クラウド・セキュリティのベスト・プラクティス普及に向け「Cloud Security Alliance」創設
イーベイやING、PGPなどユーザー企業とセキュリティ・ベンダーによる組織3月31日、米国eBayやオランダのINGを創設メンバーとする業界団体「Cloud Security Alliance(CSA)」の結成が発表された。CSAは、クラウド・コンピューティング環境におけるセキュリティのベスト・プラクティス普及促進を目的としている。
CSAは、サンフランシスコで開催される情報セキュリティのイベント「RSA Conference 2009」(4月20日〜24日)で正式なデビューを飾る予定だ。
eBayのCISO(最高情報セキュリティ責任者)、デイブ・クーリナン(Dave Cullinane)氏は、声明の中で「オンデマンドで提供されるクラウド・コンピューティング・モデルは、セキュリティに新たな課題を投げかけている」と述べている。「企業におけるIT活用の姿は、オンデマンドのクラウド・コンピューティング・モデルにより大きく変貌しつつある。情報セキュリティのリーダーは、ビジネスの妨げにならないよう、情報セキュリティのベスト・プラクティスに基づいたクラウド・コンピューティングの導入を迅速に進めるため、今のうちから取り組んでいくことが必要だ」(クーリナン氏)。
他方、CSAの創設メンバーで、国際的な巨大金融グループINGのIT戦略/アーキテクチャ担当副社長を務めるアラン・ボエム(Alan Boehme)氏は、「大企業は、許容リスクの範囲内でクラウド・プロバイダーとどう付き合うか、実利的なアドバイスを必要としている」と指摘する。
また、CSAのテクニカル・アドバイザ-、クリス・ホフ(Chris Hoff)氏は、「ユーザー企業とベンダーの複合体として、今日のクラウド・コンピューティング環境で起こりつつある問題を洗い出したい」との抱負を述べた。CSAメンバーの中には、米国PGPや米国Qualys、米国Zscalerといったベンダーも名を連ねる。
ホフ氏は「規模の大小を問わず、多くの企業がクラウド・コンピューティングを自社のビジネスに結びつけようと必死だ」と述べる。だが、「“クラウド”の意味するところは十人十色」(ホフ氏)であり、CSAは標準規格を定義するのではなく、クラウド・コンピューティングのセキュリティについて理解を深めるための共通の基準を策定する方針だ。
CSAはクラウド・コンピューティングのセキュリティ勧告にも取り組むもようだ。同団体のWebサイトによると、「15の関連分野」について試験を実施する予定だ。主な分野としては、ガバナンスとエンタープライズ・リスク、情報とライフサイクル・マネジメント、コンプライアンスと監査、電子情報開示(eDiscovery)、暗号化と鍵管理、アプリケーション・セキュリティ、アイデンティティとアクセス管理、インシデント・レスポンスなどがある。
ちなみに、3月30日にはクラウド・コンピューティングの相互運用性を支持するベンダー数十社が署名した「Open Cloud Manifesto」という文書が公開された。クラウド・ベンダー間の相互運用性実現を目指すこのマニフェスでトは、クラウドのセキュリティについてもオープン・スタンダードに従う旨が記されている。
ただし、この文書をめぐっては米国Microsoftなどが反発を示しており、少なくとも現時点では議論が紛糾している状況だ(関連記事)。「文書をまとめるうえで、やり方に問題があったのだ」とホフ氏は指摘する。例えば、一部からは主導するIBMの発言力が強すぎて、オープンさに欠けるという声が上がっている。また、米国Googleなど、一部の大手クラウド・コンピューティング・ベンダーからの支持を得ていないことを問題視する声もある。
(Ellen Messmer/Network World米国版)
