業界団体がクラウド・セキュリティ・ガイドラインの第2版を発表
ガバナンス、運用などに関して、13の領域別に指針を提示
業界団体の「Cloud Security Alliance(CSA)」は12月17日、安全なクライアント・コンピューティングの実現に向けたガイドラインの第2版「Security Guidance for Critical Areas of Focus in Cloud Computing V2.1」を発表した。この文書では、クラウド・セキュリティに関するアーキテクチャ・フレームワークが示され、多くの推奨事項がまとめられている。
また、CSAはこの文書で、近年もてはやされているクラウド・コンピューティングの“確固とした定義”を試みている。
CSAによると、クラウド・コンピューティング環境とは――(1)オンデマンドかつセルフサービス方式で利用されるようになっており、(2)ネットワーク経由でさまざまな場所からアクセスでき、(3)共有コンピューティング・リソース・プールからリソースが提供され、(4)必要に応じて利用規模を迅速に拡大、縮小でき、(5)何らかの方法で使用量が測定される――という。
クラウド・コンピューティングは、規模の経済や標準化といったメリットを提供するが、その反面、セキュリティ上の課題があると、CSAは述べている。
この新しいガイドライン文書には、次のように記されている。「こうした効率を提供するには、クラウド・プロバイダーは、できるだけ大きな顧客基盤と市場に対応できる柔軟なサービスを提供しなければならない。だが、残念ながら、これらのソリューションにセキュリティを統合することは、それらに制約を課すことだと考えているプロバイダーが多い」
さらに、同文書では次のように指摘されている。「この制約はしばしば、クラウド環境では、従来のIT環境に匹敵するセキュリティ対策を展開できないというかたちで現れる。これは、主にインフラの抽象化に加え、その実体が見えないことや、おなじみのセキュリティ対策の多くが、特にネットワーク・レイヤーで統合できないことに起因している」
CSAの新ガイドライン文書では、クラウド・セキュリティについて13の領域別に指針が示されている。クラウドのガバナンスに関するセクションでは、電子開示、コンプライアンス、監査などの領域が、クラウドの運用に関するセクションでは、ディザスタ・リカバリ、アプリケーション・セキュリティ、アイデンティティ管理などの領域がカバーされている。この文書の初版は今年の4月に発表された。
一方、Sun Microsystemsは12月17日、CSAの文書でも取り上げられた課題の一部に対処するための新しいオープンソース・ツール群を発表した。概要は以下のとおりだ。
■OpenSolaris VPC Gateway
AmazonのEC2(Elastic Compute Cloud)サービス上の仮想プライベート・クラウド(VPC)への安全なチャンネルを。特別なネットワーク・ハードウェアを使わずに構築できる。
■Immutable Service Containers
強力なセキュリティと監視機能を備えた仮想マシンを作成できる。
■EC2用の一連のセキュリティ強化型仮想マシン・イメージ(VMI)
SunのOpenSolaris OSとソフトウェア・スタック(オープンソース・コンテンツ管理システムのDrupalなど)のイメージを含む。
■Cloud Safety Boxツール
クラウドに保存された情報の圧縮、暗号化、分割の管理を支援する。Solaris、OpenSolaris、Linux、Mac OS Xに対応。
(Chris Kanaracus/IDG News Serviceボストン支局)
