BT

クラウドセキュリティアセスメントの将来: Microsoft、CSAのレジストリ登録をリード

| 作者: Jeevak Kasarkod フォローする 3 人のフォロワー , 翻訳者 笹井 崇司 フォローする 0 人のフォロワー 投稿日 2012年4月22日. 推定読書時間: 3 分 |

原文(投稿日:2012/04/16)へのリンク


Microsoftは4月11日、CSA (Cloud Security Alliance)STAR (Security Trust and Assurance Registry)にOffice 365、Windows Azure、Dynamicsの3つのサービスのセキュリティアセスメントを登録した。STARは以下を目的としている。

フリーで誰でもアクセス可能なレジストリであり、さまざまなクラウドコンピューティング提供者が提出したセキュリティコントロールに関する文書を登録します。これにより、ユーザが現在使っている、もしくは契約を検討しているクラウドプロバイダのセキュリティ情報へのアクセスを支援します。

Microsoftはセキュリティアセスメントを登録した最初の大規模なクラウドサービスプロバイダとなった。これにはCAIQ (The Consensus Assessments Initiative Questionnaire)にある140項目以上の質問に回答することも含まれる。プロバイダにとって、セキュリティコントロールを公開することで脆弱性を突いた攻撃が増えるのではという懸念もあるが、CSAは次のように保証する。

CAIQはプロバイダがセンシティブな情報を詳細に公開しなくてもセキュリティプラクティスを文書化できるようになっています。たとえば、プロバイダはアプリケーション層の侵入テストを定期的に実施しているか否かを記載することになりますが、Webスキャンツールの詳細結果を公開することはありません。

顧客にとって懸念があるとすれば、こうしたアセスメントが第三者機関による認証ではなく、プロバイダ自身によってメンテナンスされることをCSAが期待していることだ。第三者機関による認証について、CSAは次のような見解をもっている。

私たちは、セキュリティプラクティスの透明性とクラウドソーシング界によるプロバイダの監視が、この業界が現在活用できる、この業界におけるセキュリティのベースラインを改善するのに有望なものだと考えています。私たちはマーケットを利用したセキュリティ保証に対するアジャイルなアプローチが厳格な認証を補う重要なものだと考えています。

クラウドセキュリティの懸念は依然として導入時の一番の阻害要因となっている。CSAはSTARもその一部を構成しているGRC (Governance, Risk Management and Compliance)ツールキットによる評価プロセスに透明性と指針を提供することで、そうした懸念を軽減しようとしている。CSAはまた、技術的な領域を超えた、GRCやその他の取り組みから学び確立されたベストプラクティスや教訓をカバーしたセキュリティ指針もメンテナンスしている。そのひとつに、次のような契約上、法律上の懸念がある。今年初めのComputer Weeklyにある言葉を引用する。

Lawrence Grahamのアウトソーシング弁護士であるPeter Brudenall氏は、2012年はセキュリティ問題によりクラウドに波乱が起こる年になるかもしれないと考えています。結局は、学ぶことなのです。彼はこう言います。「私は少なくとも1つの大きなデータ侵害がクラウドに影響を及ぼすと予想しています。そして企業にクラウドの利用(少なくとも従来のアウトソーシングプラットフォームと比べて欠けている契約保護)をやめさせたり再考させるでしょう。」

Microsoftがサービスアセスメント登録の先陣を切ることで、こうした動きが業界内に連鎖的に広がって、最終的に効果的で客観的なセキュリティ評価へとつながるのだろうか。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT