クラウドのセキュリティを考えるのにオススメな本

2011年初のエントリーとなりました。
少しづつですが、今年も更新を続けていけたらと思います。
本年もどうぞよろしくお願いいたします。

2010年を振り返ると、IT業界(特にインフラ)では、クラウドが普及期となり、
各社本格的な対応に迫られた年ではなかったかと思います。

当社でも、クラウドの普及でお客様が求めるものが大きく変わり、
サービスの内容も大きく変わりました。
数年前まで、専用サーバーの納期に、約2週間をいただいていましたが、
1月にリリースしたサービスは約10分でご提供しています。
実に、調達時間が2016分の1に*。

また提供者としてだけでなく、利用者としても、クラウドを使う場面が増えています。
業務でもSaaSやソーシャルアプリケーションの活用が進んでいます。

しかしながら、活用は進んでいるものの、セキュリティポリシーの見直しは後回し...
という会社様が多いのではないかと推察されます。
逆にセキュリティポリシーの見直しが後回しになっているから、
クラウドを導入できないというケースもありそうです。

私自身は、内部監査員ですが、クラウドをどういう視点で監査すべきか、
クラウドやセキュリティのニュースを追いながら、思案しています。

いずれの立場でも、クラウドでは何がリスクなのか、どう対応すべきかを知るのが第一歩。

本日は、セキュリティポリシーの見直しに役立ちそうな本を見つけましたので、
ご紹介いたします。

■クラウド セキュリティ&プライバシー ―リスクとコンプライアンスに対する企業の視点

出版社: オライリージャパン
言語 日本語
発売日： 2010/6/12

クラウドに関するセキュリティについて網羅的に解説されている本です。
まさに「視点」を提供し、具体的にどういったことがクラウドで行われているのか、
読みやすい言葉で解説されています。


どんな視点が提供されているのかというと...

○例えば、クラウドでは「転送」が増えること。

なるほど、ソーシャルアプリなどではAPIで別の事業者のサービスを経由するなんてことがありますね。その時に情報が他社に転送されているわけです。
また、同一事業者間でも国外のiDCにデータを転送することが発生したりします。

となると、そこのデータの扱いは、その国の法や、その会社のセキュリティポリシーに準拠することなどを、取得前に利用者に通知し、同意を取る必要がありそうです。

○例えば、動的にクラウド上のリソースを活用しようとしたら、
自動化をさせないと、非常に管理が煩雑になること。

なるほど、近い将来、技術基盤が標準化されれば、自社の環境をイメージ化して、
持ち運びしやすいようにして、条件のよいクラウドインフラを常に選択し、使い続ける、
といったケースが考えられます。
将来とはいわず、既に、クラウド内部では、冗長構成を組み、Aがダウンしたので、
シームレスにBにシステムを移して、運用を継続する、なんてことをやってます。

その際に、都度都度、手作業で構成管理DBを変更するのは、煩雑です。
ミス、漏れ、ムダの元。自動化を検討する必要がありそうです。

○例えば、仮想化をしたらOSに、「ホスト」「ゲスト」という概念があり、管理対象が増えること。

なるほど、管理対象が増え、管理の手間が倍増します。
更に仮想化ソフトウェア（KVM、VMware、Xenなど）の管理も必要になります。
　
などなど...

「インフラストラクチャセキュリティ、データセキュリティとストレージ、監査とコンプライアンス、またクラウドが企業ITに与える影響まで」網羅的に書かれていますので、ここでポイントを絞ってご紹介することも難しいのですが、会社に1冊、リファレンスとして置いておくと、

・サーバー・ネットワーク管理者
・クラウド管理者/選定担当者
・法務担当者
・監査担当者
・ISOの事務局
などに、有益な視点をもたらしてくれそうな本です。

また認証を取得されている企業さまでしたら、審査機関に問合せるなどして、
要求事項の観点から対応を見直すのも、必要な作業かと思います。

クラウドはまだまだ発展途上のサービスですから、改善の余地が多分にあります。
「セキュリティが不完全だから使わない」というのも一つの立場ですが、
利用者がクラウド事業者に声を上げ、審査機関とも連携をとりながら、
関係者が一体となってサービス品質を上げ、クラウドを使いやすいものにしていく、
今年はそんな年になればと思います。

※14日×24時間×60分÷10分...
　 計算した自分がにわかに信じられません！（笑）どなたか計算間違ってたら教えてください...