SlideShare une entreprise Scribd logo

事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャV1.0 final

Daisuke Kawada
Daisuke Kawada

OCDET基盤統合WGでatoll projectが担当したクラウドリファレンスアーキテクチャデザインの成果物です。

1  sur  10
Télécharger pour lire hors ligne
OCDET/atoll project Reference Publication 2013/04/05 事業継続性と運用弾力性に配慮した クラウド リファレンス アーキテクチャ v1.0
事業継続性と運用弾力性に配慮したクラウド リファレンス アーキテクチャ v1.0 2013/04/05 OCDET/atoll project 著者 川田大輔 注意 この文書中で特定される商業的組織、装置、資料は、実験的な手順または概念を適切に説明するためのものです。した がって、OCDET/atoll project による推薦または保証を意味するものではなく、これら組織、資料、または装置が、その目 的に関して得られる最善のものであると意味しているわけでもありません。
1. はじめに 1.1 目的と範囲 各種オープンソースベースのクラウド基盤技術の評価と相互接続による連携、運用ノウハウ蓄積と周知を図る にあたって、連携、運用ノウハウの利用が適切な情報セキュリティを含むガバナンス体制のもとに行えるよう、 事業継続性と運用弾力性の確保を主眼に置いたクラウド定義とリファレンスアーキテクチャを提供することを目 的とします。世界的に広く受け入れられている NIST SP800-145 に示されているクラウド定義と ENISA や経済産 業省などの定義の差分を整理し、NIST SP500-292 に示されているクラウドリファレンスアーキテクチャと TCI Reference Architecture に共通するレイヤー整理上の問題の解決を図ります。 1.2 対象読者 本文書は、NIST SP500-292 が定義しているクラウドプロバイダ、クラウドブローカ、クラウドオーディタ、クラウド キャリア、クラウドコンシューマとしてサービスを提供または利用している人々を読者として想定しています。 1.3 作成組織 1.2.1 OCDET オープンクラウド実証実験タスクフォースは、オープンソース実装の評価は個別の実装単位での検証 に留まり、各基盤間の連動性を実証する機会が乏しいという問題があり連携実験の実施が課題となっ ている今、オープンソースベースの各クラウド基盤技術の実証実験を通じて相互接続による連携、運 用ノウハウを周知し、クラウド基盤の一般化と利活用の促進を図る事を目的としてします。また、構築 運用ベストプラクティス等を業界全体で共有し、クラウド基盤の整備を行うと同時に質の高いクラウドサ ービス構築を支援し、IT 業界の活性化に貢献します。詳細については http://www.ocdet.org 参照。 1.2.2 atoll project は、クラウドガバナンスという概念がスコープしている領域の全体像を明らかにすることでクラウドに関 連する技術やサービスの提供者と利用者それぞれが自らの指針を決定する一助となることを目標とし ます。atoll project は OCDET 参加団体として基盤統合ワーキンググループにおいて本リファレンスアー キテクチャ策定を担当しました。詳細については http://atoll.jp 参照。
2. 定義 本文書では 2.1 に示される既存定義を準用します。独自の定義については 2.2 以降.に示します。 2.1 準拠定義 2.1.1 リスク、危害、安全 ISO/IEC Guide51:1999 2.1.2 脅威、脆弱性 ISO/IEC15408 2.1.3 脆弱性分類 Common Weakness Enumeration 2.1.4 脅威分類 Web Application Security Consortium 2.1.5 相互運用性、可搬性 ISO/IEC 25010 2.1.6 信頼性、保守性、可用性 ISO/IEC 2382-14 2.1.7 事業継続性、弾力性 ISO22301 2.1.8 サプライチェーン ISO28000 2.1.9 セキュリティフレームワーク The Open Web Application Security Project : OWASP 2.1.10 OSI 参照モデル ISO/IEC 7498-1 2.1.11 アクター分類 NIST SP500-292 2.1.12 エコシステム James F. Moore Predators and Prey: A New Ecology of Competition 1993 Harverd Business review 2.2 最小限のクラウド定義 共有化されたコンピュータリソース(サーバ,ストレージ,アプリケーション等)について,利用者の要求に応じて 適宜・適切に配分し,ネットワークを通じて提供することを可能とし相互運用性と可搬性が担保されている情報 処理形態。 2.3 最小限のクラウド定義に基づくクラウドアーキテクチャ定義 2.3.1 設備層 ハードウェア層と合せて物理資源層を構成します。データセンターとは、ハードウェア層に含まれる物 理資源を収容する建物全体またはその一部で、サーバ室・データ保管室・管路と通信設備、電気設備、 空調設備を備えたものをいいます。データセンターに加えてハードウェア層に含まれる物理資源を収 容するラック・ケーブルダクト等を総称して設備といいます。 2.3.2 ハードウェア層 ハードウェア層と合せて物理資源層を構成します。計算資源(物理サーバ)、記憶資源(物理ストレー ジ)通信資源(物理通信機器)によって構成されます。設備層との界面はラックのマウントポジションと 電源ケーブルのプラグ、通信ケーブルの端子となります。 2.3.3 資源抽象化・管理層 物理資源層を抽象化して後述するサービス層に提供する層となります。物理資源層の計算資源(サー バ)、記憶資源(ストレージ)、通信資源(通信機器)を管理し、仮想マシンなどの形態に抽象化して IaaS 層での利用を可能にします。サービス層に対する抽象化された物理資源の割り当て管理を含む構成 管理と変更管理の機能も提供します。 2.3.4 サービス層 クラウドコンシューマが直接触れる IaaS、PaaS、SaaS で構成されます。抽象化粒度によって階層は識 別され、物理資源が提供する計算資源(サーバ)、記憶資源(ストレージ)、通信資源(通信機器)を物 理資源層と同一の粒度のまま、利用者の要求に応じて適宜・適切に配分する IaaS 層、IaaS 層を隠ぺ いしてアプリケーションプラットフォームとして提供する PaaS 層、PaaS 層を隠ぺいしてアプリケーション
を提供する SaaS 層に分類されます。 2.3.5 リファレンスクラウドアーキテクチャモデル図 アプリケーション SaaS アプリケーションプラットフォーム PaaS 論理通信機器 論理サーバ 論理ストレージ IaaS サービス 資源抽象化・管理 物理通信機器 物理サーバ 物理ストレージ ハードウェア ラック・ケーブルダクト サーバ室・データ保管室・管路 通信設備 電気設備 空調設備 建物 データセンター 設備 物理資源 サービスオーケストレーション
2.4 ガバナンスドメイン定義 2.4.1 要件 クラウドがもたらす効果を実現するにあたって考慮されるべき条件を要件といいます。 2.4.1.1 事業継続性管理・運用弾力性 事業継続性管理とは、価値創造活動を維持するために、事業中断リスクを識別して危害の発生を 抑止または回避する能力をいい、運用弾力性とは、抑止または回避できない危害への対応または 復旧能力をいいます。 2.4.1.2 サプライチェーン管理・透明性と説明責任 資源、材料の調達に始まり、製品・サービスの出荷を経て輸送手段(陸上・海上を含む)を通じてエ ンドユーザーにまで及ぶプロセスをサプライチェーンといい、透明性と説明責任とは、サプライチェ ーンに含まれる個々のプロセス活動結果についての合理的な報告義務と報告内容の検証可能性 の担保をいいます。 2.4.1.3 相互運用性と可搬性 相互運用性とは、特定のデータ形式に基づくデータ交換性であってインターフェース一貫性をいい、 可搬性とは異なる環境への移しやすさをいいます。 2.4.1.4 法令と標準遵守 公平性や誠実性など普遍的倫理観に基づいて、組織の活動が社会及び環境に及ぼす影響に対し て社会的責任を果たし、利害関係者へ配慮した対応を行い、各国の法令を尊重し順守し、国際的 行動規範と人権を尊重することをいいます。 2.4.2 手順 クラウドに求められる要件を満足させる処理過程を手順といいます。 2.4.2.1 脅威と脆弱性管理 各コントロール領域についての詳細なコントロールポリシーの作成と、経営者によって承認されたコ ントロールポリシーの公開とセキュリティプログラムによるコントロールポリシーに基づく実行をいい、 コントロールポリシーとセキュリティプログラムの定期的再評価を含みます。 2.4.2.2 人的資源セキュリティ アイデンティティとアクセス管理またはデータセンターセキュリティで規定されるアクセス管理の対象 となる資産またはデータへあらゆるアクセス権限の付与にあたっては法令と標準順守および規制、 倫理、契約制約に基づき雇用候補、雇用者、請負業者や第三者も含めて事前に適切な水準の背 景調査を行います。 2.4.2.3 アイデンティティとアクセス管理 資源および手順として識別されるすべての要素に対して OWASP ESAPI を参照し、紛失、誤用、不 正アクセス、開示、改ざんおよび破壊を含む脅威から資産やデータを保護するために自動化された アクセス管理技術と物理的な保護手段を実装します。また、資産やデータ、アクセス権限の組み合 わせによって構成されるロールと利用者の本人性確認手法を適切に実装します。 2.4.2.4 データセキュリティと情報ライフサイクル管理 資源および手順として識別されるすべての要素について、規制、法令、契約やビジネス要件への適 合性を確保するために、資産やデータにコントロール ID を付与する必要があります。コントロール ID は標準データモデルに従った分類ラベル、変更履歴、構成情報、制約条件等の情報を保持する ための自動化された管理手段を備えます。 2.4.2.5 暗号化と暗号鍵管理 資源および手順として識別されるすべての要素について、紛失、誤用、不正アクセス、開示、改ざ
んおよび破壊を含む脅威からデータを保護するために暗号化技術と物理的な保護手段の実装が 必要です。また、データとアクセス権限の組み合わせによって構成されるロールと利用者の本人性 確認手法によって暗号鍵を適切に管理します。 2.4.2.6 セキュリティインシデント管理・電子証跡とクラウドフォレンジック 資源および手順として識別されるすべての要素について、データセキュリティと情報ライフサイクル 管理に格納された、変更制御と構成管理にかかる情報は電子証跡として管理します。電子証跡を 利用して時系列にコントロール ID の状態を比較することによって、紛失、誤用、不正アクセス、開示、 改ざんおよび破壊といった顕在化した脅威(セキュリティインシデント)の検出と原因究明などのクラ ウドフォレンジック手段を実装します。 2.4.2.7 変更制御と構成管理 資源および手順として識別されるすべての要素について、資産やデータの初期構成はコントロール ID に付与された構成情報によって管理されます。資産やデータの変更は、事前に定められた手続 きに従ったテスト結果が適正な承認権限のもとに承認されるまでテスト対象となった資産やデータ の変更は、本番環境に適用することはできません。テスト結果が承認され変更された資産やデータ の状態は変更履歴としてコントロール ID に追加されます。 2.4.2.7 アプリケーションとインターフェースセキュリティ 最低限、アプリケーション毎に OWASP または同等のセキュリティフレームワークに準拠したサービ ス層でのユーザー資格およびパスワードコントロールの自動化された実装をします。 2.4.2.8 インフラストラクチャと仮想化セキュリティ 変更制御と構成管理の対象となる資産のうち、サーバ、ストレージ、通信機器それぞれの資源抽象 化・管理機能によって構築される論理サーバ資源、論理ストレージ資源、論理ネットワーク資源を 利用者の要求に応じて適宜・適切に論理サーバ、論理ストレージ、論理通信機器、プラットフォーム、 アプリケーションまたはこれらを組み合わせたサービスとして提供するオーケストレーションについ て、事前に定められた制約条件に従って自動化された実行と管理の手段を実装します。 2.4.2.9 データセンターセキュリティ 物理資源として識別されるすべての要素を紛失、誤用、不正アクセス、開示、改ざんおよび破壊を 含む脅威から保護するために、物理的セキュリティ境界(塀、壁、障壁、ガード、ゲート、電子監視、 物理的な認証メカニズム、レセプションデスク、セキュリティパトロール)を実装します。物理的セキ ュリティ境界によって隔離された物理資源に対する物理的アクセスは適切な物理アクセス管理手段 によって保護します 2.4.3 資源 手順の適用対象となるアーキテクチャおよび実装を資源と言います。本文書では 2.3 に示したリファレ ンスクラウドアーキテクチャを指します。
2.5 ガバナンスドメインのクラウドガバナンスキューブ表現 事業 継続 性管 サプ 理・ 運用 ・透 ライ 弾力 明性 チ ェ 相互 と説 ーン 性 運用 明責 管理 要件 性と 任 可搬 法令 性 ・標 準順 守 脅威と脆弱性管理 人的資源セキュリティ アイデンティティ・アクセス管理 ビス サー データセキュリティ 理 クラウドフォレンジック 手順 資源 ・管 抽 象化 資源 ェア ドウ ハー 設備 2.6 リファレンスモデルへのガバナンスドメインコントロールエリアマッピング サプライチェーン管理・透明性と説明責任 相互運用性と可搬性 法令・標準順守 事業継続性管理・運用弾力性 アプリ・インターフェース モバイルセキュリティ アプリケーション 情報ライフサイクル管理 セキュリティ SaaS アプリケーションプラットフォーム 構成管理 PaaS セキュリティインシデント管理 データセキュリティ 論理通信機器 論理サーバ 論理ストレージ インフラストラクチャと仮想化セキュリティ 電子証跡 IaaS アイデンティティ・アクセス管理 サービス クラウドフォレンジック 人的資源セキュリティ 脅威と脆弱性管理 暗号化・暗号鍵管理 資源抽象化・管理 変更制御 物理通信機器 物理サーバ 物理ストレージ ハードウェア ラック・ケーブルダクト サーバ室・データ保管室・管路 データセンター セキュリティ 通信設備 電気設備 空調設備 建物 データセンター 設備 物理資源 ガバナンス・リスク管理 サービスオーケストレーション
2.7 リファレンスモデルのレイヤーモデル表現とガバナンスドメインコントロールエリアマッピング キ ャ リ ア ク ラ ウ ドシ ス テ ム オ ン プ レ ミス シ ス テ ム デ バ イ ス ア プ リ ケ ー シ ョン ア プ リケ ー シ ョン 脅 威 と 脆 弱 性 管 理 モ バ イ ル セ キ ュ リテ ィ ア プ リ ケ ー シ ョン ア プ リ ケ ー シ ョン ア プ リ ケ ー シ ョン 事 業 継 続 性 管 理 ・運 用 弾 力 性 ア プ リ ・イ ン タ ー フ ェ ー ス セ キ ュ リ テ ィ 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 ア プ リ ケ ー シ ョン セ ル フ マ ネ ジ メン ト ア プ リケ ー シ ョン ダ ッシ ュ ボ ー ド API 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 モ バ イ ル セ キ ュ リテ ィ プ ラ ッ トフ ォ ー ム 相 互 運 用 性 と 可 搬 性 ア プ リ ・イ ン タ ー フ ェ ー ス 法 令 ・標 準 順 守 セ キ ュ リ テ ィ 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 ア イ デ ン テ ィテ ィ・ア ク セ ス 管 理 デ ー タ セ キ ュ リテ ィ 暗 号 化 ・暗 号 情 報 ラ イ フ サ イ 鍵 管 理 ク ル 管 理 セ キ ュ リ テ ィイ ン シ デ ン ト管 理 ク ラ ウ ドフ ォ レ ン ジ ック 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレ ー ジ ジ 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレ ー ジ ジ 論 理 通 論 理 通 論 理 通 信 機 器 信 機 器 信 機 器 脅 威 と 脆 弱 性 管 理 論 理 論 理 論 理 論 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と サ ー バ サ ー バ ス トレ ー ス トレ ー 説 明 責 任 論 理 通 論 理 通 論 理 通 ジ ジ イ ン フ ラ ス トラ ク チ ャ と 信 機 器 信 機 器 信 機 器 相 互 運 用 性 と 可 搬 性 仮 想 化 セ キ ュ リ テ ィ 論 理 論 理 論 理 論 理 法 令 ・標 準 順 守 サ ー バ サ ー バ ス トレ ー ス トレ ー 論 理 通 論 理 通 論 理 通 ジ ジ 人 的 資 源 セ キ ュ リ テ ィ 信 機 器 信 機 器 信 機 器 ガ バ ナ ン ス ・リ ス ク 管 理 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレ ー ジ ジ 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレ ー ジ ジ 電 子 証 跡 変 更 制 御 構 成 管 理 論 理 サ ー バ 資 源 論 理 ス トレ ー ジ 資 源 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 論 理 ネ ッ トワ ー ク 資 源 相 互 運 用 性 と 可 搬 性 イ ン フ ラ ス トラ ク チ ャ と 論 理 サ ー バ 資 源 論 理 ス トレ ー ジ 資 源 仮 想 化 セ キ ュ リ テ ィ 法 令 ・標 準 順 守 人 的 資 源 セ キ ュ リテ ィ ガ バ ナ ン ス ・リ ス ク 管 理 論 理 サ ー バ 資 源 論 理 ス トレ ー ジ 資 源 電 子 証 跡 変 更 制 御 構 成 管 理 論 理 資 源 プ ー ル 通 信 資 源 通 信 資 源 通 信 資 源 抽 象 化 ・ 抽 象 化 ・ 抽 象 化 ・ 管 理 管 理 管 理 サ ー バ 資 源 抽 通 信 資 源 通 信 資 源 ス トレ ー ジ 資 源 象 化 ・管 理 抽 象 化 ・ 抽 象 化 ・ 抽 象 化 ・管 理 管 理 管 理 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 相 互 運 用 性 と 可 搬 性 イ ン フ ラ ス トラ ク チ ャ と 通 信 資 源 通 信 資 源 仮 想 化 セ キ ュ リ テ ィ サ ー バ 資 源 抽 抽 象 化 ・ 抽 象 化 ・ ス トレ ー ジ 資 源 法 令 ・標 準 順 守 象 化 ・管 理 管 理 管 理 抽 象 化 ・管 理 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 サ ー バ 資 源 抽 通 信 資 源 通 信 資 源 ス トレ ー ジ 資 源 象 化 ・管 理 抽 象 化 ・ 抽 象 化 ・ 抽 象 化 ・管 理 管 理 管 理 電 子 証 跡 変 更 制 御 構 成 管 理 上 位 シ ス テ ム 同 等 シ ス テ ム 下 位 シ ス テ ム 移 動 体 イ ン タ ー 専 用 線 等 通 信 網 ネ ット 物 理 物 理 物 理 通 信 通 信 通 信 物 理 サ ー バ 機 器 機 器 機 器 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 物 理 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 脅 威 と 脆 弱 性 管 理 物 理 サ ー バ 物 理 ス トレ ー ジ サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 モ バ イ ル セ キ ュ リ テ ィ 物 理 サ ー バ 物 理 ス トレ ー ジ 相 互 運 用 性 と 可 搬 性 物 理 物 理 デ ー タ セ ン タ ー 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 法 令 ・標 準 順 守 セ キ ュ リテ ィ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 人 的 資 源 セ キ ュ リテ ィ 物 理 サ ー バ 物 理 ス トレ ー ジ ガ バ ナ ン ス ・リ ス ク 管 理 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 物 理 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 電 子 証 跡 物 理 ス トレ ー ジ 変 更 制 御 構 成 管 理 物 理 資 源 プ ー ル 通 信 設 備 ラ ック 電 気 設 備 空 調 設 備 ラ ッ ク 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 ケ ー ブ ル ダ ク ト 相 互 運 用 性 と 可 搬 性 デ ー タ セ ン タ ー ラ ッ ク ラ ッ ク セ キ ュ リ テ ィ 法 令 ・標 準 順 守 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 ラ ック ラ ッ ク 通 信 設 備 サ ー バ 室 電 気 設 備 空 調 設 備 デ ー タ 保 管 室 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 管 路 相 互 運 用 性 と 可 搬 性 デ ー タ セ ン タ ー サ ー バ 室 デ ー タ 保 管 室 セ キ ュ リ テ ィ 法 令 ・標 準 順 守 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 サ ー バ 室 デ ー タ 保 管 室 公 衆 ダ ー ク 専 用 線 等 回 線 フ ァ イ バ 通 信 設 備 電 気 設 備 空 調 設 備 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 相 互 運 用 性 と 可 搬 性 デ ー タ セ ン タ ー 建 物 セ キ ュ リ テ ィ 法 令 ・標 準 順 守 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 設 備
本文書は以下の条件に基づいてライセンスされます。 表示 - 非営利 - 改変禁止 2.1 日本 (CC BY-NC-ND 2.1) http://creativecommons.org/licenses/by-nc-nd/2.1/jp/

Recommandé

事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 final
事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 final事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 final
事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 final
Daisuke Kawada
 
クラウドリファレンスアーキテクチャレイヤーマップV1.0ポスター
クラウドリファレンスアーキテクチャレイヤーマップV1.0ポスタークラウドリファレンスアーキテクチャレイヤーマップV1.0ポスター
クラウドリファレンスアーキテクチャレイヤーマップV1.0ポスター
Daisuke Kawada
 
クラウドリファレンスアーキテクチャレイヤーチュートリアル02
クラウドリファレンスアーキテクチャレイヤーチュートリアル02クラウドリファレンスアーキテクチャレイヤーチュートリアル02
クラウドリファレンスアーキテクチャレイヤーチュートリアル02
Daisuke Kawada
 
クラウドリファレンスアーキテクチャレイヤーチュートリアル01
クラウドリファレンスアーキテクチャレイヤーチュートリアル01クラウドリファレンスアーキテクチャレイヤーチュートリアル01
クラウドリファレンスアーキテクチャレイヤーチュートリアル01
Daisuke Kawada
 
A Survery of Approaches to Adaptive Securityの紹介
A Survery of Approaches to Adaptive Securityの紹介A Survery of Approaches to Adaptive Securityの紹介
A Survery of Approaches to Adaptive Securityの紹介
Nobukazu Yoshioka
 
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
CLOUDIAN KK
 
Habitat And Animals
Habitat And AnimalsHabitat And Animals
Habitat And Animals
5° Circolo D. C\mare di Sabia
 
Developer summit2014
Developer summit2014Developer summit2014
Developer summit2014
Daisuke Kawada
 

Recommandé

事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 final
事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 final事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 final
事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 final
Daisuke Kawada
 
クラウドリファレンスアーキテクチャレイヤーマップV1.0ポスター
クラウドリファレンスアーキテクチャレイヤーマップV1.0ポスタークラウドリファレンスアーキテクチャレイヤーマップV1.0ポスター
クラウドリファレンスアーキテクチャレイヤーマップV1.0ポスター
Daisuke Kawada
 
クラウドリファレンスアーキテクチャレイヤーチュートリアル02
クラウドリファレンスアーキテクチャレイヤーチュートリアル02クラウドリファレンスアーキテクチャレイヤーチュートリアル02
クラウドリファレンスアーキテクチャレイヤーチュートリアル02
Daisuke Kawada
 
クラウドリファレンスアーキテクチャレイヤーチュートリアル01
クラウドリファレンスアーキテクチャレイヤーチュートリアル01クラウドリファレンスアーキテクチャレイヤーチュートリアル01
クラウドリファレンスアーキテクチャレイヤーチュートリアル01
Daisuke Kawada
 
A Survery of Approaches to Adaptive Securityの紹介
A Survery of Approaches to Adaptive Securityの紹介A Survery of Approaches to Adaptive Securityの紹介
A Survery of Approaches to Adaptive Securityの紹介
Nobukazu Yoshioka
 
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
CLOUDIAN KK
 
Habitat And Animals
Habitat And AnimalsHabitat And Animals
Habitat And Animals
5° Circolo D. C\mare di Sabia
 
Developer summit2014
Developer summit2014Developer summit2014
Developer summit2014
Daisuke Kawada
 
Startti 09112011
Startti 09112011Startti 09112011
Startti 09112011
erkukkon
 
It open project_governance_2 20120518
It open project_governance_2 20120518It open project_governance_2 20120518
It open project_governance_2 20120518
Daisuke Kawada
 
Vender lockin20120420 2
Vender lockin20120420 2Vender lockin20120420 2
Vender lockin20120420 2
Daisuke Kawada
 
Contemporaries
ContemporariesContemporaries
Contemporaries
UBERABA MG BRASIL
 
It open project_governance20120410
It open project_governance20120410It open project_governance20120410
It open project_governance20120410
Daisuke Kawada
 
Geography Game1
Geography Game1Geography Game1
Geography Game1
5° Circolo D. C\mare di Sabia
 
كرة زرقاء فى الفضاء
كرة زرقاء فى الفضاءكرة زرقاء فى الفضاء
كرة زرقاء فى الفضاء
Mohamed Abd El Nabi
 
Geometria
GeometriaGeometria
Geometria
guestb5bea8
 
bcatalyst Company Profile
bcatalyst Company Profilebcatalyst Company Profile
bcatalyst Company Profile
Shailendra Dave
 
Habitat And Animals
Habitat And AnimalsHabitat And Animals
Habitat And Animals
5° Circolo D. C\mare di Sabia
 
project
projectproject
project
5° Circolo D. C\mare di Sabia
 
Cuestionario Web2
Cuestionario Web2Cuestionario Web2
Cuestionario Web2
jorge
 
Applied Statistical Techniques
Applied Statistical TechniquesApplied Statistical Techniques
Applied Statistical Techniques
dafutdok
 
Cuestionario Web2
Cuestionario Web2Cuestionario Web2
Cuestionario Web2
jorge
 
プロレス クラウドExpo 20140515(公開版)
プロレス クラウドExpo 20140515(公開版)プロレス クラウドExpo 20140515(公開版)
プロレス クラウドExpo 20140515(公開版)
Daisuke Kawada
 
Occ anonymous 20120723
Occ anonymous 20120723Occ anonymous 20120723
Occ anonymous 20120723
Daisuke Kawada
 
プロレス 夏サミ 20140731(公開版)
プロレス 夏サミ 20140731(公開版)プロレス 夏サミ 20140731(公開版)
プロレス 夏サミ 20140731(公開版)
Daisuke Kawada
 
要求管理を確実に行うための知識と方法
要求管理を確実に行うための知識と方法要求管理を確実に行うための知識と方法
要求管理を確実に行うための知識と方法
Kazuyuki Miyake
 
NIST:クラウドコンピューティング参照アーキテクチャ(概説)
NIST:クラウドコンピューティング参照アーキテクチャ(概説)NIST:クラウドコンピューティング参照アーキテクチャ(概説)
NIST:クラウドコンピューティング参照アーキテクチャ(概説)
hidekazuna
 
仮想化時代のBCP 今できることと将来できること
仮想化時代のBCP 今できることと将来できること仮想化時代のBCP 今できることと将来できること
仮想化時代のBCP 今できることと将来できること
Nissho-Blocks
 
オンプレミスからクラウドへ:Oracle Databaseの移行ベストプラクティスを解説 (Oracle Cloudウェビナーシリーズ: 2021年2月18日)
オンプレミスからクラウドへ:Oracle Databaseの移行ベストプラクティスを解説 (Oracle Cloudウェビナーシリーズ: 2021年2月18日)オンプレミスからクラウドへ:Oracle Databaseの移行ベストプラクティスを解説 (Oracle Cloudウェビナーシリーズ: 2021年2月18日)
オンプレミスからクラウドへ:Oracle Databaseの移行ベストプラクティスを解説 (Oracle Cloudウェビナーシリーズ: 2021年2月18日)
オラクルエンジニア通信
 
Heroshima "Cloud & Security Day" and Night
Heroshima "Cloud & Security Day" and NightHeroshima "Cloud & Security Day" and Night
Heroshima "Cloud & Security Day" and Night
Shinichiro Isago
 

Contenu connexe

En vedette

It open project_governance_2 20120518
It open project_governance_2 20120518It open project_governance_2 20120518
It open project_governance_2 20120518
Daisuke Kawada
 
It open project_governance20120410
It open project_governance20120410It open project_governance20120410
It open project_governance20120410
Daisuke Kawada
 
كرة زرقاء فى الفضاء
كرة زرقاء فى الفضاءكرة زرقاء فى الفضاء
كرة زرقاء فى الفضاء
Mohamed Abd El Nabi
 
bcatalyst Company Profile
bcatalyst Company Profilebcatalyst Company Profile
bcatalyst Company Profile
Shailendra Dave
 
Cuestionario Web2
Cuestionario Web2Cuestionario Web2
Cuestionario Web2
jorge
 
Applied Statistical Techniques
Applied Statistical TechniquesApplied Statistical Techniques
Applied Statistical Techniques
dafutdok
 
Cuestionario Web2
Cuestionario Web2Cuestionario Web2
Cuestionario Web2
jorge
 
プロレス クラウドExpo 20140515(公開版)
プロレス クラウドExpo 20140515(公開版)プロレス クラウドExpo 20140515(公開版)
プロレス クラウドExpo 20140515(公開版)
Daisuke Kawada
 
プロレス 夏サミ 20140731(公開版)
プロレス 夏サミ 20140731(公開版)プロレス 夏サミ 20140731(公開版)
プロレス 夏サミ 20140731(公開版)
Daisuke Kawada
 

En vedette (17)

Startti 09112011
Startti 09112011Startti 09112011
Startti 09112011
 
It open project_governance_2 20120518
It open project_governance_2 20120518It open project_governance_2 20120518
It open project_governance_2 20120518
 
Vender lockin20120420 2
Vender lockin20120420 2Vender lockin20120420 2
Vender lockin20120420 2
 
Contemporaries
ContemporariesContemporaries
Contemporaries
 
It open project_governance20120410
It open project_governance20120410It open project_governance20120410
It open project_governance20120410
 
Geography Game1
Geography Game1Geography Game1
Geography Game1
 
كرة زرقاء فى الفضاء
كرة زرقاء فى الفضاءكرة زرقاء فى الفضاء
كرة زرقاء فى الفضاء
 
Geometria
GeometriaGeometria
Geometria
 
bcatalyst Company Profile
bcatalyst Company Profilebcatalyst Company Profile
bcatalyst Company Profile
 
Habitat And Animals
Habitat And AnimalsHabitat And Animals
Habitat And Animals
 
project
projectproject
project
 
Cuestionario Web2
Cuestionario Web2Cuestionario Web2
Cuestionario Web2
 
Applied Statistical Techniques
Applied Statistical TechniquesApplied Statistical Techniques
Applied Statistical Techniques
 
Cuestionario Web2
Cuestionario Web2Cuestionario Web2
Cuestionario Web2
 
プロレス クラウドExpo 20140515(公開版)
プロレス クラウドExpo 20140515(公開版)プロレス クラウドExpo 20140515(公開版)
プロレス クラウドExpo 20140515(公開版)
 
Occ anonymous 20120723
Occ anonymous 20120723Occ anonymous 20120723
Occ anonymous 20120723
 
プロレス 夏サミ 20140731(公開版)
プロレス 夏サミ 20140731(公開版)プロレス 夏サミ 20140731(公開版)
プロレス 夏サミ 20140731(公開版)
 

Similaire à 事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャV1.0 final

NIST:クラウドコンピューティング参照アーキテクチャ(概説)
NIST:クラウドコンピューティング参照アーキテクチャ(概説)NIST:クラウドコンピューティング参照アーキテクチャ(概説)
NIST:クラウドコンピューティング参照アーキテクチャ(概説)
hidekazuna
 
Sql server 2012 の新機能を使ってみよう。db 管理者向け機能の紹介
Sql server 2012 の新機能を使ってみよう。db 管理者向け機能の紹介Sql server 2012 の新機能を使ってみよう。db 管理者向け機能の紹介
Sql server 2012 の新機能を使ってみよう。db 管理者向け機能の紹介
Masayuki Ozawa
 
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
Brocade
 
はじめてのOracle Cloud Infrastructure (Oracle Cloudウェビナーシリーズ: 2021年9月22日)
はじめてのOracle Cloud Infrastructure (Oracle Cloudウェビナーシリーズ: 2021年9月22日)はじめてのOracle Cloud Infrastructure (Oracle Cloudウェビナーシリーズ: 2021年9月22日)
はじめてのOracle Cloud Infrastructure (Oracle Cloudウェビナーシリーズ: 2021年9月22日)
オラクルエンジニア通信
 
20121130 solaris-11.1-day.ohsone
20121130 solaris-11.1-day.ohsone20121130 solaris-11.1-day.ohsone
20121130 solaris-11.1-day.ohsone
Kyohei Kishimoto
 

Similaire à 事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャV1.0 final (20)

要求管理を確実に行うための知識と方法
要求管理を確実に行うための知識と方法要求管理を確実に行うための知識と方法
要求管理を確実に行うための知識と方法
 
NIST:クラウドコンピューティング参照アーキテクチャ(概説)
NIST:クラウドコンピューティング参照アーキテクチャ(概説)NIST:クラウドコンピューティング参照アーキテクチャ(概説)
NIST:クラウドコンピューティング参照アーキテクチャ(概説)
 
仮想化時代のBCP 今できることと将来できること
仮想化時代のBCP 今できることと将来できること仮想化時代のBCP 今できることと将来できること
仮想化時代のBCP 今できることと将来できること
 
オンプレミスからクラウドへ:Oracle Databaseの移行ベストプラクティスを解説 (Oracle Cloudウェビナーシリーズ: 2021年2月18日)
オンプレミスからクラウドへ:Oracle Databaseの移行ベストプラクティスを解説 (Oracle Cloudウェビナーシリーズ: 2021年2月18日)オンプレミスからクラウドへ:Oracle Databaseの移行ベストプラクティスを解説 (Oracle Cloudウェビナーシリーズ: 2021年2月18日)
オンプレミスからクラウドへ:Oracle Databaseの移行ベストプラクティスを解説 (Oracle Cloudウェビナーシリーズ: 2021年2月18日)
 
Heroshima "Cloud & Security Day" and Night
Heroshima "Cloud & Security Day" and NightHeroshima "Cloud & Security Day" and Night
Heroshima "Cloud & Security Day" and Night
 
Ia20120118 sekiya
Ia20120118 sekiyaIa20120118 sekiya
Ia20120118 sekiya
 
Sql server 2012 の新機能を使ってみよう。db 管理者向け機能の紹介
Sql server 2012 の新機能を使ってみよう。db 管理者向け機能の紹介Sql server 2012 の新機能を使ってみよう。db 管理者向け機能の紹介
Sql server 2012 の新機能を使ってみよう。db 管理者向け機能の紹介
 
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
今、本当に“オープン”が必要なそのワケ ブロケードが考えるNFVの今、SDNへの未来とは?
 
インテルが考える次世代ファブリック
インテルが考える次世代ファブリックインテルが考える次世代ファブリック
インテルが考える次世代ファブリック
 
できる!グローバル×スケーラブル×マルチデバイス対応のソーシャルアプリ開発入門
できる!グローバル×スケーラブル×マルチデバイス対応のソーシャルアプリ開発入門できる!グローバル×スケーラブル×マルチデバイス対応のソーシャルアプリ開発入門
できる!グローバル×スケーラブル×マルチデバイス対応のソーシャルアプリ開発入門
 
はじめてのOracle Cloud Infrastructure (Oracle Cloudウェビナーシリーズ: 2021年9月22日)
はじめてのOracle Cloud Infrastructure (Oracle Cloudウェビナーシリーズ: 2021年9月22日)はじめてのOracle Cloud Infrastructure (Oracle Cloudウェビナーシリーズ: 2021年9月22日)
はじめてのOracle Cloud Infrastructure (Oracle Cloudウェビナーシリーズ: 2021年9月22日)
 
Microsoft Azure Workshop day2
Microsoft Azure Workshop day2Microsoft Azure Workshop day2
Microsoft Azure Workshop day2
 
OCHaCafe Season 2 #4 - Cloud Native時代のモダンJavaの世界
OCHaCafe Season 2 #4 - Cloud Native時代のモダンJavaの世界OCHaCafe Season 2 #4 - Cloud Native時代のモダンJavaの世界
OCHaCafe Season 2 #4 - Cloud Native時代のモダンJavaの世界
 
Intel True Scale Fabric
Intel True Scale FabricIntel True Scale Fabric
Intel True Scale Fabric
 
Cloudian presentation for Cassandra Conference 2012 in Tokyo
Cloudian presentation for Cassandra Conference 2012 in TokyoCloudian presentation for Cassandra Conference 2012 in Tokyo
Cloudian presentation for Cassandra Conference 2012 in Tokyo
 
Service Fabric での高密度配置
Service Fabric での高密度配置 Service Fabric での高密度配置
Service Fabric での高密度配置
 
経営のスピードと変化に応えるシステム基盤をつくる 桑原里恵
経営のスピードと変化に応えるシステム基盤をつくる 桑原里恵経営のスピードと変化に応えるシステム基盤をつくる 桑原里恵
経営のスピードと変化に応えるシステム基盤をつくる 桑原里恵
 
20121130 solaris-11.1-day.ohsone
20121130 solaris-11.1-day.ohsone20121130 solaris-11.1-day.ohsone
20121130 solaris-11.1-day.ohsone
 
Amazon Ec2 S3実践セミナー 2009.07
Amazon Ec2 S3実践セミナー 2009.07Amazon Ec2 S3実践セミナー 2009.07
Amazon Ec2 S3実践セミナー 2009.07
 
クラウド検討の進め方
クラウド検討の進め方クラウド検討の進め方
クラウド検討の進め方
 

事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャV1.0 final

  • 2. 事業継続性と運用弾力性に配慮したクラウド リファレンス アーキテクチャ v1.0 2013/04/05 OCDET/atoll project 著者 川田大輔 注意 この文書中で特定される商業的組織、装置、資料は、実験的な手順または概念を適切に説明するためのものです。した がって、OCDET/atoll project による推薦または保証を意味するものではなく、これら組織、資料、または装置が、その目 的に関して得られる最善のものであると意味しているわけでもありません。
  • 3. 1. はじめに 1.1 目的と範囲 各種オープンソースベースのクラウド基盤技術の評価と相互接続による連携、運用ノウハウ蓄積と周知を図る にあたって、連携、運用ノウハウの利用が適切な情報セキュリティを含むガバナンス体制のもとに行えるよう、 事業継続性と運用弾力性の確保を主眼に置いたクラウド定義とリファレンスアーキテクチャを提供することを目 的とします。世界的に広く受け入れられている NIST SP800-145 に示されているクラウド定義と ENISA や経済産 業省などの定義の差分を整理し、NIST SP500-292 に示されているクラウドリファレンスアーキテクチャと TCI Reference Architecture に共通するレイヤー整理上の問題の解決を図ります。 1.2 対象読者 本文書は、NIST SP500-292 が定義しているクラウドプロバイダ、クラウドブローカ、クラウドオーディタ、クラウド キャリア、クラウドコンシューマとしてサービスを提供または利用している人々を読者として想定しています。 1.3 作成組織 1.2.1 OCDET オープンクラウド実証実験タスクフォースは、オープンソース実装の評価は個別の実装単位での検証 に留まり、各基盤間の連動性を実証する機会が乏しいという問題があり連携実験の実施が課題となっ ている今、オープンソースベースの各クラウド基盤技術の実証実験を通じて相互接続による連携、運 用ノウハウを周知し、クラウド基盤の一般化と利活用の促進を図る事を目的としてします。また、構築 運用ベストプラクティス等を業界全体で共有し、クラウド基盤の整備を行うと同時に質の高いクラウドサ ービス構築を支援し、IT 業界の活性化に貢献します。詳細については http://www.ocdet.org 参照。 1.2.2 atoll project は、クラウドガバナンスという概念がスコープしている領域の全体像を明らかにすることでクラウドに関 連する技術やサービスの提供者と利用者それぞれが自らの指針を決定する一助となることを目標とし ます。atoll project は OCDET 参加団体として基盤統合ワーキンググループにおいて本リファレンスアー キテクチャ策定を担当しました。詳細については http://atoll.jp 参照。
  • 4. 2. 定義 本文書では 2.1 に示される既存定義を準用します。独自の定義については 2.2 以降.に示します。 2.1 準拠定義 2.1.1 リスク、危害、安全 ISO/IEC Guide51:1999 2.1.2 脅威、脆弱性 ISO/IEC15408 2.1.3 脆弱性分類 Common Weakness Enumeration 2.1.4 脅威分類 Web Application Security Consortium 2.1.5 相互運用性、可搬性 ISO/IEC 25010 2.1.6 信頼性、保守性、可用性 ISO/IEC 2382-14 2.1.7 事業継続性、弾力性 ISO22301 2.1.8 サプライチェーン ISO28000 2.1.9 セキュリティフレームワーク The Open Web Application Security Project : OWASP 2.1.10 OSI 参照モデル ISO/IEC 7498-1 2.1.11 アクター分類 NIST SP500-292 2.1.12 エコシステム James F. Moore Predators and Prey: A New Ecology of Competition 1993 Harverd Business review 2.2 最小限のクラウド定義 共有化されたコンピュータリソース(サーバ,ストレージ,アプリケーション等)について,利用者の要求に応じて 適宜・適切に配分し,ネットワークを通じて提供することを可能とし相互運用性と可搬性が担保されている情報 処理形態。 2.3 最小限のクラウド定義に基づくクラウドアーキテクチャ定義 2.3.1 設備層 ハードウェア層と合せて物理資源層を構成します。データセンターとは、ハードウェア層に含まれる物 理資源を収容する建物全体またはその一部で、サーバ室・データ保管室・管路と通信設備、電気設備、 空調設備を備えたものをいいます。データセンターに加えてハードウェア層に含まれる物理資源を収 容するラック・ケーブルダクト等を総称して設備といいます。 2.3.2 ハードウェア層 ハードウェア層と合せて物理資源層を構成します。計算資源(物理サーバ)、記憶資源(物理ストレー ジ)通信資源(物理通信機器)によって構成されます。設備層との界面はラックのマウントポジションと 電源ケーブルのプラグ、通信ケーブルの端子となります。 2.3.3 資源抽象化・管理層 物理資源層を抽象化して後述するサービス層に提供する層となります。物理資源層の計算資源(サー バ)、記憶資源(ストレージ)、通信資源(通信機器)を管理し、仮想マシンなどの形態に抽象化して IaaS 層での利用を可能にします。サービス層に対する抽象化された物理資源の割り当て管理を含む構成 管理と変更管理の機能も提供します。 2.3.4 サービス層 クラウドコンシューマが直接触れる IaaS、PaaS、SaaS で構成されます。抽象化粒度によって階層は識 別され、物理資源が提供する計算資源(サーバ)、記憶資源(ストレージ)、通信資源(通信機器)を物 理資源層と同一の粒度のまま、利用者の要求に応じて適宜・適切に配分する IaaS 層、IaaS 層を隠ぺ いしてアプリケーションプラットフォームとして提供する PaaS 層、PaaS 層を隠ぺいしてアプリケーション
  • 5. を提供する SaaS 層に分類されます。 2.3.5 リファレンスクラウドアーキテクチャモデル図 アプリケーション SaaS アプリケーションプラットフォーム PaaS 論理通信機器 論理サーバ 論理ストレージ IaaS サービス 資源抽象化・管理 物理通信機器 物理サーバ 物理ストレージ ハードウェア ラック・ケーブルダクト サーバ室・データ保管室・管路 通信設備 電気設備 空調設備 建物 データセンター 設備 物理資源 サービスオーケストレーション
  • 6. 2.4 ガバナンスドメイン定義 2.4.1 要件 クラウドがもたらす効果を実現するにあたって考慮されるべき条件を要件といいます。 2.4.1.1 事業継続性管理・運用弾力性 事業継続性管理とは、価値創造活動を維持するために、事業中断リスクを識別して危害の発生を 抑止または回避する能力をいい、運用弾力性とは、抑止または回避できない危害への対応または 復旧能力をいいます。 2.4.1.2 サプライチェーン管理・透明性と説明責任 資源、材料の調達に始まり、製品・サービスの出荷を経て輸送手段(陸上・海上を含む)を通じてエ ンドユーザーにまで及ぶプロセスをサプライチェーンといい、透明性と説明責任とは、サプライチェ ーンに含まれる個々のプロセス活動結果についての合理的な報告義務と報告内容の検証可能性 の担保をいいます。 2.4.1.3 相互運用性と可搬性 相互運用性とは、特定のデータ形式に基づくデータ交換性であってインターフェース一貫性をいい、 可搬性とは異なる環境への移しやすさをいいます。 2.4.1.4 法令と標準遵守 公平性や誠実性など普遍的倫理観に基づいて、組織の活動が社会及び環境に及ぼす影響に対し て社会的責任を果たし、利害関係者へ配慮した対応を行い、各国の法令を尊重し順守し、国際的 行動規範と人権を尊重することをいいます。 2.4.2 手順 クラウドに求められる要件を満足させる処理過程を手順といいます。 2.4.2.1 脅威と脆弱性管理 各コントロール領域についての詳細なコントロールポリシーの作成と、経営者によって承認されたコ ントロールポリシーの公開とセキュリティプログラムによるコントロールポリシーに基づく実行をいい、 コントロールポリシーとセキュリティプログラムの定期的再評価を含みます。 2.4.2.2 人的資源セキュリティ アイデンティティとアクセス管理またはデータセンターセキュリティで規定されるアクセス管理の対象 となる資産またはデータへあらゆるアクセス権限の付与にあたっては法令と標準順守および規制、 倫理、契約制約に基づき雇用候補、雇用者、請負業者や第三者も含めて事前に適切な水準の背 景調査を行います。 2.4.2.3 アイデンティティとアクセス管理 資源および手順として識別されるすべての要素に対して OWASP ESAPI を参照し、紛失、誤用、不 正アクセス、開示、改ざんおよび破壊を含む脅威から資産やデータを保護するために自動化された アクセス管理技術と物理的な保護手段を実装します。また、資産やデータ、アクセス権限の組み合 わせによって構成されるロールと利用者の本人性確認手法を適切に実装します。 2.4.2.4 データセキュリティと情報ライフサイクル管理 資源および手順として識別されるすべての要素について、規制、法令、契約やビジネス要件への適 合性を確保するために、資産やデータにコントロール ID を付与する必要があります。コントロール ID は標準データモデルに従った分類ラベル、変更履歴、構成情報、制約条件等の情報を保持する ための自動化された管理手段を備えます。 2.4.2.5 暗号化と暗号鍵管理 資源および手順として識別されるすべての要素について、紛失、誤用、不正アクセス、開示、改ざ
  • 7. んおよび破壊を含む脅威からデータを保護するために暗号化技術と物理的な保護手段の実装が 必要です。また、データとアクセス権限の組み合わせによって構成されるロールと利用者の本人性 確認手法によって暗号鍵を適切に管理します。 2.4.2.6 セキュリティインシデント管理・電子証跡とクラウドフォレンジック 資源および手順として識別されるすべての要素について、データセキュリティと情報ライフサイクル 管理に格納された、変更制御と構成管理にかかる情報は電子証跡として管理します。電子証跡を 利用して時系列にコントロール ID の状態を比較することによって、紛失、誤用、不正アクセス、開示、 改ざんおよび破壊といった顕在化した脅威(セキュリティインシデント)の検出と原因究明などのクラ ウドフォレンジック手段を実装します。 2.4.2.7 変更制御と構成管理 資源および手順として識別されるすべての要素について、資産やデータの初期構成はコントロール ID に付与された構成情報によって管理されます。資産やデータの変更は、事前に定められた手続 きに従ったテスト結果が適正な承認権限のもとに承認されるまでテスト対象となった資産やデータ の変更は、本番環境に適用することはできません。テスト結果が承認され変更された資産やデータ の状態は変更履歴としてコントロール ID に追加されます。 2.4.2.7 アプリケーションとインターフェースセキュリティ 最低限、アプリケーション毎に OWASP または同等のセキュリティフレームワークに準拠したサービ ス層でのユーザー資格およびパスワードコントロールの自動化された実装をします。 2.4.2.8 インフラストラクチャと仮想化セキュリティ 変更制御と構成管理の対象となる資産のうち、サーバ、ストレージ、通信機器それぞれの資源抽象 化・管理機能によって構築される論理サーバ資源、論理ストレージ資源、論理ネットワーク資源を 利用者の要求に応じて適宜・適切に論理サーバ、論理ストレージ、論理通信機器、プラットフォーム、 アプリケーションまたはこれらを組み合わせたサービスとして提供するオーケストレーションについ て、事前に定められた制約条件に従って自動化された実行と管理の手段を実装します。 2.4.2.9 データセンターセキュリティ 物理資源として識別されるすべての要素を紛失、誤用、不正アクセス、開示、改ざんおよび破壊を 含む脅威から保護するために、物理的セキュリティ境界(塀、壁、障壁、ガード、ゲート、電子監視、 物理的な認証メカニズム、レセプションデスク、セキュリティパトロール)を実装します。物理的セキ ュリティ境界によって隔離された物理資源に対する物理的アクセスは適切な物理アクセス管理手段 によって保護します 2.4.3 資源 手順の適用対象となるアーキテクチャおよび実装を資源と言います。本文書では 2.3 に示したリファレ ンスクラウドアーキテクチャを指します。
  • 8. 2.5 ガバナンスドメインのクラウドガバナンスキューブ表現 事業 継続 性管 サプ 理・ 運用 ・透 ライ 弾力 明性 チ ェ 相互 と説 ーン 性 運用 明責 管理 要件 性と 任 可搬 法令 性 ・標 準順 守 脅威と脆弱性管理 人的資源セキュリティ アイデンティティ・アクセス管理 ビス サー データセキュリティ 理 クラウドフォレンジック 手順 資源 ・管 抽 象化 資源 ェア ドウ ハー 設備 2.6 リファレンスモデルへのガバナンスドメインコントロールエリアマッピング サプライチェーン管理・透明性と説明責任 相互運用性と可搬性 法令・標準順守 事業継続性管理・運用弾力性 アプリ・インターフェース モバイルセキュリティ アプリケーション 情報ライフサイクル管理 セキュリティ SaaS アプリケーションプラットフォーム 構成管理 PaaS セキュリティインシデント管理 データセキュリティ 論理通信機器 論理サーバ 論理ストレージ インフラストラクチャと仮想化セキュリティ 電子証跡 IaaS アイデンティティ・アクセス管理 サービス クラウドフォレンジック 人的資源セキュリティ 脅威と脆弱性管理 暗号化・暗号鍵管理 資源抽象化・管理 変更制御 物理通信機器 物理サーバ 物理ストレージ ハードウェア ラック・ケーブルダクト サーバ室・データ保管室・管路 データセンター セキュリティ 通信設備 電気設備 空調設備 建物 データセンター 設備 物理資源 ガバナンス・リスク管理 サービスオーケストレーション
  • 9. 2.7 リファレンスモデルのレイヤーモデル表現とガバナンスドメインコントロールエリアマッピング キ ャ リ ア ク ラ ウ ドシ ス テ ム オ ン プ レ ミス シ ス テ ム デ バ イ ス ア プ リ ケ ー シ ョン ア プ リケ ー シ ョン 脅 威 と 脆 弱 性 管 理 モ バ イ ル セ キ ュ リテ ィ ア プ リ ケ ー シ ョン ア プ リ ケ ー シ ョン ア プ リ ケ ー シ ョン 事 業 継 続 性 管 理 ・運 用 弾 力 性 ア プ リ ・イ ン タ ー フ ェ ー ス セ キ ュ リ テ ィ 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 ア プ リ ケ ー シ ョン セ ル フ マ ネ ジ メン ト ア プ リケ ー シ ョン ダ ッシ ュ ボ ー ド API 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 モ バ イ ル セ キ ュ リテ ィ プ ラ ッ トフ ォ ー ム 相 互 運 用 性 と 可 搬 性 ア プ リ ・イ ン タ ー フ ェ ー ス 法 令 ・標 準 順 守 セ キ ュ リ テ ィ 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 ア イ デ ン テ ィテ ィ・ア ク セ ス 管 理 デ ー タ セ キ ュ リテ ィ 暗 号 化 ・暗 号 情 報 ラ イ フ サ イ 鍵 管 理 ク ル 管 理 セ キ ュ リ テ ィイ ン シ デ ン ト管 理 ク ラ ウ ドフ ォ レ ン ジ ック 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレ ー ジ ジ 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレ ー ジ ジ 論 理 通 論 理 通 論 理 通 信 機 器 信 機 器 信 機 器 脅 威 と 脆 弱 性 管 理 論 理 論 理 論 理 論 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と サ ー バ サ ー バ ス トレ ー ス トレ ー 説 明 責 任 論 理 通 論 理 通 論 理 通 ジ ジ イ ン フ ラ ス トラ ク チ ャ と 信 機 器 信 機 器 信 機 器 相 互 運 用 性 と 可 搬 性 仮 想 化 セ キ ュ リ テ ィ 論 理 論 理 論 理 論 理 法 令 ・標 準 順 守 サ ー バ サ ー バ ス トレ ー ス トレ ー 論 理 通 論 理 通 論 理 通 ジ ジ 人 的 資 源 セ キ ュ リ テ ィ 信 機 器 信 機 器 信 機 器 ガ バ ナ ン ス ・リ ス ク 管 理 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレ ー ジ ジ 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレ ー ジ ジ 電 子 証 跡 変 更 制 御 構 成 管 理 論 理 サ ー バ 資 源 論 理 ス トレ ー ジ 資 源 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 論 理 ネ ッ トワ ー ク 資 源 相 互 運 用 性 と 可 搬 性 イ ン フ ラ ス トラ ク チ ャ と 論 理 サ ー バ 資 源 論 理 ス トレ ー ジ 資 源 仮 想 化 セ キ ュ リ テ ィ 法 令 ・標 準 順 守 人 的 資 源 セ キ ュ リテ ィ ガ バ ナ ン ス ・リ ス ク 管 理 論 理 サ ー バ 資 源 論 理 ス トレ ー ジ 資 源 電 子 証 跡 変 更 制 御 構 成 管 理 論 理 資 源 プ ー ル 通 信 資 源 通 信 資 源 通 信 資 源 抽 象 化 ・ 抽 象 化 ・ 抽 象 化 ・ 管 理 管 理 管 理 サ ー バ 資 源 抽 通 信 資 源 通 信 資 源 ス トレ ー ジ 資 源 象 化 ・管 理 抽 象 化 ・ 抽 象 化 ・ 抽 象 化 ・管 理 管 理 管 理 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 相 互 運 用 性 と 可 搬 性 イ ン フ ラ ス トラ ク チ ャ と 通 信 資 源 通 信 資 源 仮 想 化 セ キ ュ リ テ ィ サ ー バ 資 源 抽 抽 象 化 ・ 抽 象 化 ・ ス トレ ー ジ 資 源 法 令 ・標 準 順 守 象 化 ・管 理 管 理 管 理 抽 象 化 ・管 理 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 サ ー バ 資 源 抽 通 信 資 源 通 信 資 源 ス トレ ー ジ 資 源 象 化 ・管 理 抽 象 化 ・ 抽 象 化 ・ 抽 象 化 ・管 理 管 理 管 理 電 子 証 跡 変 更 制 御 構 成 管 理 上 位 シ ス テ ム 同 等 シ ス テ ム 下 位 シ ス テ ム 移 動 体 イ ン タ ー 専 用 線 等 通 信 網 ネ ット 物 理 物 理 物 理 通 信 通 信 通 信 物 理 サ ー バ 機 器 機 器 機 器 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 物 理 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 脅 威 と 脆 弱 性 管 理 物 理 サ ー バ 物 理 ス トレ ー ジ サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 モ バ イ ル セ キ ュ リ テ ィ 物 理 サ ー バ 物 理 ス トレ ー ジ 相 互 運 用 性 と 可 搬 性 物 理 物 理 デ ー タ セ ン タ ー 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 法 令 ・標 準 順 守 セ キ ュ リテ ィ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 人 的 資 源 セ キ ュ リテ ィ 物 理 サ ー バ 物 理 ス トレ ー ジ ガ バ ナ ン ス ・リ ス ク 管 理 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 物 理 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 電 子 証 跡 物 理 ス トレ ー ジ 変 更 制 御 構 成 管 理 物 理 資 源 プ ー ル 通 信 設 備 ラ ック 電 気 設 備 空 調 設 備 ラ ッ ク 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 ケ ー ブ ル ダ ク ト 相 互 運 用 性 と 可 搬 性 デ ー タ セ ン タ ー ラ ッ ク ラ ッ ク セ キ ュ リ テ ィ 法 令 ・標 準 順 守 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 ラ ック ラ ッ ク 通 信 設 備 サ ー バ 室 電 気 設 備 空 調 設 備 デ ー タ 保 管 室 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 管 路 相 互 運 用 性 と 可 搬 性 デ ー タ セ ン タ ー サ ー バ 室 デ ー タ 保 管 室 セ キ ュ リ テ ィ 法 令 ・標 準 順 守 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 サ ー バ 室 デ ー タ 保 管 室 公 衆 ダ ー ク 専 用 線 等 回 線 フ ァ イ バ 通 信 設 備 電 気 設 備 空 調 設 備 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 相 互 運 用 性 と 可 搬 性 デ ー タ セ ン タ ー 建 物 セ キ ュ リ テ ィ 法 令 ・標 準 順 守 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 設 備
  • 10. 本文書は以下の条件に基づいてライセンスされます。 表示 - 非営利 - 改変禁止 2.1 日本 (CC BY-NC-ND 2.1) http://creativecommons.org/licenses/by-nc-nd/2.1/jp/