CA Technologies

カスタマー・ソリューション・アーキテクト

楠木 秀明（CISSP・CISA）

クラウドサービスを安全に安心して利用・提供するために

クラウドへの懸念経済産業省より公開されているクラウドへの懸念事項例

www.meti.go.jp/press/20090528001/20090528001-4.pdf より抜粋2

弊社がお客様から頻繁に頂く質問事項クラウドの定義に依存するものの、過去における外部委託（ASP、アウトソーシング等）との差異が不明確。CAの見解は？とのご質問を頂く。

クラウドと外部委託（ASP・アウトソーシング等）のリスクで、何が違うのですか？

クラウドと外部委託（ASP・アウトソーシング等）のリスクで、何が違うのですか？

①①

クラウド特有のリスクとは何ですか？クラウド特有のリスクとは何ですか？②②

質問の意図世間一般でいわれているクラウドのリスクは、過去の外部委託（ASP・アウトソーシング等）と大差が無いように思える。

質問の意図世間一般でいわれているクラウドのリスクは、過去の外部委託（ASP・アウトソーシング等）と大差が無いように思える。

3

アンケート結果を検証先のアンケート結果のクラウドに対する懸念事項が、外部委託（ASP、アウトソーシング等） にでも当てはまるか否かを検証してみる

①セキュリティ対策（情報漏洩対策等）が十分かどうか分からない①セキュリティ対策（情報漏洩対策等）が十分かどうか分からない

4

②自社で構築・保有するのに比べ、コストダウンするのか分からない②自社で構築・保有するのに比べ、コストダウンするのか分からない

③社内システムとの連携が困難である③社内システムとの連携が困難である

④サービスレベルが不明瞭である④サービスレベルが不明瞭である

⑤サービスレベルが保障されていない⑤サービスレベルが保障されていない

⑥自社で構築・保有するのに比べ、障害発生時に迅速に、柔軟に対応できない⑥自社で構築・保有するのに比べ、障害発生時に迅速に、柔軟に対応できない

⑦サービス提供を中止される可能性がある⑦サービス提供を中止される可能性がある

⑧他社のサービスに移行するのが困難である⑧他社のサービスに移行するのが困難である

⑨内部統制のルールに適合しない⑨内部統制のルールに適合しない

⑩データを保存するデータセンターが海外に立地している⑩データを保存するデータセンターが海外に立地している

適合適合

適合適合

適合適合

適合適合

適合適合

適合適合

適合適合

適合適合

適合適合

適合適合

ほとんど変わらないのでは？

ほとんど変わらないのでは？

弊社の見解と考慮ポイント

弊社の見解弊社の見解

カントリーリスク・リーガルリスク を考慮すべきカントリーリスク・リーガルリスク を考慮すべき

ただし

5

過去の外部委託（ASP・アウトソーシング等） と大差はない。

過去の外部委託（ASP・アウトソーシング等） と大差はない。

なぜならクラウドの特徴として、どの国のどのデータセンターにあっても、サービスが使用できれば問題ない。過去のASP・アウトソーシングでは、ほぼ100%どの国のどのデータセンターかを特定してサービスを受けていたと思われる。これは国によっては情報漏洩などの事件があった場合、強制的に捜査が入りシステムが停止する可能性や、法律が異なるor特定できないため責任・罰則が予測困難になることがリスクとして考えられる。

なぜならクラウドの特徴として、どの国のどのデータセンターにあっても、サービスが使用できれば問題ない。過去のASP・アウトソーシングでは、ほぼ100%どの国のどのデータセンターかを特定してサービスを受けていたと思われる。これは国によっては情報漏洩などの事件があった場合、強制的に捜査が入りシステムが停止する可能性や、法律が異なるor特定できないため責任・罰則が予測困難になることがリスクとして考えられる。

上記が前述の⑦サービス提供を中止⑩データセンターが海外に立地の懸念事項に相当すると考えられる。つまり海外にデータを保持する場合には、事前に国・法律を特定し、特例として現地訪問しリスクマネジメントが実行されているのか否かを確認することが望ましい。またSAS70等の第三者評価を取得している事は、ひとつの指標になると考えられる。

クラウドサービスを安全に安心して利用・提供するためには

6

認識し対策すべき懸念事項は、過去の外部委託（ASP・アウトソーシング等） と大差はない。ただしデータが海外に保持される場合は、カントリーリスク・リーガルリスクを考慮する必要があると考える。

認識し対策すべき懸念事項は、過去の外部委託（ASP・アウトソーシング等） と大差はない。ただしデータが海外に保持される場合は、カントリーリスク・リーガルリスクを考慮する必要があると考える。

従来から認識されているリスクに対する低減処置（コントロール）は、求める・求められるレベルが高度化している傾向がある。しかし新たなリスクが存在するわけではない為、活用できる事例・ベストプラクティスを参考にできる/すべきと考える。

従来から認識されているリスクに対する低減処置（コントロール）は、求める・求められるレベルが高度化している傾向がある。しかし新たなリスクが存在するわけではない為、活用できる事例・ベストプラクティスを参考にできる/すべきと考える。

参考）弊社のSaaSのサービスでは、国（州）を開示し、ご要望があれば現地訪問いただき、懸念事項をお客様にてご確認いただくことも可能です。またSAS70により第三者評価の結果を開示することも可能となっております。

クラウド業者に求められること

7www.meti.go.jp/press/2011/04/20110401001/20110401001-2.pdf より抜粋

従来からのベストプラクティス

従来からのベストプラクティス

活用できる事例・ベストプラクティス

8

活用できる事例・ベストプラクティスとは？活用できる事例・ベストプラクティスとは？

個人情報保護法対応

個人情報保護法対応

内部統制・SOX法・SAS70/18号監査 対応

内部統制・SOX法・SAS70/18号監査 対応

BS7799・ISMSISO27000ｼﾘｰｽﾞ 対応

BS7799・ISMSISO27000ｼﾘｰｽﾞ 対応

業界毎金融：安対/PCIDSS 対

応

業界毎金融：安対/PCIDSS 対

応参考）経済産業省の「クラウドサービス利用のための情報セキュリティマネジメントガイドラインについて」においては、 ISO27002の日本版であるJIS Q 27002（ 情報セキュリティマネ

ジメントの実践のための規範）をもとに管理策を選択できるように作成されている。

弊社のご支援内容

今後今後

現状現状

コントロールの整備度合

成熟度向上

効率化

例：手動から自動

紙からシステム

例：特権IDの払出し

弊社のご支援内容

コントロールの①整備/強化②成熟度向上

弊社のご支援内容

コントロールの①整備/強化②成熟度向上

9

コントロール 機能 PCIDSS要件 弊社ソリューション1 ユーザIDの定期的な見直し 不要なユーザIDの棚卸 8.1、8.2、8.5 CA Identity Manager

２ 二要素認証の導入

ユーザID/passwordに加え、デバイス認証を追加（例：ID/passwordの認証が正しくとも、事業所内の業務PCからのアクセスはOK、スマートフォンは一部OK、自宅PC、インターネットカフェからのアクセスはNGとする）

8.3 CA ARCOT

３ モニタリング ログの一元化・分析 10.2、10.6 CA Enterprise Log Manager

4 NW機器設定の改ざん検知ルータ等のNW機器の履歴（設定変更、ACL、システム状態）を保存、妥当性をモニタリング

1.2.2 CA Spectrum

5 デフォルト設定の検知各サーバのOS、アプリケーションの設定値を自動でチェックし、デフォルト値等の自社基準を満たしていない設定を検知/修正

2.1、2.2 CA Configuration Automation

6 改ざん検知 改ざん検知・防御・アラート機能 10.6、11.5 CA Access Control

自動化アクセス制御システム（RACF/Top/ACF2のOPEN版） 7（all） CA Access Control

root等の特権ユーザIDでの監査証跡の改ざん防止 10.5 CA Access Control

OSでは出来ない特権IDの権限分掌（rootの細分化） 6.3.3 CA Access Control

サーバ側：UNIX・Linuxのなり替わり前のユーザを特定するログクライアント側：操作端末の操作を録画

10RACF・Top・ACF2のID、ACLの定期的な見直し

不要なユーザID、アクセス制御ルールの棚卸 8.5.4 CA Cleanup

監査証跡、コンフィグファイル等の改ざん検知・アラート機能10.5、10.6、

11.5CA Compliance Manager

DB2のデータを、いつ、誰が、どのような更新したのかをレポート化 11.5 CA Log Analyzer

DB2では出力されないSQL（SELECT等）を履歴として保存 10.1 CA DetectorOSの仕様で通常は履歴が取得できないPDSメンバに対する履歴を収集

10.1、10.3 CA PDSMAN

10.1

改ざん検知11

12 新たなログ（証跡）の出力

CA Access Control

root等の特権IDを共有IDとして運用する場合個人の識別をパスワード変更貸出ワークフローで実施

8.1、8.2、8.510.1

CA Access Control

OSのセキュリティを強化＆複数OSのレベル均一化

新たなログ（証跡）の出力

7

８

9 ID貸出・特権ID管理

10

作業者

承認者

ID貸出サーバ

貸出IDを使用し、メンテナンスサーバへアクセス

貸出しIDの証跡記録

UNIX

＋ 特権IDによる改ざん防止＋ 特権IDによる改ざん防止

＋ 特権IDの権限分掌＋ 特権IDの権限分掌

＋ なり替わり特定ログ（UNIXのみ）

＋ なり替わり特定ログ（UNIXのみ）

＋ 改ざん検知＋ 改ざん検知

＋ 操作端末録画機能＋ 操作端末録画機能

ログログ

Windows

ログログ

統合ログ管理サーバ

OSでは出来ない機能を追

加

OSでは出来ない機能を追

加

ZOS

各業務サーバ群

開発者 緊急対応

認証サーバ

＋ 二要素認証＋ 二要素認証

作業終了後無効化

ユーザ情報リポジトリ

OSでは出来ない機能を追

加

OSでは出来ない機能を追

加

＋ ユーザID棚卸登録業務自動化

＋ ユーザID棚卸登録業務自動化

＋ ログ収集・分析＋ ログ収集・分析

＋ 特権ID貸出＋ 特権ID貸出

NW機器

設定収集サーバ

ConfigACL等

ConfigACL等

＋ 改ざん検知＋ 改ざん検知

＋ DB2の更新証跡＋ DB2の更新証跡

＋ DB2の抽出証跡＋ DB2の抽出証跡

＋ ID・ルールの棚卸＋ ID・ルールの棚卸

＋ PDSメンバアクセス履歴＋ PDSメンバアクセス履歴

＋ NW機器設定変更管理＋ NW機器設定変更管理

＋ 設定内容妥当性チェック＋ 設定内容妥当性チェック

デフォルト設定の検知/修正

11

作業者

承認者

ID貸出サーバ

貸出IDを使用し、メンテナンスサーバへアクセス

貸出しIDの証跡記録

UNIX

＋ 特権IDによる改ざん防止＋ 特権IDによる改ざん防止

＋ 特権IDの権限分掌＋ 特権IDの権限分掌

＋ なり替わり特定ログ（UNIXのみ）

＋ なり替わり特定ログ（UNIXのみ）

＋ 改ざん検知＋ 改ざん検知

＋ 操作端末録画機能＋ 操作端末録画機能

Windows

統合ログ管理サーバ

OSでは出来ない機能を追

加

OSでは出来ない機能を追

加

ZOS

＋ 改ざん検知＋ 改ざん検知

＋ DB2の更新・抽出証跡＋ DB2の更新・抽出証跡

＋ PDSメンバアクセス履歴＋ PDSメンバアクセス履歴

＋ ID・ルールの棚卸＋ ID・ルールの棚卸

各業務サーバ群

開発者 緊急対応

認証サーバ

＋ 二要素認証＋ 二要素認証

作業終了後無効化

ユーザ情報リポジトリ

OSでは出来ない機能を追

加

OSでは出来ない機能を追

加

Compliance ManagerCompliance Manager

Log AnalyzerLog Analyzer

DetectorDetector

PDSMANPDSMAN

ARCOTARCOT

＋ ログ収集・分析＋ ログ収集・分析

＋ 特権ID貸出＋ 特権ID貸出

Access ControlAccess Control

Access ControlAccess Control

Enterprise Log Manager

Enterprise Log Manager

Access Control

Access Control NW機器

設定収集サーバ

ConfigACL等

ConfigACL等

CleanupCleanup

＋ NW機器設定変更管理＋ NW機器設定変更管理

SpectrumSpectrum

＋ ユーザID棚卸登録業務自動化

＋ ユーザID棚卸登録業務自動化

Identity ManagerIdentity Manager

＋ 設定内容妥当性チェック＋ 設定内容妥当性チェック

デフォルト設定の検知/修正

Configuration Automation

Configuration Automation

AccessControlログ

AccessControlログ

AccessControlログ

AccessControlログ

12

現状把握ロードマップ作成

コントロールプランニング

コントロール構築

ステップ 1 ステップ 2 ステップ 3 ステップ 4

運用

ステップ 5

アドバイザリ・サービスアドバイザリ・サービス 実装サービス実装サービス

・対応状況調査・リスク抽出・必要コントロール

の洗い出し

・コントロール優先順位作成

・中長期ロードマップ作成

・コントロール検討および製品選定

・製品教育・構築計画策定・規定の変更・組織内スキーム再考

・教育実施・フォローアップ

・システム設計・システム導入・テスト・評価

共有IDが多く使用されている

退職者のIDの消し忘れ

が、稀にある

アクセス権限が、きちんと

割り振れていない

申請プロセスでミスが多

発

サーバ台数が多く、IDメンテナンス作業ミスが多発

100あるシステムごと に独

自のアカ ウント管理が存在する

アカウント管理者の選定基準がない

アカウント管理指針が不明確

パスワードを変更していな

い

共有ID

残存ID

高権限ID

承認不備ID

管理不備ID

パスワード

ポリシーが現場に浸透しない

監査対応で時間がかかる

その他

退職者のIDを使って不正アクセスが発生する

顧客の個人情報が

漏えいする

会社の社会的信用の低下

新規顧客の獲得が

できなくなる（機会損失）

漏えいした顧客への賠償の発生（ 金額的損失）

誰が使ったのかわから な

くなる

原因の特定ができない

システムのクラッキングが

行いやすくなる

サービスの可用性が落ち

る

既存顧客が離れていく

（顧客満足度の低下）

顧客への損害賠償（金額的損失）

会社が利益を生めなくなる。

オペレーションミスが発生した時の被害が大きくなる

必要以上に高権限を

付与していしまう

復旧に時間（工数）がかか

る

予期していない不要なお

金をかけてしまう

不正アクセスに悪用され

てしまう

悪意を持ったひとりの人間が自由にできてしまう

意図しないIDを作成してし

まう

申請プロセスに多くの時間がかかる

計画どおり作業が進まない

納期に間に合わない

社員のモチベーションが低下する

残業が増える

企業競争力の低下

全体の実態が把握できな

い

パスワードの変更ミスによ

りログインできなくなる

ID台帳のアクセス権がアカウント管理者に適切に

付与されていない台帳が見れない

管理者を決めら れない

作業に時間がかかる

責任・役割意識の希薄化誰も管理しない状態

（放置状態） 残存ID、共有ID・・ ・・・

おしつけるように

決める

いやいや感が伴う 管理品質が下がる

どうしてよいかわからない 個人で考えて管理せざるをえない

管理業務が属人化する

パスワードが漏れやすくな

る

パスワード命名規則にのっと っていないパスワー

ドがある

パスワード変更を必須とし

ないシステムがある（ 比較的古めのシステム）

パスワード命名規則にのっ とれないシステムがある

（6桁しかもてないUnixなど）

パスワードの推測が

容易になる

多くの人が知っているパスワードがある

資料作成に時間がかかる

ログ習得に時間がかかる

監査人との受け答えに時

間がかかる

残業が増える

本来業務ができなくなる

時間がかかる納期に遅れる仕事がでて

くる

当該権限を持ったIDを他に作れないため

（OSルートなど）

プログラムに埋め込まれてしまっているため

手間がかかるため

台数やユーザ数に応じて

IDが膨大になるため

ID作成をすべて手動で行っているため

OSの限界であるが、権限

分掌するしくみが必要

プログラ ム改修（埋め込みの外部化）

IT中長期化計画への反映

ID作成の自動化

IDの一元管理化と一括反映のしくみ

退職者情報の連絡がまわってこない

人事システムとの連携

職務権限とアクセス権が

明確に紐づいていない

個人レベルの

職務分掌が不明確

適切なアクセス権がIDに与えられていない

個人レベルの

職務分掌を作成する

細分されたアクセス権を設定できるしくみが必要

適切なアクセス権をIDに

与える

申請が紙ベースで人間系が介在する

必ずしも承認者が適切なチェックでき ないときがあ

る

承認者が多すぎて

責任が明確でない

承認者の責任・ 役割を明

確化する

承認フローに介在する承認者を減らす

申請を自動化する

手動によるメンテナンス作業

メンテナンス作業を自動化するしくみが必要

サーバ台数を減らす

一元的なアカウント管理指針がない（ 個別にはあ

る）

一元的なアカウント管理指針を策定する

自動化による標準化の促進

業務に紐づいた人である

必要があるため属人的。

個人レベルの

職務分掌を作成する

パスワード変更をつい怠

ってしまう

プログラム改修（パスワード変更機能） 全体の現状可視化（ 調査）

レガシーマシンのリプレース

頻度が多く、都度同じような作業が発生

情報の収集や資料作成、棚卸作業が手作業

自動レポート化のしくみが必要

中長期的なToBｅ 短期的なToBｅ

13

ご参考

震災後の新たな考慮点～事業継続の考え方～

ご参考

震災後の新たな考慮点～事業継続の考え方～

14

15

16

交通網の混乱交通網の混乱

節電節電

在宅勤務の検討

在宅勤務の検討

17

レベル３

レベル３

レベル２

レベル２

レベル１

レベル１

なぜ会社支給？

ウイルス対策等、企業として最低限守っておくべきコントロールが整備されている事が必須。

なぜ会社支給？

ウイルス対策等、企業として最低限守っておくべきコントロールが整備されている事が必須。

18

社内システム社内システム

自社、関連会社

レベル1

自宅から会社支給スマートフォン

レベル

3

自宅から会社支給PC

レベ

ル2

会社支給ではないデバイス（例）

個人PCインターネットカフェ

NG

19

利益低下利益低下

株価下落株価下落 景気低迷景気低迷

製品調達困難

製品調達困難

格付引下げ格付引下げ

利益増加これが災害後に求められること

利益増加これが災害後に求められること

利益増加を実現するための一手段として、競合他社との差別化を図るうえで、従来型のビジネスモデルを改革し、スマートフォン・タブレット等の新しいデバイスを用いて、新たなサービスを模索中

利益増加を実現するための一手段として、競合他社との差別化を図るうえで、従来型のビジネスモデルを改革し、スマートフォン・タブレット等の新しいデバイスを用いて、新たなサービスを模索中

20

—スマートフォン、ターブレット型端末のビジネス利用が加速

—外回りの営業社員向けの端末として

−外資系保険会社の営業向け端末

• iPhoneに決済機能をつけ、お客様の契約をその場で決済

−製薬業界のMR向け

• 顧客である医師に動画や写真などを利用して薬の効用などをアピール

—対面販売のツールとして

−アパレル店舗

• 在庫確認アプリをiPhoneアプリ化、お客様をお待たせしません

−中古車販売店

• 中古車検索端末をターブレット端末に変更。お客様が触ってくれます。

21

社内システム社内システム

自宅から会社支給PC

レベ

ル2

自社、関連会社

自宅から会社支給スマートフォン

レベル

3

レベル1

会社支給ではないデバイス（例）

個人PCインターネットカフェ

NG

新たなサービススマートフォン/タブレット

（会社支給）

認証レベルを瞬時に変化

認証レベルを瞬時に変化

22