« 内部監査の有効性評価 | Main | 経済産業省 「電子商取引及び情報財取引等に関する準則」の改訂 »

2010.10.14

日本銀行 クラウド・コンピューティングにおける情報セキュリティ管理の課題と対応

 こんにちは、丸山満彦です。日本銀行金融研究所ディスカッション・ペーパー・シリーズで、「クラウド・コンピューティングにおける情報セキュリティ管理の課題と対応」が公表されていました。。。宇根さんですね。。。
 概要によれば、
=====
本稿では、クラウドの特徴について整理したうえで、クラウドを利用する際の情報セキュリティ管理上の課題を金融機関によるクラウドの利用に焦点をあてて整理する。さらに、そうした課題への対応のあり方や関連する最新の技術研究の動向を説明する。
=====
 とのことです。。。

 
■日本銀行金融研究所ディスカッション・ペーパー・シリーズ
2010年収録分


2010-J-24 宇根正志 鈴木雅貴 吉濱佐知子 クラウド・コンピューティングにおける情報セキュリティ管理の課題と対応


さて、この報告書では、「クラウドにおける情報セキュリティ管理」として、パブリック・クラウド?を想定したモデルに基づきPDCAのそれぞれの各フェーズごとの情報セキュリティ管理のポイントを整理した上で、2つの課題を抽出していますね。

=====
【課題1】クラウドに特有のデータ処理やサービスの形態における未知の脅威・脆弱性をリスク評価においてどのように考慮するか。
【課題2】クラウド提供者におけるリスク軽減策の実施状況等、情報セキュリティ管理の実態をどのように把握するか。
=====

そして、「情報セキュリティ管理における課題への対応」では、

(1)未知の脅威・脆弱性への対応
イ.問題発生時の緊急対応に関する考察

 「アプリケーションへの影響の軽減を目的として、金融機関の情報システムにおける緊急時対応計画(コンティンジェンシー・プラン)の整備と同様の検討を必要に応じて行っておく必要があると考えらられる。」として、
=====
・主要なシナリオ(システム・ダウン、センター被災、決済データの違算・紛失、顧客情報の流出など)を想定し、連絡・協調体制や代替手段の確保、必要な事務フロー等を予め書面で整備しておく。
・緊急時対応計画の内容をクラウド提供者との間で協議し、内容の整合性を確認しておく。
・クラウド提供者と共同で定期的に実地訓練を行い、連絡体制や事務フローなどの検証および実務担当者の習熟を図る。
・クラウドのサービスにおいてセキュリティ上の問題が発生した場合、類似の問題の再発を防止するための対策を検討・実施し、その実施状況を適切にモニタリングしていく。
=====
 をあげている。
 まぁ、こういうことができるところと契約をしないといけないということなんでしょうね。契約をしてから要求しても契約で決めていなかったら対応してくれないのが普通でしょうし。。。
 
ロ.技術的対策の実施に関する考察
 オートノミック(自律型)・コンピューティングを実現するクラウドという話がありますね。。。

(2)情報セキュリティ管理の実態の把握
イ.クラウド利用機関が自ら実体把握を行うケース

 クラウド利用機関が技術的な手段で(クラウド提供者を介さずに)クラウドにおける計算資源の動作状況に関するログ・データ等?を入手できれば望ましいとのことです。。。

ロ.信頼できる第三者による評価結果を利用するケース
 SAS70とかISMSの話ですね。。。SAS70は監査人から監査人への報告書で過去の結果についての報告。ISMSももちろん過去のマネジメントの結果についての報告。今はわからない。ただ、ISMSはマネジメントシステムについての保証なので、将来もコントロールが有効かもね。。。みたいなところはより可能性が高くいえるのかもしれませんね。そのかわり保証レベルは低いので、監査の結果の確からしさは低いと思いますが。。。

 一度、読まれてはいかがでしょうか・・・

|

« 内部監査の有効性評価 | Main | 経済産業省 「電子商取引及び情報財取引等に関する準則」の改訂 »

Comments

丸山 様

夏井です。

先日は楽しかったですね。

さて,この関連では「未知の脅威」はありません。すべて既知です。

「それを認めたようとしない人が圧倒的に多い」ということが最大の脅威です。2番目の脅威は,「既知の脅威について無知であること」です。

Posted by: 夏井高人 | 2010.10.15 09:01

夏井先生、コメントありがとうございます。

こちらこそ楽しませていただきました。。。

=====
この関連では「未知の脅威」はありません。すべて既知です。
=====
確かに、、、ある人Aさんは未知と言っていても、ある人Bさんが知っていれば、それは既知だけどAさんが無知。。。

Posted by: 丸山満彦 | 2010.10.16 02:37

丸山 様

夏井です。

実は,この論理は非常に難しいんです。

たとえば,情報犯罪者1人だけが脆弱性を知っており,他の誰もが気づいていない場合,当該情報犯罪者にとっては既知のことを他の者が知らないだけです。要するに,防御する側が能力において負けているというだけのことなんですよ。

したがって,自分が知らないことを「未知」と呼ぶのは危ないことだと思います。単なる「無知」です。

基本の基本にたち戻り,「無知の知」というものの大事さを噛みしめるべきです。

「自分が無知で無能であること」を不動の前提に諸々の対策を構築するようにすべきでしょう。もちろん,ここでいう「自分」とは,部下や従業員だけではなく,情報セキュリティ専門家や管理者や監査人等を含め,全ての人のことを指します。

しかしながら,現実には,極めて無知・無能でありながら(あるいはそうであるがために)傲慢である人とか自己過信の強すぎる人なんかがいっぱいいますね。しかも,そういう人に限って決定権を握っていたりすることが往々にしてあるので,救われません。悲しいことです。

ちなみに,クラウドに関する限り,メインフレームマシン上の仮装システムにおける課題と対策と基本的に何もかわらないので,ほとんど全部が既知です。物理アーキテクチャ上の課題と対策についてもほとんど既知です。マネジメント上の課題と対策は古代ローマ時代以前からずっと議論されてきた政治哲学上の課題として既知のものばかりです。ただし,それらを全部結合して統合的に考えることのできる人は滅多にいません。そのため,それぞれのパーツとなる分野の専門家であっても,組み合わせ問題を上手に解くことができず,結果的に「無知」の状態に陥ってしまいます。情報セキュリティを特定の種族に属する人々(例えば,技術系の人間,または,マネジメント系の人間,または,法律系の人間など)だけでやろうとする限り,このイドラのような欠点を克服することが絶対にできません。そして,攻撃する側は,そのような人間の能力上の欠陥や限界により「無知」である部分を時間的に先行して見つけている(認識している)だけのことであり,本当は,その攻撃する側の人間以外の誰かによって既に認識されていた「既知」のことであるけれども実際には広く知られてはいなかったこと,または,過去のある時点では広く知られていたけれども時代の変化とともに忘れ去られてしまったことのほうが多いんですよ。他方で,既知だけれども未知だということにしてしまうこともあります。例えば,欠陥製品や欠陥サービスの開発者の多くは,本当はその欠陥を最初から知っています。ただ,社会的影響が少ないだろうと値踏みして知らん振りをしているだけです(ゼロ戦の開発史をみればすぐに理解できます。軽量化を徹底することがパイロットの生命をどれだけ危険に晒すことになるかを認識・理解しない開発者はいなかったはずです。)。あるいは,一定の用法の範囲内にある限り一応安全である場合には,利用者の中でその範囲外の用法を実行する者は少ないだろうと勝手に推測して実社会に投入してしまう場合にも同じような結果となります。本当はそうであるのに「未知」とか「想定外」と表現するのは,自分が無能であることを隠蔽し,解雇や賠償責任を含む法的責任を免れるための弁解に過ぎないことが多いです。そして,パブリッククラウドの場合には,このようなタイプの見せ掛け上の「未知」が圧倒的に多いです。

Posted by: 夏井高人 | 2010.10.16 08:54

夏井先生、コメントありがとうございます。

とある省庁の委員会でクラウドが取り上げられたことがあるのですが、「クラウドならではという論点ってほとんどないのではないか」と発言をしてしまったことがあります。。。
でも、「クラウドならではという論点ってまったくないのではないか」というのが正解だったわけですね。。。

人間ってすべてをわかっているわけではなく、ほとんどすべての領域(99.9999999%以上)では、自分よりもずっとよくわかっている人がいるということや、人生で多くのいわゆる誤りを繰り返していて、これからも誤りつづけるということを謙虚に受け入れないといけませんね。。。

そして誠実に。。。

文字に並べると当たり前のことですね。。。勇気が足らないのか・・・

Posted by: 丸山満彦 | 2010.10.16 10:40

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 日本銀行 クラウド・コンピューティングにおける情報セキュリティ管理の課題と対応:

« 内部監査の有効性評価 | Main | 経済産業省 「電子商取引及び情報財取引等に関する準則」の改訂 »