「IT Initiative Day 2010 セキュリティサミット〜マネジメントから考える企業セキュリティ〜」に行ってきた。
「クラウド+セキュリティ」のセミナーにはいくつか出席しているがあまり代わり映えはないような気がする。特に企業協賛では自社製品の宣伝なのであまり面白くない。ただ今回は、山口先生の基調講演とパネルディスカッションはなかなか面白かった。
複雑化する情報インフラ管理の課題と挑戦
仮想化は諸刃の刃である。良い面は、ハードウェアリソースの利用率アップ、資源追加の円滑な実施、コストダウン、運用方法によっては可能性や耐障害性が向上する。悪い面は、権限管理の集中と分離、情報処理エレメントの集積度アップによるリスク集中する。
新たなセキュリティ機能の実装。クラウドコンピューティングは、相互接続とユーティリティ化の進化形である。相互接続とユーティリティ化は、既存の境界防衛モデルを崩壊させる。ユーティリティ化の中でTrustの概念再構築が必要だ。基盤化のなかでrobust&resilient systemが求められる。従来、情報セキュリティではあまり考えられてこなかったall hands solutionを考える必要がある。resilient systemは、トラブルがあっても止めない。
クラウド事業と自分自身の責任分担。「あっちの人は大丈夫か?」サービス品質、障害対策、障害補償範囲、リスク管理、危機管理、運用品質、契約免責条項、資源管理方針、信頼性を確認する。障害発生時に、自分たちはBCPを持っているか。自分の耐障害性を向上しなければならない。
まずは自分自身の管理状況を再点検する。事業継続管理は考えられているか。クラウドサービスが使えない状況を考えよ。合理的な判断基準を持っているのか?どの情報処理を、クラウド事業者に依存して大丈夫なのか。依存度は合理的に判断できるか。
ユーザ側はリスクアセスメントを考えてやる。そこがちゃんとできていない。事業継続管理との整合性確保が必須である。技術進展により急激な変化も期待でき、より発達したクラウド技術の展開、新たな常識の登場となる。
「クラウド時代のセキュリティ」 〜クラウド環境への展開時に潜む課題とは〜
ID管理機能のアウトソーシング、ID管理をクラウド化する、IDaaS(Identity as a Service)というらしい。
アイデンティティ管理(Novell Identity Manager)、アクセス管理(Novell Access Manager)、ログ管理(Sentinel)、特権ユーザ管理(Novell Privileged User Manager)という製品の説明だった。パブリッククラウド事業者(ACS社、ベライゾン社、Elisa社)への導入実績があるらしい。
情報漏洩を防ぐ、積極的なセキュリティ対策とは
ベリサインセキュアメールID(顧客向け送信メール署名用の電子証明書)、ベリサインSSLサーバ証明書(EV SSL証明書)の話。
最近、HTTPSでサイトにアクセスすると、ブラウザのアドレスバーが緑色になったり、鍵アイコンの表示場所、ウェブの組織名やEV証明書の認証局が表示されるようになっていたのを不思議に思っていたが、「EV SSL証明書対応ブラウザによるセキュリティの可視化」によるものだったことをここで初めて知った。
今取り組むべきセキュリティ対策の勘所 〜事例からみる導入の成功要因と効果〜
「OracleのID アクセス管理ソション製品を採用しセキリティフレムワクを構築例」の話が前半ほとんどだったので、ちょっと飽きてしまった。
オラクルとサンの合併により、似たような製品も統合されたらしい。ID管理、統合ディレクトリ、シングルサインオン、アクセス制御、権限/ロール管理、Oracle Platform Security Services、運用管理ツールなど。サンの製品はあまり生き残れなかったようだ。
オラクルと言えばDBMSしか知らなかったが、セキュリティ関係やその他の製品もあることを知れてよかった。
『責任はどこにある??クラウド時代の情報セキュリティ』
パネリスト:株式会社フォティーンフォティ 技術研究所 奥天 陽司 氏
株式会社ラック 新井悠 氏
デロイトトーマツ リスクサービス株式会社 丸山 満彦 氏
パネルディスカッションは話が分散しやすいのと、明確な答え・結論が出にくいのでちょっとまとめづらい。以下に箇条書きにする。ちょっと意味不明な部分もあるがご容赦。
- プライベートクラウドのセキュリティについて
- パッチがないシステムの脆弱性。Windows 2000をどう対応するかが問題。
- クラウド業者が困るような要望とは
- リアルにあるものがクラウドにはあるのか。侵入検知システムとか……
- リアルでできる構成がバーチャルではできない。業者が設定した構成から選択しなければならないので、難しい。共用F/Wとかを選択できる業者もある。
- ユーザ側で採取する資料(ログ)はあるか。
- 業者(クラウド)側のログは間引きされたり、改竄されるかもしれないので、信用できない。そのような機能を提供しているアプリはしらない。
- クラウドのセキュリティは信用すること。
- とんでもない業者だったら。藪医者?
- 社内の従業員に悪いやつがいて、データを売っている。
- サービスを突然やめる会社もいる(サービス撤退)。データの移行性も考えておいた方がいい。身軽にして引っ越しできるようにする。
- 最後に一言
- なにが起きたかを証明できるようにしなければならない。取り組みの一つで力になれる。
- 将来クラウドは必ず使うことになるので、早いうちから取り組むことが必要である。
- お互いに歩み寄る。自分たちユーザ側も勉強して、ユーザも賢くなる必要がある。
【おまけ】
アンケートに答えたら、オラクル社(のみ)から記念品をもらった。こすると消えるペンとラインマーカーだ。以前、別のセミナーでIBMからもらったものと全く同じ物(印字された社名は違うけど)だった。