3. Cloud Security Allianceのご紹介(1)
The Cloud Security Alliance (CSA) is a not-for-profit organization with a
mission to promote the use of best practices for providing security assurance
within Cloud Computing, and to provide education on the uses of Cloud
Computing to help secure all other forms of computing. The Cloud Security
Alliance is led by a broad coalition of industry practitioners, corporations,
associations and other key stakeholders.
(https://cloudsecurityalliance.org/)
• グローバルな非営利組織
• Individual Members(ソーシャルメディアLinkedInの
「Cloud Security Alliance」グループ登録者):42,000
• Corporate Members: 137
• Affiliate Members: 23(ASPIC、IPA含む)
• Chapters worldwide:60以上(日本含む)
3
4. Cloud Security Allianceのご紹介(2)
• 「Security Guidance for Critical Areas of Focus for Cloud
Computing 」(最新版:V3.0、2011年11月)
セキュアなクラウドコンピューティングのベストプラクティスを集積したガイ
ドラインを策定
• 「Cloud Controls Matrix(CCM)」(最新版:V1.3、2012年9月)
クラウド導入を検討している顧客がクラウドプロバイダーがもたらすセキュ
リティリスクを分析するのに役立つマトリクス
• 「CCSK(Certificate of Cloud Security Knowledge)」
(2010年9月開始):クラウドセキュリティ認定資格試験
• 「CSA STAR(Security, Trust & Assurance Registry)」:
クラウドプロバイダーのセキュリティプラクティスに関する登録制度(2011
年第4四半期開始)
(例)「AWS、クラウド業界のセキュリティ情報レジストリ「STAR」に自社IaaS
サービスを登録」(Computerworld、2012年7月24日)
(http://www.computerworld.jp/topics/601/204248) 4
5. Cloud Security Allianceのご紹介(3)
• ワーキンググループ/リサーチイニシアティブの活動
• クラウドソーシング(Crowdsourcing)で、クラウドセキュリ
ティ(Cloud Security)の標準化を推進する
• オープン、グローバルなオンラインコミュニティから、ボランティア
を幅広く募集し、プロジェクトコディネーターを中心として、クラウ
ドセキュリティの個別テーマに関する標準化活動を推進する
• 【主要なグループ/イニシアティブ】
Security Guidance for Critical Areas of Focus in Cloud Computing、
Cloud Controls Matrix (CCM)、Innovation Initiative、Open
Certification Framework、Mobile Working Group、Big Data Working
Group、Privacy Level Agreement Working Group、Consensus
Assessments Initiative、CloudTrust Protocol、Cloud Data Governance、
Trusted Cloud Initiative、Security as a Service、Telecom Working
Group、Health Information Management、Top Threats to Cloud
Computing、CloudAudit、CloudCERT、Cloud Metrics
5
7. (2)クラウドソーシングを利用したセキュリティの
グローバル標準化に向けた取り組み事例(1)
• 「Security Guidance for Critical Areas of Focus for Cloud
Computing 」(最新版:V3.0、2011年11月)
(https://cloudsecurityalliance.org/research/security-guidance/)
7
8. クラウドソーシングを利用したセキュリティの
グローバル標準化に向けた取り組み事例(2)
• 「Security Guidance for Critical Areas of Focus for Cloud
Computing 」(最新版:V3.0、2011年11月)
• クラウドソーシングを利用したガイドライン策定
8
9. クラウドソーシングを利用したセキュリティの
グローバル標準化に向けた取り組み事例(3)
• 「Security Guidance for Critical Areas of Focus for Cloud
Computing 」(最新版:V3.0、2011年11月)
• クラウドソーシングのためのツール
• ソーシャルネットワーキングサービス:LinkedIn
(http://www.linkedin.com/groups?gid=1864210)
~Working GroupやPeer Reviesに参加するボランティ
アの募集
• コラボレーションツール:Google Groups、Google Docs
(https://groups.google.com/forum/?fromgroups#!forum/cloudsecurityalliance)
~オンラインディスカッション、ピアレビューなど
• テレカンファレンス
• メーリングリスト など
9
10. クラウドソーシングを利用したセキュリティの
グローバル標準化に向けた取り組み事例(4)
• Mobile Working Group
(https://cloudsecurityalliance.org/research/mobile/)
• The CSA Mobile working group will be responsible for
providing fundamental research to help secure
mobile endpoint computing from a cloud-centric
vantage point.
• 6つのイニシアティブ:①Mobile Threats、②Mobile
Maturity Questionnaire、③BYOD、 ④Authentication、
⑤Mobile App Stores、⑥Device Management
• 主なアウトプット:「Security Guidance for Critical Areas of
Mobile Computing」(最新版:V1.0、2012年11月) 他
(https://cloudsecurityalliance.org/research/mobile/#_resources)
10
11. クラウドソーシングを利用したセキュリティの
グローバル標準化に向けた取り組み事例(5)
• Mobile Working Group
(https://cloudsecurityalliance.org/research/mobile/)
• クラウドソーシングのためのツール
・・・前述のものに加えて・・・
• コラボレーションツール:Basecamp
(https://basecamp.com/)
~オンラインディスカッション、ピアレビューなど
• オンラインミーティングツール:joinme
(https://join.me/)
~テレカンファレンス時に利用
11
12. クラウドソーシングを利用したセキュリティの
グローバル標準化に向けた取り組み事例(6)
• Health Information Management Working Group
(https://cloudsecurityalliance.org/research/him/)
• Provide direct influence on how health information service
providers deliver secure cloud solutions (services,
transport, applications and storage) to their clients, and
foster cloud awareness within all aspects of healthcare and
related industries
• HIPAA/HITECH Health Initiative
• Define industry best practices for service providers to the
healthcare community, in coordination with the Health Insurance
Portability and Accountability Act (HIPAA), Health Information
Technology for Economic and Clinical Health (HITECH), and
CSA Cloud Control Matrix (CCM)
• In collaboration with Internet2 Net+ Initiative
12
13. クラウドソーシングを利用したセキュリティの
グローバル標準化に向けた取り組み事例(7)
• Health Information Management Working Group
• CSA Cloud Control Matrix (CCM)の医療分野への適用
• 医療固有の法規制+サイバーセキュリティへの対応
医療分野のクラウドセキュリティの
医療分野のクラウドセキュリティの視点
(例.HIPAA/HITECH監査への対応 リスク評価など)
/ 監査への対応:リスク評価など
監査への対応 リスク評価など)
CSA Cloud Control Matrix (CCM)
(https://cloudsecurityalliance.org/research/ccm/)
パブリックセクターのクラウドセキュリティの視点
例.Federal Risk and Authorization Management Program (FedRAMP)
(http://www.fedramp.gov/)
ホームランドセキュリティの視点
例.Federal Information Security Management Act(FISMA)
(http://csrc.nist.gov/groups/SMA/fisma/index.html) 13