« トーマツ 企業の不正リスク実態調査 | Main | 環境省 パブコメ 「環境省所管分野における個人情報保護に関するガイドライン(案)」 »

2009.07.12

経済産業省 新世代情報セキュリティ研究開発事業(クラウドコンピューティングセキュリティ技術研究開発)

 こんにちは、丸山満彦です。経済産業省が「新世代情報セキュリティ研究開発事業(クラウドコンピューティングセキュリティ技術研究開発)」の委託先を公募していますね。。。
 事業の目的で
=====
現状のクラウドコンピューティングは既存のテクノロジーの集大成というべきものであり、今後も発展が期待されるものの、クラウドコンピューティングが次世代の基盤テクノロジーとなるためには、解決しなくてはならない課題があり、その中で最も重大な課題領域がセキュリティの確保、データプライバシーの確保であると考えられます。そこで本事業においては、クラウドコンピューティングに必要なセキュリティ技術とはどのようなものであるのかの検討に加え、具体的な技術開発を行います。
=====
 としていますが、クラウドコンピューティングという用語の定義が明確にする必要があるとは思いますが、もはや難しいでしょうかね。。。
 セキュリティ監査の話もありますね。。。


 

 
■経済産業省
・2009.07.10 平成21年度「新世代情報セキュリティ研究開発事業(クラウドコンピューティングセキュリティ技術研究開発)」に係る委託先の公募について
 ・・公募仕様書 PDF Word


 制度設計をするのであれば、正しい知識を持った人が、正しい現状認識をし、幅広く議論できる環境がないとだめだと思うんですよね。。。
 本気でするなら、当たり前ですが本気の取り組みが必要となりますね。。。
=====
(1) クラウド環境におけるセキュリティ検討会の開催
 10 名前後の有識者による検討会を4 回~6 回程度開催し、以下の各課題等について検討、報告書をまとめる。
【制度的課題】
・コンプライアンス(個人情報保護法・不正競争防止法等の国内法制度との関連、機器の所在地・運営主体等が国をまたいでいる場合の問題)
・内部統制対応(IT アウトソーシングとして統制対象に含まれる)
・標準化すべき事項(データ形式、アクセスAPI)
・クラウド事業者の寡占化の可能性と弊害
【技術的課題】
・仮想化技術(仮想インスタンスから物理プラットフォームへの干渉を検出・停止)
・ユーザ認証(CSP1の利用、登録、抹消、委譲、不正検出)
・モニタリング(ユーザによるモニタリングを可能とする)
・ウェブアプリケーション(認証・認可連携システムとの連携)
・マルウェア対策(ユーザに影響を与えずにボット、ワームの検知・駆除)
【運用的課題】
・事業継続性(ユーザサイドと事業者サイドにおけるデータ移行の方法)
・暗号鍵管理(誰が管理するか、Key Recov ery)
・ぜい弱性対応(稼働中のシステムに悪影響を与えずに行う)
・インシデント対応(デジタルフォレンジック、ディスカバリ)
・既存システムからクラウド環境への安全な移行計画
・クラウド環境中の特権が一人に集中しない運用管理モデル
 上記課題等に加え、検討すべき課題案を提案すること。

(2) クラウド環境における効果的なセキュリティ監査技法の検討
 PaaS 及びSaaS クラウド環境においては、複数のユーザ、ユーザグループが抽象的な意味で一つのコンピュータを共有する形態となる。これまでの情報セキュリティ監査は、組織が自ら所有するIT 環境を対象に監査を行う、あるいは、組織が占有するアウトソーシングサービス環境を対象に監査を行う、いずれかを想定して実施されてきたため、共有環境の監査をどのように行うのかについて、明確な指針は示されていない。加えて、クラウド環境が「クラウド(雲)」と呼ばれる所以である、ユーザからシステムの構成が見えないことが、ユーザが主体として行う情報セキュリティ監査に困難を来たす可能性が考えられる。
 クラウド環境における情報セキュリティ監査においては、クラウドサービス事業者、情報セキュリティ監査実施を求めるクラウドサービスユーザ、依頼を受けて監査を実施する情報セキュリティ監査人、第三者であるクラウドサービスユーザという、4 つの立場が存在する(図1)。
 図1 クラウド環境における情報セキュリティ監査の例(ユーザ主体)
 このシチュエーションでは、監査対象となるクラウド環境の所有者であるクラウドサービス事業者と情報セキュリティ監査人の間に守秘契約が求められることになり、加えて、監査報告の中に、クラウド環境のシステム的な詳細をどこまで開示可能であるのか、クラウドサービス事業者と監査人との間に、なんらかの規定が必要になると考えられる。
 図2 クラウド環境における情報セキュリティ監査の例(事業者主体)
 内部統制システムにおいてIT アウトソーシング先の統制の評価は、アウトソーシング事業者が提出する内部統制報告書(SAS70TypeII または監査18 号報告書)を確認することで実査に変えられるという効率的な仕組みがある。情報セキュリティ監査においても、図2に示すように、クライドサービス事業者が自ら定めた情報セキュリティ監査基準を以って、外部の情報セキュリティ監査人に作成依頼を行って提出された監査報告書(システムの詳細を開示可能な範囲に事業者がコントロールした上で)を、ユーザのそれぞれに開示することで、個別のユーザからの監査依頼を一度に処理するといった効率性を求めることも可能である。
 このように、クラウド環境の特性を鑑みた上で、効率性と合理性に配慮した情報セキュリティ監査技法について検討する。加えて、クラウド環境に適合させた、情報セキュリティ監査基準についても合わせて検討する。

(ア) クラウド環境におけるセキュリティ対策の第三者評価に係る利用者ニーズ調査
クラウド環境、クラウドサービスにおけるセキュリティ対策に関して、情報セキュリティ監査に代表される第三者評価に対して、利用者(クラウドサービスの依頼者)が期待する事項について調査し、既存の第三者評価の枠組みでは対応できないニーズの有無を明らかにし、また提供者として具備すべき制度・運用的あるいは技術的なセキュリティ対策を明らかにする。
調査方式として、クラウドサービスの想定利用者として製造、サービス、建設、金融等の業種から1,000 社程度を選定し、回収数200 件を目標としたアンケートを実施する。加えて、クラウドコンピューティング、情報セキュリティ等の専門家、有識者10 人前後に対してヒアリングを行い。アンケート及びヒアリングの結果をまとめる。

(イ) クラウド環境における情報セキュリティ監査基準案の作成
クラウド環境、クラウドサービスの保証型情報セキュリティ監査を実施する際の監査の枠組みの検討を行う。主として次の事項について検討する。
・言明書の合意形成(社会的合意方式、利用者合意方式、被監査主体合意方式)
・言明書の書式(記載項目)
・報告書式
・品質管理手法
・他の監査主体(内部監査を含む)による監査結果の取扱い
・効率的・効果的な監査実施に必要なクラウド環境構築時の考慮事項
保証型情報セキュリティ監査に関しては、保証型情報セキュリティ監査概念フレームワークを参照すること。
なお、基準案に関する実施体制として、情報セキュリティ監査、データセンター事業、監査法人等、複数の分野の10 名前後の有識者から構成される検討会を設置して4 回~6 回程度の検討を行うこと。
=====

|

« トーマツ 企業の不正リスク実態調査 | Main | 環境省 パブコメ 「環境省所管分野における個人情報保護に関するガイドライン(案)」 »

Comments

#コンプライアンス(個人情報保護法・不正競争防止法等の国内法制度との関連、機器の所在地・運営主体等が国をまたいでいる場合の問題)

e-Discoveryとかが落ちているのが、予備検討の不十分さをしめしていたりしませんように。(>シンクタンク様)

Posted by: 高橋郁夫 | 2009.07.15 at 10:13

高橋先生、コメントありがとうございます。法律の改正まで検討すべきかどうかも考える必要があるかも・・・という気もします。。。

Posted by: 丸山満彦 | 2009.07.18 at 11:39

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/45606936

Listed below are links to weblogs that reference 経済産業省 新世代情報セキュリティ研究開発事業(クラウドコンピューティングセキュリティ技術研究開発):

« トーマツ 企業の不正リスク実態調査 | Main | 環境省 パブコメ 「環境省所管分野における個人情報保護に関するガイドライン(案)」 »