話題の記事

経済産業省公開の「クラウドセキュリティガイドライン活用ガイド」に関するパブコメ勉強会に参加してきた

しんや

2013.08.21

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

8月20日「クラウドセキュリティガイドライン活用ガイド」パブコメ勉強会(東京都)

クラウドに於いても当然の事ながらセキュリティは重要であり、且つどの局面においても懸念事項と成り得る要素です。先日横田あかり会長がUpした『AWSにおけるセキュリティとコンプライアンスのベストプラクティスを読んでみた』が非常に多くのSNSアクションを得ていた事からも、興味関心の高さが伺えます。

そんな折、8/1に「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン改訂版(案)」及び「クラウドセキュリティガイドライン活用ガイド(案）」が経済産業省より公開され、パブコメ勉強会という形で当事者の方々からお話を伺えるというので早速申込、参加してきました。

開催場所はTMI総合法律事務所＠六本木ヒルズ。受付を別階で済ませ、勉強会自体は広めのフロアを利用する形で行われました。そして主催は一般社団法人クラウド利用促進機構(CUPA)。この日の会にも数多くの関係者が出席されていたようです。

TMI総合法律事務所

一般社団法人クラウド利用促進機構(CUPA) | トップページ

はじめに

8月1日、経済産業省より「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン改訂版(案)」及び「クラウドセキュリティガイドライン活用ガイド(案）」が公開された。
クラウドを使いたいんだけど、セキュリティ的にどうなの？と気になっている企業・ユーザも多い。クラウドを使ったらどうなるのか、と不安にも感じている。
今回、クラウドに対応させた改訂版、分かり易い版が出たので、執筆者の皆様を交えて説明を行い、議論をさせて頂ければと思います。重要な意見については改めて取り纏めて行きたい。
これらのガイドラインを使う事で、よりクラウドを上手く適切に使えるように、という目的。
また活動方針として、情報共有を図り地方を含めたクラウドの普及活動の促進。国内で育成されたセキュリティの技術は品質が高いので海外支援・海外展開も視野に。

クラウドセキュリティガイドラインについて

発表：河野省二氏(株式会社ディアイティ)

まずは、今回のメインとなる資料から。以下URLからダウンロード出来ます。

パブリックコメント：意見募集中案件詳細｜電子政府の総合窓口e-Gov イーガブ
- クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(案)(PDF, 1.7MB)
- クラウドセキュリティガイドライン活用ガイド(案)(PDF, 2.8MB)

セキュリティガイドラインが8/1に出た。1ヶ月間、31日までがパブコメ期間中。そこまでに説明を行い、皆様からご意見伺えればと。
先週福岡、今日東京。沢山コメントをもらおうと思っています。この会翌日も某所で話す予定。

クラウドセキュリティガイドライン：利用者向けに作成。利用者が安心してクラウドサービスを使えるように、という趣旨がある。
作り始めた当初は、あまりクラウドを使っている人がいなかった。ではどうやって作ったか？→インタビューで。どういった不安があるか等の意見を聞いていき、それらをまとめた。なので実際には起こらないであろう状況にも言及している。結果として手厚い内容になっている。
マネジメントの面についても言及。
『(前向きに)使っていこう』というのを前提にした内容となっている。

クラウドセキュリティガイドライン策定の背景

不安を払拭出来ていない、監査を受けて欲しい、という意見や要望が多くなって来た。
また、事業者の立場からも、どういうものを扱っていくのが良いのか？ISMS等とも踏まえて。
ISMSを取得している企業が利用出来る対策、というものが望まれていた。それが『クラウドサービス利用のための情報セキュリティガイドライン』。
利用者におけるセキュリティリスクの共通認識の形成、事業者選択に於ける基準として利用出来る対策、情報セキュリティ監査による利用者と事業者の信頼関係の構築、といった点がポイント。

『クラウドサービス利用のための情報セキュリティマネジメントガイドライン』はJIS Q 27002 ^*1 ^*2をベースにした内容になっている。
- JIS Q 27002に準拠した導入部分
  - 1章：適用範囲
  - 2章：引用規格
  - 3章：用語及び定義
- 本ガイドラインに於ける考え方
  - 4-1：クラウドサービスの有効利用に向けて
  - 4-2：本ガイドラインについて
  - 4-3：クラウドサービス利用における情報セキュリティガバナンスの変化
  - 4-4：クラウドサービス利用における情報セキュリティマネジメント
- JIS Q 27002の管理策部分
  - 5章：セキュリティ基本方針
  - 6章：情報セキュリティのための組織
  - 7章：資産の管理
  - 8章：人的資源のセキュリティ
  - 9章：物理的及び環境的セキュリティ
  - 10章：通信及び運用管理
  - 11章：アクセス制御
  - 12章：情報システムの取得、開発及び保守
  - 13章：情報セキュリティインシデントの管理
  - 14章：事業継続管理
  - 15章：順守
- クラウド固有のリスク関連情報
  - 16章：附属書A クラウドサービス固有のリスク
- 監査のチェックリストに活用
  - 17章：附属書B クラウド利用におけるリスクアセスメントの考え方
クラウドサービスを使うことによってどういうリスクが発生し得るかを、盛り込めるだけ盛り込んだ。
考えうる局面に於けるリスクリソースを全部詰め込んだ。
更に、リスクアセスメントの仕方については付録として追加した。
情報セキュリティガバナンス(4章)について、どうやってクラウド上でやっていくか、という点にも詳しく述べている。

今回の改訂について

クラウドサービスにおけるリスクの見直しを計った。2011年度版は『利用前の懸念事項』を中心に検討していたが、2013年度版は『実際の事故』をベースにした対策を記載している。
情報提供について、必要に応じてより詳細に、具体的な内容に変更。
事業者自身のセキュリティ面、自らの事業継続等を前提とした対策も一部追加した。
日本国内に関しては、『利用者が安心して使える』という観点で出している。しかしその他の国々に関しては事業者目線での意味合い(事業者自身の事業継続)、前提が強いらしい。

世界におけるクラウドサービスに於ける事故の現状

報道ベースでカウントすると2011〜2012年で51件。(事業者単位)
大半を日米が占める。圧倒的に自社サービスを出しているのが日米が多いため、こういう結果になっている。
シンガポールとか香港は敢えて自社で作っておらず、他国のサービスに乗る形に。
事故の詳細：悪意の有無: 攻撃なのか、障害なのかで分別。ソフトウェアは仮想化のトラブル、ハードは能力に合わない設計が原因。
運用管理:→経験があればなおせるもの。
悪意があった事故は1件のみ(※日本国内)。
世界規模では0件、コンパネを取られてしまう内容のものは多い。2要素認証、多要素認証をしてないと簡単にやられる。不正アクセスは気を付けよう。

クラウドセキュリティガイドライン活⽤ガイドについて

『ガイドライン』の使い方について説明。これを参考にしつつ、ガイドラインを活用して欲しいという思いがある。
利用者だけじゃ無く、事業者にも使って欲しい。ガイドラインを使うとどういう事が出来るかについて解説。
ガイドブックの構成：構造的に色々書いている。リスク面についての記載も多岐に亘っている。利用者がwebサーバを立ち上げる時には、等と細かい局面について解説。また、事業者to利用者へのアピールの仕方についても解説。

ここからは暫く、PDF資料を眺めながらの河野氏の解説が続きます。該当部分のPDFスクリーンショット等も交えてメモ。

2.1.1 クラウドの構造について：着眼点をざっと並べている。API連携、マッシュアップレベルの内容についても網羅。
3 ガイドラインに関する解説：国際標準のお話など。クラウドもやはり、基本にもとづいて対応して行かねばならない。
3.3クラウドサービスのリスクと対策：本当はもう少し階層(紹介項目)を深くしていたのだが、修正が入った。国のちからに負けたw ネットワークにはどんなリスクが有るか、通信の傍受の対策等にも言及。また、各所にドキュメント間で参照すべき箇所を記載している。
ひと通り読んでいくと、クラウドの構造概要、アタックポイント("攻撃ベクトル"と呼ぶらしい)が見えてくる。(※ユーザー名とパスワードの組み合わせでパスワードを解析しても無駄、と言ったお話など。詳細は割愛)
4.クラウド利用者の為のガイドライン活用：クラウドを使ってシステムと立ち上げるというのは何ぞや。システムを構築する時に、どういった事に配慮しながら構成、内容を決めるべきかについて書いている。テレワーキングについても書いている。
4.4 クラウドサービスの契約とSLAについて：最後に付録として情報記載。『契約時の内容と解説 8章 8.2』が該当。契約書については、クラウドサービスようの契約書、というのはまだあまりない。この辺りはまだまだこれからの部分。
5.2 クラウドサービスの概要：クラウドセキュリティガイドラインを引用し、参考例を記載。現在、ISO/IEC 27017：クラウド事業者認証をやろうとしている。そうなってくると、このドキュメントが役に立つ。皆さんも認証を受けて行きやすくなる。情報発信の仕方がヘルプデスク並→クラウドだとon demandで問い合わせしなくても使えるように。顔を合わせなくても十分なサービスが受けられる状況。そういう状況に踏まえたセキュリティ。
5.3.3 ホワイトペーパー：チェックリストの作り方日本セキュリティ監査協会を作っている。これから国際標準ができてくるなかで、国内に不利な状況が発生しないように。パフォーマンスについてのインジケータの出し方も紹介。
6.2 クラウドサプライチェーン管理者への活用提案：JIS 27002(2013年度版)が近々出来てくるだろう。それを受けて27002、27001はもっとスリムな形になっているはず。新しい27002に合致したクラウドセキュリティガイドラインを作成している。cupaや勉強会で提供出来ると思うので受けに来て欲しい。サプライチェーン、超重要事項。
ガイドラインの活用ガイドは読み物として、またはクラウドのセキュリティを勉強する際にも使えます。皆さんの税金で作ってるので(笑)しっかり使っていただきたい。

クラウドセキュリティガイドラインの国際的位置づけについて

ISO/IEC 27017

現在国際標準に向けて取組中の規格。

ISO/IEC 27017 cloud security

そして27009なるものも。こちらは"27001と何かセクタースペシフィック(セクターのリクワイヤメント)なものを併せて、クラウドのそういった何かの印鑑をもらう"的な位置付けのものになるようです。クラウドセキュリティ、ちゃんとやっていますよ〜というのをもらう→国際標準のセキュリティ認証を受ければ国際のステージに立てる、という流れのようです。

ガイドラインの今後について

国際標準が出来たらそちらへ移行。日本語版にも着手。
事業者向けの管理策も多く提供される。監査方面にも力を入れて行きたい。

クラウドと個人情報保護法について〜法律の視点から〜

発表：大井哲也氏(TMI総合法律事務所弁護士)

次いで、会場を御提供頂いたTMI総合法律事務所様から弁護士の大井氏による発表。法律の観点から、クラウドについて解説が為されました。

クラウド導入と個人情報保護法

今日来てるのはベンダさんが多い、ベンダさんの場合、クラウドサービスを立ち上げる際にどういう施策を取るべきか、契約段階に於いて条項をどう整えるべきか、という話が多い。
ユーザーさんがどういった内容のクラウドサービスができていれば受け入れやすいか、法の観点から解説して行きます。
個人情報保護法の壁:ユーザーさんのシステム部門、リーガル部門は利益の対立が。経営者層では事故発生時のリスクを吟味していくなかで、クラウド導入は時期尚早、というケースになることも。

クラウド導入の法的問題

個人データの取り扱いを委託する場合、委託先の必要且つ適切な監督を行う必要がある。
クラウド利用＝クラウド上に情報を預ける、という意味合いを持つ。クラウドサービスはセキュリティ上、データ保存性についてどういうった対策が為されているのか、基本的にベンダからユーザに開示されるべきものではない。結果ブラックボックスに。
個人情報保護法についてはどういう風にクリアして行くか？
ガイドラインの委託先に対する『必要かつ適切な監督』とは？
- 1)委託先の選定：セキュリティシステムの監査・デューデリジェンス、事業者への情報開示要請、説明要請。
  - 委託先の評価は適宜実施する事。【開示方法】ホワイトペーパーの公開、仕様書・チェックリスト、外部監査・認証の取得の確認
- 2)委託契約の締結：SLAのチェック
  - 委託契約のリーガルチェック：情報セキュリティシステム監査に基づくSLA(サービスレベル・アグリーメント / サービスレベルに関する合意)への適切な反映のチェックを行う。
- 3)委託先に於ける個人データ取扱状況の把握：第三者による監査と監査報告書の提出、クラウド事業者自身の監査報告書の評価
このリスクをどうヘッジしていくか？第3者による監査で要求事項をクリアしていく方向に。

Personal Dataの国外移転規制

盛り込まれていない論点ではあるが、リーガル上は非常に多い論点でもある。

EUデータ保護指令 ^*3を含む各国の個人情報保護法対応

以下は配布書類からの転載＆抜粋。こんな内容のものが定められていたんですね。

EUおよび英国ではデータ保護指令により、EU内の住民のPersonal dataに関して十分なデータ保護レベルを確保していない第三国へのPersonal dataの移動を禁止。

アルゼンチン、カナダ、スイスなどの限定された国での個人情報保護法、プライバシー保護法はEUの基準をクリアしている。また、これに照らし合わせると、日本の個人情報保護法は「NG」と見なされてしまう。

上記内容によるとEU域内のパーソナルデータを域外に出す事を原則的に禁止しているため、グローバル展開をして行く上でクラウドを絡めていくと非常に厄介な、悩ましい問題に突き当たってしまう。

例えばシンガポールの住民・銀行に対してクラウドサービスを提供する場合、シンガポールの個人情報保護法が適用される。
グローバル展開している企業の社員の情報は個人情報として考える時、シンガポールの社員のデータを東京に持ってくる、という形になるので。シンガポールの法律が適用される。違法になってしまう。銀行・保険システム、グローバルな企業は皆この問題に直面している。びっくりされる方々が多いが、本当の話。
アメリカ西海岸のデータ EUのパーソナルデータが域外に移転してしまう、原則禁止。クラウド導入出来ない。

米国の例外的扱い

しかし、米国には"例外的取り扱い"というものがあるそうなのです。これも資料から引用。我々がAWS等を現在のように扱えているのにはこういった背景もあるんですね。

米国の場合は、包括法がないため、特定の認証基準を設け、その認証を受けた企業ごとに十分性を付与するセーフハーバー協定を2000年にEUと締結済み→認証を受けた企業は、EU内の住民のPersonal dataを米国内のサーバにて保管可能

米国のGoogle, Amazon, salesforce.com, Microsoftなど多くのクラウド事業者はセーフハーバー協定の定めている基準をクリアし、認証を取得。

セーフハーバーを遵守している組織リストは、以下のWebsiteで確認可能
Export.gov - Main Safe Harbor Homepage

Safe Harbor - マルチメディア／インターネット事典

EUデータ保護指令型の世界各国の個人情報保護法対応

EU以外での各国でもEUデータ保護指令型のPersonal dataの国外移転規制があり、幾つかの国(オーストラリア、インド、フィリピン、台湾等)でも法改正が進行中。
ユーザーの責任で各国の個人情報保護法の確認が必要。
ベンダがどういう情報を持っているかというのは把握しておかなければならない。海外に進出する際は。でもそういった相談はまだあまり無い。

日本の個人情報保護について

この点については、日本は後進国である。
日本の個人情報保護法には、Personal dataの国外移転という意識がないため、見逃しがち。目的外利用、第三者提供には目が行き届いているが...
ビジネスのグローバル展開・グローバルレベルでのシステム統合のタスクにおいては、必須の要件となる。

ここで本編は終了。以降は終了時間まで質疑応答が繰り広げられておりました。

まとめ

テーマがセキュリティ、また弁護士の方からのお話を聞けると言う、これまで自分が参加してきた勉強会の中でもちょっと毛色の違う雰囲気でしたが、内容は非常に濃く、有意義なものとなりました。紹介対象となっている2つのPDF資料についてはまだ全部に目を通せていませんが(何しろボリュームが半端無いですし...)、今回のこの勉強会でお話を伺う事で全体像が把握出来、読み進める上でも良い指針を得られたと思います。今後はこのガイドラインを活用して行きたいところですね。

発表者及び関係者の皆様、ありがとうございました！

脚注

ISO/IEC 27002 - Wikipedia ↩
JIS Q 27002:2006 情報技術—セキュリティ技術—情報セキュリティマネジメントの実践のための規範 ↩
正式名称は「個人データ取扱いに係る個人の保護及び当該データの自由な移動に関する1995年10 月24 日の欧州議会及び理事会の95／46／EC 指令」。長っ！(；°Д°) ↩

経済産業省公開の「クラウドセキュリティガイドライン活用ガイド」に関するパブコメ勉強会に参加してきた

目次

はじめに