そしてサンフランシスコで開催されたRSA Conference 2009(4/20-24)で正式に組織として活動を開始、83頁からなるセキュリティ・ガイダンスを公表した。発表されたレポートはファンディングメンバーに加えて、大手ITベンダーのHPやSun、コンサルティング会社、法律事務所、eBay、Visa、McAfeeなど17名の執筆によるものだ。また、産業界からアドバイザーとしてeBay、Intuit、Salesforce、DuPontなど8社、レビューアには大手データセンターのRackspaceやSAVVIS、地方銀行、RSA Security、BT、Qualcomm、Salesforce、ノースロップグラマンなどが参加支援している。
さて、レポートの内容は、大きく①クラウドのアーキテクチャー、②クラウドのガバナンス、③クラウドの運用から構成されており、対象となるクラウドは、パブリック/プライベート/ハイブリッドのすべてをカバーしている。
まず、①クラウド・アーキテクチャーについては、クラウドのソフトウェア構成の全てにセキュリティが関係するとし、そのためにSaaS(アプリケーション)やPaaS(プラットフォーム)、IaaS(インフラ)などを分析して、Cloud Reference Model(参照モデル)を作成。この参照モデルを前提に最上位のアプリケーションから最下位の物理層までを7つ(Application、Information、Management、Network、Trusted Computing、Compute & Storage、Phisical)に区分、各々のセキュリティのあり方を述べている。これら7つには実際に多くのベンダーが存在しており、それらについても大まかな分析がされている。これらから、ユーザー企業はクラウドの導入にあたって、システム構成のどの部分に、どういう問題があって、どのような機能/ベンダーが必要なのかを理解することができる。
次に、②クラウドのガバナンスについては、リスク管理、法律、電子開示(Electronic Discovery)、コンプライアンスと監査、ライフサイクル管理、携帯性(Portability)と相互互換性(Interoperability)の6つにわけ、各々の問題概要(Problem Statement)を述べ、それらの実際の課題(Issues)を列挙し、最後に指針を纏めている。
最後の ③クラウドの運用についても、ビジネス継続(Business Continuity)、災害対策(Disaster Recovery)、データセンター運用、事故の対応/通知/復旧、アプリケーションセキュリティ、暗号化と鍵管理、ID管理、ストレージ、仮想化の9つに区分、問題概要をまとめ、同様に課題を整理し、それらのガイダンスを示している。
この中で特にアプリケーションのセキュリティに関して、IaaSとPaaSでは異なると指摘。IaaSは比較的オンプレミスに近い環境として捉えることができるが、PaaSはインフラレイヤーのOSや場合によってはミドルウェアがプロバイダー提供のものであることから、それらのセキュリティはプロバイダーに委ねられる。つまりSLA(Service Level Agreement)で保証されるべきものだと提言する。
そしてSDLC(Software Development Life Cycle)やシステム開発も同様だという。つまり、PaaSの場合はプロバイダーが提供するプラットフォーム・ソフトウェアを前提としたデザインや開発となる。それ故、ソフトウェアの長期間の使用に当たっては、PaaSを前提としたライフサイクルが重要となる。例えば、古くなったOSやミドルウェアのバージョンをプロバイダーがいつまで保証するのか、現状では不明瞭であり、これらについてもPaaSプロバイダーは明確な説明責任がある。
以上、大雑把に見てきたようにCSAのガイダンスは初版ながら、非常に丁寧に纏められている。特に、ユーザーの視点に立って、乱立するベンダーへの提言という立ち位置は大いに評価される。しかも、執筆者の多くがスタートアップであったり、ユーザー企業であることも、新しい時代の動きである。
共にCSAの共同創設者で、CSAの日常を切り盛りするExecutive DirectorのJim Reavis氏(セキュリティコンサルテーション会社経営)とCSA会長のDave Cullinane氏(eBay VP、Global Information Security)の努力、そして協力している多くの人たちの結果がこのようなガイダンスを作り出したことは賞賛に値する。CSAの今後の活躍に期待したい。
