security Risks of Products and Services」参照)。

    設計:当該クラウド・コンピューティング製品は必要なセキュリティ機能を備えているか。内部および外部からの攻撃に耐えられるように正しく設計されているか。

    実装:コーディング・プロセス、実装、導入は適度に厳格であったか。

    運用:設計目標を満たすように、適格性のある担当者が適切なプロセスに従って保守しているか。障害は迅速に特定され、対応されるか。

技術とプロセスに関する具体的な詳細情報の提供に加えて、プロバイダーは、契約書を含む書面での約束によって評価作業を裏付ける体制を取るべきであり、運用前および運用中にソース・コードのセキュリティ・テストを実施した証拠を提示できるよう用意すべきである。クラウド・ベースのサービス・プロバイダーは大半が透明性を欠いており、セキュリティ関連のクレームを受けて技術やプラクティスに関する具体的な詳細を明らかにすることはない。

クラウド・サービスを採用する計画がある場合は、セキュリティとコンプライアンスのニーズを満たすサービスを確実に導入する戦略を立案しなければならず、経験豊富な導入担当者とセキュリティ評価担当者を活用して、正当性を主張できるレベルの事前調査を確実に行わなければならない。クラウド・コンピューティングを実質的に利用する計画がある場合は、最低でも次のことを実施しなければならない。

    ● セキュリティ、事業継続性、プライバシー、規制へのコンプライアンスに関するリスクを評価するプロセスを導入する。

    ● リスク・レベルと企業のリスク目標に基づいて、サービス・デリバリの方法ごとに適切なユースケースを特定する。

    ● 契約に関する新たな専門知識を得る。クラウド・コンピューティングのリスクに対処するには、ほかに例のない契約条項が必要となる可能性があり、クラウドに関する契約の成熟度は今後も高まり続ける。

    ● 運用を開始する前に、技術上および手続き上の補完統制を選択し、導入する。

大半の企業は外部サービスを評価するプロセスを既に導入しているが、クラウド・サービスは一般的に透明性が低いため、その評価は特に困難である。359社を対象にガートナーが最近実施した調査によれば、86%が第三者のセキュリティ管理を調査するプロセスを導入済みと答え、62%がプロバイダーへの質問票を利用し、54%がオンサイト評価を実施している。回答した企業の60%超が、年間3,000時間以上を費やして第三者のサービス・プロバイダー (およびビジネス・パートナー) のセキュリティ管理を評価している。これは高額なコストが発生する作業である。回答したガートナーの顧客の14%がまったく評価プロセスを持たないという結果は、特に懸念される (リサーチノート、ITD-09-18、2009年5月8日付「サードパーティのセキュリティ管理の調査が企業の負担になっている」参照)。

結論
高レベルのリスクをいとわない早期採用企業が柔軟性と統制のバランスについて実践するため、クラウド・コンピューティングのセキュリティは次第に洗練されてくる。クラウド・プロバイダーは、セキュリティ保証に関する情報のフローを確立するために、顧客、標準策定団体、規制当局との関係を構築しなければならない。この情報フローによって、クラウド環境におけるセキュリティ慣行の継続的な発展が推進されると考えられる。「信頼してください、何をやっているかは自分たちがよく知っています」という言葉による保証だけでは顧客は安心しないし、クラウド環境におけるセキュリティの改善には逆効果である。今後は、現在よりも改善された形式のセキュリティ認証が導入され、サービス・プロバイダーがセキュリティに関する実績を確立し、顧客の事前調査と運用監視の負担がはるかに少なくなって、新しいクラウド・ベースの製品から多くのメリットが得られるようになると予想される。

推奨事項
責任を持って全面的にクラウド・コンピューティング・モデルを活用するには、適切なユースケースを判断する必要がある。クラウド・コンピューティング・サービスの利用に関するポリシーやガイドラインでは、外部サービスの透明性とセキュリティ機能のレベルに応じて、使用が許容されるデータとプロセスを指定すべきであり、技術の進化とリスク評価や調達に関する新しいプラクティスに対応するよう定期的に更新すべきである。こうした事前対応的な手法を取れば、セキュリティとコンプライアンスに関して組織が容認しがたいほどの高リスクを回避しながら、新しいクラウド・コンピューティング製品を最大限に活用することが可能となる。


    推奨リサーチ
    ・ 「Compliance in the Cloud: Whose Data Is It Anyway?」
    ・ 「Location Matters: A Model for Assessing Information Risk」
    ・ 「How to Manage Risk in Alternative Delivery Models」
    ・ 「What Does Google Know?」
    ・ 「Assessing Outsourcing and Third-Party Security Risks」
    ・ 「Assessing the Security Risks of Products and Services」
    ・ 「サードパーティのセキュリティ管理の調査が企業の負担になっている」(ITD-09-18、2009年5月8日付)
    ・ 「Teleworking in the Cloud: Security Risks and Remedies」
    ・ 「ツールキット:プライバシーとセキュリティの要件をソーシング分野に取り入れる」(SRM-08-13、2008年10月15日付)
    ・ 「SaaSプロバイダーに問うべき重大なセキュリティ問題」(APP-07-107、2007年11月22日付)
    ・ 「Use Privacy and Security Practices and Contract Terms as Essential Evaluation Criteria of Your Global Service Provider」

    概要リサーチ
    ・ 「Assess and Manage Vendor Risks to Protect Your Business」

    (監訳:石橋 正彦)


APP: APP-10-81
※本レポートの無断転載を禁じます。

←INDEXに戻る

 

gartner.com
TOP OF PAGE
Copyright