クラウドセキュリティアライアンスには、名だたるセキュリティ関連企業が参加していることで有名です。クラウドセキュリティの必要性が求められる現在、その中心となってセキュリティ実現のためのベストな方法を推奨しているのがクラウドセキュリティアライアンスですが、どのような組織でどのような活動をしているのかなど、具体的なことは知らない方も多いでしょう。今回はクラウドセキュリティアライアンスの組織全体や、日本支部の活動について解説します。
クラウドセキュリティアライアンスの概要について
クラウドセキュリティアライアンスという名前は知っていても、組織の詳細については熟知していないという方も多いと思います。そこでまずは、クラウドセキュリティアライアンスの概要についてご説明します。
クラウドセキュリティアライアンスとは?
クラウドセキュリティアライアンスとは、アメリカに本部を持ち、国際的に活動を展開している非営利法人です。クラウドコンピューティングのセキュリティを実現するために、ベストプラクティスを広め推奨するとともに、利用者に対しても、クラウドを利用する際のセキュリティ確保に向けた啓発教育を提供しています。
クラウドコンピューティングの発展と普及は急速に進んでおり、社会的情報の基盤となりつつあります。しかしクラウドコンピューティングには、データ侵害やアカウント、機密情報の漏えい、不正利用といったさまざまな危険が潜んでいます。クラウドセキュリティアライアンスはこれらの問題を未然に防ぐべく、現代に合わせたセキュリティ対策の必要性を提唱し、より安全安心にクラウドサービスが利用できる環境づくりに努めています。
クラウドセキュリティアライアンスの歴史
クラウドセキュリティアライアンスのはじまりは2008年にさかのぼります。クラウドコンピューターを取り巻く問題が注目を集めるようになり、クラウドセキュリティの必要性が高まりつつありました。2008年に開催された米国ISSA(情報システムセキュリティ協会)のCISO会議を機に、クラウドコンピューティングに対する最善なセキュリティを実践するための団体として設立された非営利法人がCSAです。翌年にサンフランシスコで開催されたカンファレンスの場で発表されたクラウドセキュリティに関するガイダンスは世界からの注目を浴び、ヨーロッパを皮切りに、世界各国に支部を広げ、クラウドセキュリティの必要性を世界に提唱し続けています。
日本クラウドセキュリティアライアンスとは
日本クラウドセキュリティアライアンスは、世界2番目のCSA公認支部として2010年6月に発足しました。情報セキュリティを扱うRSAコンファレンスやシンポジウムの場、またIPAとの連携によるセミナーなどの場において、CSAクラウドセキュリティガイダンスや、クラウド・コントロール・マトリクス(CCM)を日本向けに提供し、日本のクラウドセキュリティの向上に向けたさまざまな取り組みをしています。発足当時は任意団体でしたが、これらの活動のさらなる展開を図り、現在では多数の有力企業会員を持つ一般社団法人へと成長しました。
クラウドセキュリティアライアンスの役割は?
CSAは実際にどのような活動を行い、クラウドセキュリティを支えているのでしょうか?クラウドセキュリティアライアンスの役割についてご紹介します。
普及・教育活動
クラウドセキュリティアライアンスは、クラウドセキュリティの啓蒙と普及のために、カンファレンスやウェブサイト、メーリングリストなどを通した活動や、定期的なイベント開催を行っています。CSAジャパンでは活動中のワーキンググループが多数あり、常に研究開発に努め、時代に合わせた最新のクラウドセキュリティ情報を提供しています。他にもCSAアカデミーや月例勉強会など、クラウドセキュリティについて集中的に学べる場を提供しています。
認定試験CCSK
CCSK とは、クラウドセキュリティに関する国際的な認定試験であり、正式名称は「Certificate of Cloud Security Knowledge」と表記します。試験にはアーキテクチャ、ガバナンス、コンプライアンス、運用、暗号化、仮想化といったクラウドセキュリティの基盤となる知識に関する項目があり、セキュリティ対策を考える上で重要な知識であることから、社員にCCSKの取得をすすめるクラウドプロバイダや情報セキュリティサービス会社も多いです。試験はオンラインで実施され、日本語でも受験可能です。
評価制度STAR
STARとはクラウドセキュリティプロバイダの客観的な評価を提供する評価制度で、「Security, Trust & Assurance Registry」の略称です。クラウドプロバイダのセキュリティ対応の透明性を測るためのもので、すべてのクラウドプロバイダが利用できます。プロバイダ側がさまざまなクラウドコンピューティングのセキュリティコントロールを登録・公開し、利用者がクラウドプロバイダについての評価を行います。評価には自己評価のみとなるレベル1から、利用者による評価や継続的な監査が含まれるレベル3までの3段階があります。
また、STARに登録を行わず、プロバイダ自身のセキュリティ対応能力を自己診断するためにSTARを利用することも可能です。最近ではセルフアセスメントの拡大を目的に、CSAジャパンが仲介し、日本語による登録ができるようになりました。
クラウドセキュリティの研究・開発
クラウドセキュリティアライアンスでは、クラウドセキュリティの現状やそのベストプラクティスなどに関する調査や研究、開発を行っています。クラウドセキュリティアライアンスは第三者としての公正性が求められるため、事業者から独立した立場として、企業や高等教育機関、各国政府などと連携して研究・開発を実施しています。
今後さらに発展・普及すると思われるクラウドコンピューティングを、現代のニーズに合わせて利用できるよう、目的ごとにワーキンググループが分けられ、あらゆる角度からクラウドセキュリティを向上するべく研究・開発が進められています。現在では30社を超える企業会員が、日本クラウドセキュリティアライアンスの活動を支援しています。
まとめ
クラウドセキュリティの必要性は、クラウドコンピューティングの発展とともに重要視され続けていくものです。現在のクラウドセキュリティは、プロパイダの枠組みを超えて、協働が進んでいます。さまざまなクラウドコンピューティングに対応するには、包括的なセキュリティサービスが求められます。
