Daisuke Kawada, profile picture
Uploaded byDaisuke Kawada
3,651 views

事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 final

OCDET基盤統合WGでatoll projectが担当したクラウドリファレンスアーキテクチャデザインの成果物についてのチュートリアルです。

Embed presentation

Downloaded 97 times
OCDET/atoll project Tutorial Publication 2013/04/06 事業継続性と運用弾力性に配慮した クラウド リファレンス アーキテクチャ チュートリアル v1.0
事業継続性と運用弾力性に配慮したクラウド リファレンス アーキテクチャ チュートリアル v1.0 2013/04/06 OCDET/atoll project 著者 川田大輔 注意 この文書中で特定される商業的組織、装置、資料は、実験的な手順または概念を適切に説明するためのものです。した がって、OCDET/atoll project による推薦または保証を意味するものではなく、これら組織、資料、または装置が、その目 的に関して得られる最善のものであると意味しているわけでもありません。
1. はじめに 1.1 目的と範囲 各種オープンソースベースのクラウド基盤技術の評価と相互接続による連携、運用ノウハウ蓄積と周知を図る にあたって、連携、運用ノウハウの利用が適切な情報セキュリティを含むガバナンス体制のもとに行えるよう、 事業継続性と運用弾力性の確保を主眼に置いたクラウド定義とリファレンスアーキテクチャを提供することを目 的として公開した事業継続性と運用弾力性を考慮したクラウド リファレンス アーキテクチャ v1.0 についての 解説を提供します。 1.2 対象読者 本文書は、事業継続性と運用弾力性を考慮したクラウド リファレンス アーキテクチャ v1.0 についての理解を 深めたい方を読者として想定しています。 1.3 作成組織 1.2.1 OCDET オープンクラウド実証実験タスクフォースは、オープンソース実装の評価は個別の実装単位での検証 に留まり、各基盤間の連動性を実証する機会が乏しいという問題があり連携実験の実施が課題となっ ている今、オープンソースベースの各クラウド基盤技術の実証実験を通じて相互接続による連携、運 用ノウハウを周知し、クラウド基盤の一般化と利活用の促進を図る事を目的としてします。また、構築 運用ベストプラクティス等を業界全体で共有し、クラウド基盤の整備を行うと同時に質の高いクラウドサ ービス構築を支援し、IT 業界の活性化に貢献します。詳細については http://www.ocdet.org 参照。 1.2.2 atoll project は、クラウドガバナンスという概念がスコープしている領域の全体像を明らかにすることでクラウドに関 連する技術やサービスの提供者と利用者それぞれが自らの指針を決定する一助となることを目標とし ます。atoll project は OCDET 参加団体として基盤統合ワーキンググループにおいて本リファレンスアー キテクチャ策定を担当しました。詳細については http://atoll.jp 参照。
2. クラウドサービスに関連するリスクと対策 あらゆる選択には常にリスクが伴っていますが日常生活においてリスクをはっきりと意識する機会はまれです。 これは通常の日常生活において受け入れられないリスクから解放され、「安全」が確保されているためです。ま た、日常を離れ慣れない土地へと旅行している際などは旅の高揚感もありますが未知の環境に身を置いてい るため、日常生活よりも「安全」に敏感になるのではないでしょうか。クラウドサービスへの取り組みが初めての 方にとって、クラウドサービスは未知の安全が確保されているか不確かな、故にリスクが溢れているサービス であると感じられるかもしれません。本文書ではクラウド リファレンス アーキテクチャ v1.0 の解説を通して、ク ラウドサービスに関連するリスクとその対策を取り扱い、読者がクラウドサービスに適切に対処するためのガイ ドを提供することで、クラウドサービスの安全確保の方法確立の一助としたいと願っています。 2.1 リスク、危害、安全の定義 はじめに、リスクとは何かを整理しておきましょう。「ISO/IEC Guide51:1999(JIS Z 8051:2004)」はリスクを リスク(Risk):危害の発生確率およびその危害の程度の組み合わせ と定義し続いて、 危害(Harm):人の受ける身体的傷害もしくは健康傷害、または財産もしくは環境の受ける害 であるとしています。このリスクと危害の定義を利用して、 安全(Safety):受け入れ不可能なリスクから解放されていること と定義しています。この定義は裏返して読むと「完全な安全は存在しない」ことを示しています。さて、それでは 受け入れられないリスクとは何でしょうか?リスクとは危害の発生確率と危害の程度の組み合わせとして表せ、 自然災害や株式市場の崩壊など複雑適応系として振る舞うシステムでは危害の程度と発生確率の組み合わ せは冪乗則に従うことが知られています。 受け入れ可能なリスクの範囲 小 危害の程度 大 受け入れられないリスクの範囲 この 安 領域 全と の解 のリ は 放 の スク こと から リスク 小 危害の発生確率 大 リスクモデル図 あまりにも発生率が稀で、その代り危害の程度が極端に大きなリスクに対して対策を施すと、事業期間内にリ スクが顕在化せずにリスク対策費用が掛け倒れになってしまいます。たとえば、巨大隕石の衝突による事業継 続性の喪失などの極端なリスクを考慮に入れて事業計画を策定している方はあまり多くないはずです。 クラウドサービスにおいても読者各々の事情に応じて受け入れられないリスクの範囲を確定し、自身の要件に 適した利活用を計画しなければなりません。
2.2 リスク評価 2.2.1 脅威と脆弱性、危害の定義 受け入れられないリスクの範囲を確定するためには、リスクが顕在化する構造を理解する必要があり ます。リスクが顕在化する原因は脅威であり、言い換えると、脅威によって脆弱性が顕在化することに よって危害が現実のものとなる構造となっています。 脅威 脆弱性 危害 脅威・脆弱性・危害関連図 脅威とは脆弱性を顕在化させる働きで、脆弱性とはセキュリティ機能の弱点、危害とは脆弱性によって 侵害された結果であって実装の面から見ると障害のことです。この分野の標準としては情報セキュリテ ィ評価基準 CC/CRM または CC/CRM を国際規格化した ISO/IEC15408 を参照するとよいでしょう。 脆弱性はセキュリティ対象を構成するあらゆる要素に潜在しますがその構造自体はシンプルです。セ キュリティ対象が三つのノードと二つのリンクを持った構造の場合、ノード、リンクのそれぞれが固有の 脆弱性を持っています。また、リンクされた構造全体または構造の一部は他の要素が持つ固有の脆弱 性の影響を受けます。 ノード(モジュール)の脆弱性 リンク(コール)の脆弱性 リンク リンク ノード1 ノード2 ノード3 1 2 脆弱性 脆弱性 脆弱性 脆弱性 脆弱性 システムの脆弱性 脆弱性分類図 2.2.2 脆弱性の分類 構造に含まれる機能と接続それぞれに脆弱性があります。現在知られている脆弱性は CWE によって 体系化されています。また CWE のうち、代表的な脆弱性については IPA によって共通脆弱性タイプ一 覧として日本語化されています。CWE が開発した Common Weakness Scoring System(共通脆弱性ス コアリングシステム)を利用して算出された CWE/SANS Top 25 Most Dangerous Software Errors (CWE/SANS 最も危険なソフトウェアエラー トップ 25)を利用すると脆弱性の重要性判定が容易にな ります。 2.2.3 脅威の分類 脆弱性は脅威によって顕在化し危害をもたらしますので、脆弱性に続いて、脅威についても分類が必 要です。脅威は WASC によって分類・体系化(タクソノミ化)されています。同じく WASC が提供している Web Hacking Incident Database(Web ハッキング インシデント データベース)を参照すれば発生頻度 の高い攻撃を確認することができます。
2.2.4 リスク影響分類 受け入れられないリスクの範囲を確定するために、脆弱性分類を利用して、要件である事業継続性に 対する影響の程度を分類します。既知のリスクと未知のリスク、対策コストの大小、弾力性・俊敏性(レ ジリエンス)の大小の 3 つの軸を利用して八象限に分類します。 既知・未知 8 5 ト ス コ 事業継続性 4 1 弾力性:高 7 6 未知 コスト低 コスト高 3 2 既知 弾力性:低 クラウドリスク分類図 第一象限 高い俊敏性・弾力性を持ち、対策が高コストで既知のリスクの領域です。この領域には DoS 攻 撃、EDoS 攻撃などの脅威や突発的な負荷集中、ゼロデイ攻撃などの脆弱性問題が含まれま す。 第二象限 低い俊敏性・弾力性を持ち、対策が高コストで既知のリスクの領域です。この領域にはベンダー ロックインや TBTF(Too Big To Fail:大きすぎてつぶせない)問題などの慢性的な問題が含まれ ます。 第三象限 低い俊敏性・弾力性を持ち、対策が低コストで既知のリスクの領域です。この領域にはウィルス 対策、スパム対策、ID/Pw によるアクセス管理などのクラシックな問題が含まれます。 第四象限 高い俊敏性・弾力性を持ち、対策が低コストで既知のリスクの領域です。この領域には内部不 正を含む人的ミス、機器故障よるシステム停止が含まれます。システム停止リスクが第四象限 に含まれることに違和感が感じられるかもしれませんがオンプレミスの場合と異なりクラウドにお いては機器故障によるシステム停止は低コストリスクに分類できます。 第五象限 高い俊敏性・弾力性を持ち、対策が高コストで未知のリスクの領域です。第五から第八象限に ついては未知であるゆえに具体的な例を挙げることはできませんが、突発性とコストが高いリス クと認識してください。ただし、冪乗則に従うならば発生確率の低いリスクでもあります。 第六象限 低い俊敏性・弾力性を持ち、対策が低コストで未知のリスクの領域です。第二象限に類した構造 で現在知られていないリスクとなります。 第七象限 低い俊敏性・弾力性を持ち、対策が低コストで未知のリスクの領域です。第三象限に類した構造 で現在知られていないリスクとなります。クラウド固有の利用方法が一般化するにしたがって顕 在化すると予想できます。 第八象限
高い俊敏性・弾力性を持ち、対策が低コストで未知のリスクの領域です。後述するクラウドエコ システムが一般化するにしたがって顕在化すると予想できます。 これら八象限にリスクを割り付けして受け入れられないリスクを確定する必要があります。 2.3 クラウド定義 受け入れられないリスクを確定したらクラウドサービスがリスクをどのように取り扱っているかクラウドサービス のアーキテクチャやガバナンス体制を参照して求めるリスク対策がなされているかを確認します。その前に、ま ず、クラウドサービスとはどのようなものなのか定義をしておく必要があります。経済産業省クラウドサービス利 用のための情報セキュリティマネジメントガイドラインでは、クラウドコンピューティングを 共有化されたコンピュータリソース(サーバ,ストレージ,アプリケーション等)について,利用者の要求に応じて 適宜・適切に配分し,ネットワークを通じて提供することを可能とする情報処理形態。 と定義しています。ほかにも世界で広く参照されているクラウド定義には NIST や ENISA による定義がありま す。 そもそも、なぜ、コンピュータリソースを共有化し利用者の要求に応じて適宜・適切にネットワークを通じて配 分・提供するサービスが求められたのでしょうか。それはネットワーク外部性について理解する必要がありま す。 2.3.1 クラウドの本質的特徴 電話などの情報通信サービスの場合を考えてみましょう。ネットワークにつながっていない電話機が一 台だけあっても電話機としての役には立ちません。これを効用がゼロの状態といいます。けれどもネッ トワークにつながった電話機の台数が増えるごとに二台の電話機が接続された状態の効用を出発点 に収穫が逓増していきます。このようにそのサービスの利用者数の増加が利用者一人あたりの効用を 増大させる場合をネットワーク外部性が働く、といいます。 ネットワーク外部性効用曲線図 クラウドサービス利用のための情報セキュリティマネジメントガイドライン定義がいう、コンピュータリソ ースの共有化によって、コンピューティングという行為それ自体にネットワーク外部性が働き、利用者 が増えるにしたがって利用者一人あたりの効用が増大する効果が期待できるといえます。 さて、ネットワーク外部性が働くためには、電話の場合と同じようにネットワークにつながったコンピュー タリソースの相互運用性と可搬性確保が確保されている必要があります。ISO/IEC 25010 は、相互運 用性とは外部測定法に基づくとデータ形式に基づくデータ交換性であり、内部測定法に基づくとインタ ーフェース一貫性であるとしています。クラウドサービスにおいては異なる運営主体が提供しているク ラウドサービスが相互に一貫したインターフェースを利用してデータ交換性を確保している状態と言え ます。次に、同じく ISO/IEC 25010 は、可搬性について、異なる環境への移しやすさと定義し、移しやす さを表す順応性や同等物との置換性などの副特性を持つとしています。
O 1' B社 B社 O1 O1' A社 C社 A社 C社 F社 D社 F社 D社 O1' O1' E社 E社 O 1' 相互運用性モデル 相互運用環境下での 可搬性 相互運用性・可搬性モデル図 つまり、相互運用性を確保することでクラウドサービス間のデータ交換性を確保し、さらに可搬性を確 保することでクラウドサービス相互の置き換えを可能にすることで高いネットワーク外部性が働く状態 を実現し、効用を高めることが可能になります。 では、さまざまな運営主体が提供するクラウドサービスで相互運用性と可搬性を確保するためにはど うすればよいでしょうか。そのためには相互運用性と可搬性の確保を求められる事業者が合意または 強制によって同一のデータ形式とインターフェース提供を行う必要があります。電気通信や電力などの 場合は法令によって形式が厳しく定められています。発達途上にあるクラウドサービスについては標 準化団体による標準化活動が中心となって進められています。 より高いネットワーク外部性を働かせるために国内にとどまらず広く世界で標準化を進め相互運用性 と可搬性を高いレベルで確保することが重要です。 相互運用性と可搬性確保の初めはインターフェース標準の確立ですから、広く利用されているインター フェース標準である OSI 参照モデルにクラウドサービスの階層構造を引き当ててみましょう。第一階層、 第三階層、第五階層で OSI 参照モデルとは異なるレイヤー界面構成となっています。インターフェース の問題として考えると、NISTSP800-145 が IaaS を含む全提供形態に要求しているオンデマンドセルフ サービス機能を実装する場合、IssS は、オンデマンドセルフサービスを実現するダッシュボードや API をアプリケーョン層にあたる SaaS として装備している必要があることになり、ダッシュボードや API を動 作させるアプリケーションプラットフォームをサービス層にあたる PaaS として装備している必要があるこ とになります。 OSI参照モデル TCP/IP階層モデル クラウド階層モデル 第7階層 アプリケーション層 サービス層(SaaS) 第6階層 プレゼンテーション層 アプリケーション層 サービス層(PaaS) サービス層(IaaS) 第5階層 セッション層 第4階層 トランスポート層 トランスポート層 資源抽象化・管理層 第3階層 ネットワーク層 インターネット層 第2階層 データリンク層 ハードウェア層 ネットワークインターフェース層 第1階層 物理層 設備層 クラウド階層モデル図 次にクラウドに関わるアクター類型について整理しておきましょう。文書内で直接言及はしていません が、クラウド リファレンス アーキテクチャ v1.0 は、NIST SP500-292 の定義したアクターモデルを支持 しています。NIST SP500-292 定義のアクター構造としてクラウドサービスの提供者と利用者を表すクラ
ウドプロバイダとクラウドコンシューマの定義は当然として、透明性を担保するクラウドオーディタ(監査 者)の設定は数理組織論の立場から妥当性が支持されますし、さまざまな中間リスクの引き受け手と しても機能する垂直的取引関係の担い手であるクラウドブローカ(仲介者)の設定も合理的です。これ らアクター間の通信を担うクラウドキャリア(伝送者)については ITU 条約に基づく国際的な通信秩序が インターネットを含む通信基盤動作の前提となっている点から粒度設定として支持できます。 クラウドコンシューマ クラウドオーディタ (利用) (監査) クラウドブローカ クラウドプロバイダ (仲介) (提供) クラウドキャリア (伝送) クラウドアクター図 ここまでの検討を踏まえ、具体的にセキュリティについて検討するために必要なクラウド定義は、 共有化されたコンピュータリソース(サーバ,ストレージ,アプリケーション等)について,利用者 の要求に応じて適宜・適切に配分し,ネットワークを通じて提供することを可能とし相互運用性 と可搬性が担保されている情報処理形態。 とすることができました。 2.3.2 クラウドエコシステム 相互運用性と可搬性を考慮し、クラウドコンシューマ(利用者)とクラウドプロバイダ(提供者)のほかに クラウドオーディタ(監査者)とクラウドブローカ(仲介者)をアクターとして備えたクラウドサービスは、単 一事業者の提供するサービスではなく、さまざまな事業者が相互に接続した James F. Moore のいう(ビ ジネス)エコシステムと見ることができるようになります。 現在のクラウドエコシステム 今後のクラウドエコシステム B社 B社 A社 C社 A社 C社 相互運用性・可搬性の担保 F社 D社 F社 D社 E社 E社 固有APIを利用した部分的な相互運用性の実現 標準順守による高度な相互運用性・可搬性の実現 エコシステム成長モデル図 2.4 リファレンスモデル定義 受け入れられないリスクとクラウドサービスのアーキテクチャやガバナンス体制を突合せするために、先ほど拡 張した相互運用性と可搬性を考慮したクラウド定義に対応したクラウドアーキテクチャを用意します。
OSI 参照モデルをもとにインターフェース問題として考えた場合、2.3.1 でも言及しましたが、TCI Reference Architecture v1.1 や NIST SP500-292 が想定しているような IaaS、PaaS、SaaS の入れ子構造は否定されます。 また、TCP/IP 階層モデルに当てはめて考えた場合は IaaS、PaaS、SaaS といった層構造はサービス層として統 合され、個別階層の区別は消失します。クラウド リファレンス アーキテクチャ v1.0 では抽象化粒度の違いを 意識し IDC などの市場推計分類との整合性を考慮して OSI 参照モデル準拠の階層モデルを採用しました。OSI 参照モデルに基づくクラウド階層モデルでは、IaaS が装備しているセルフマネジメントダッシュボードなどは SaaS として識別されます。定義が要求する適宜・適切の程度が、たとえば高い俊敏性をもったリスクに即応性 を以て対応したいとされる場合などは、即時、セルフサービスが必須要件となり、セルフマネジメントダッシュボ ードや API を装備したクラウドサービスを選択する必要があります。 クラウド リファレンス アーキテクチャ v1.0 では、NIST SP800-145 がクラウドの本質的特徴として定義した On-demand Self Service、Resource Pooling、Rapid elasticity、Measured Service の各性質の実現度について 定量的な要求は定義しませんでした。各性質の適切な実現度はネットワーク外部性が働く市場環境のもとで、 各アクターが相互作用することで決まる均衡点として表されると考えています。 アプリケーション SaaS アプリケーションプラットフォーム PaaS 論理通信機器 論理サーバ 論理ストレージ IaaS サービス 資源抽象化・管理 物理通信機器 物理サーバ 物理ストレージ ハードウェア ラック・ケーブルダクト サーバ室・データ保管室・管路 通信設備 電気設備 空調設備 建物 データセンター 設備 物理資源 サービスオーケストレーション クラウドリファレンスアーキテクチャ図 2.4.1 設備層 後述するハードウェア層と合せて物理資源層を構成します。データセンターとは、ハードウェア層に含 まれる物理資源を収容する建物全体またはその一部で、サーバ室・データ保管室・管路と通信設備、 電気設備、空調設備を備えたものをいいます。データセンターに加えてハードウェア層に含まれる物理 資源を収容するラック・ケーブルダクト等を総称して設備といいます。詳細について、手順の観点から は TIA-942 記載の定義や構造を参考にするとよいでしょう。また、要件の観点からは JDCC データセン ターファシリティスタンダードや UpTimeInstitute TIER が相互運用性と可搬性の検証手段として利用で きます。 2.4.2 ハードウェア層 前述のハードウェア層と合せて物理資源層を構成します。計算資源(物理サーバ)、記憶資源(物理ス トレージ)通信資源(物理通信機器)によって構成されます。設備層との界面はラックのマウントポジシ ョンと電源ケーブルのプラグ、通信ケーブルの端子となります。後述する資源抽象化・管理層によって 抽象化されますので構築主体からみると構成選択の自由度が高い層ですがハードウェア層の構成が 上位層の挙動特性に大きな影響を与えるため要件に応じた構成選択を慎重に行う必要があります。 2.4.3 資源抽象化・管理層 物理資源層を抽象化して後述するサービス層に提供する層となります。物理資源層の計算資源(サー バ)、記憶資源(ストレージ)、通信資源(通信機器)を管理し、仮想マシンなどの形態に抽象化して IaaS 層での利用を可能にします。サービス層に対する抽象化された物理資源の割り当て管理を含む構成
管理と変更管理の機能も提供します。仮想化等によって資源抽象化と管理を行うプログラムを資源抽 象化・管理層としハードウェア層、サービス層との界面と認識されます。 2.4.4 サービス層 クラウドコンシューマが直接触れる IaaS、PaaS、SaaS で構成されます。抽象化粒度によって階層は識 別され、物理資源が提供する計算資源(サーバ)、記憶資源(ストレージ)、通信資源(通信機器)を物 理資源層と同一の粒度のまま、利用者の要求に応じて適宜・適切に配分する IaaS 層、IaaS 層を隠ぺ いしてアプリケーションプラットフォームとして提供する PaaS 層、PaaS 層を隠ぺいしてアプリケーション を提供する SaaS 層に分類されます。 2.5 リファレンスモデルから導出されるリスクドメイン構成 COBIT 4.1、HIPAA / HITECH Act、ISO/IEC 27001-2005、NIST SP800-53 R3、FedRAMP Security Controls、 PCI DSS v2.0、BITS Shared Assessments SIG v6.0、BITS Shared Assessments AUP v5.0、GAPP、Jericho Forum、NERC CIP、AICPA TS Map、AICPA Trust Service Criteria(掲載順は原資料まま)記載の各リスクドメイ ンモデルの互換性を一覧化している CSA Cloud Control Matrix のリスクドメインモデルを元に、経済産業省クラ ウドサービス利用のための情報セキュリティマネジメントガイドラインが指摘する各種リスクを分類すると 要件は 事業継続性管理・運用弾力性 サプライチェーン管理・透明性と説明責任 相互運用性と可搬性 法令と標準順守 にまとめられ、手順として 脅威と脆弱性管理 人的資源セキュリティ アイデンティティとアクセス管理 データセキュリティと情報ライフサイクル管理 暗号化と暗号鍵管理 セキュリティインシデント管理・電子証跡とクラウドフォレンジック 変更制御と構成管理 アプリケーションとインターフェースセキュリティ インフラストラクチャと仮想化セキュリティ データセンターセキュリティ にまとめることができます。これらの要素をコントロールエリアと呼びます。さらに個々のコントロールエリアは 複数のコントロールポイントで構成されています。 この要件と手順を COBIT に倣い、ガバナンスキューブに割り付けると以下のようになります。クラウド資源を手 順として実装したコントロールエリアで制御することによって要件となるコントロールエリアの目標が達成されま す。 事業 継続 性管 サプ 理・ 運用 ・透 ライ 弾力 明性 チ ェ 相互 と説 ーン 性 運用 明責 管理 要件 性と 任 可搬 法令 性 ・標 準順 守 脅威と脆弱性管理 人的資源セキュリティ アイデンティティ・アクセス管理 ビス サー データセキュリティ 理 クラウドフォレンジック 資源 管 手順 象 化・ 資 源抽 ェア ドウ ハー 設備 クラウドガバナンスキューブ図
さらに手順に含まれるコントロールエリアをリファレンスアーキテクチャ上に実装として組み込むと割り当て階層 は以下の通りとなります。 キ ャリア クラウ ドシ ス テ ム オ ン プ レミス シ ス テ ム デ バ イス ア プ リケ ー シ ョン ア プ リケ ー シ ョン ア プ リケ ー シ ョン ア プ リケ ー シ ョン ア プ リケ ー シ ョン 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレ ー ジ ジ 論 理 論 理 論 理 論 理 サ ー バ論 理 サ ー バ 資 源 ネ ジ メン ト サ ー バ マ ス ト レ論 理 ス ト レ ー ジ ー 源 ー 論 ス トレ 資 ア プ リケ ー シ ョン セ ル フ ア プ リケ ー シ ョン ジ ジ ダ ッシ ュボ ー ド 論 理 通 ト フ ォ ー論 理 通 プ ラッ ム 論 理 通 信 機 器 信 機 器 信 機 器 論 理 論 理 論 理 論 理 サ ー バ サ ー バ API ス トレ ー ス トレー 論 理 通 論 理 通 論 理 通 ジ ジ 信 機 器 信 機 器 信 機 器 論 理 論 理 論 理 論 理 論 理 ネ ットワ ー ク資 源 ス ト レ論 理 ス ト レ ー レ ー 源 ー ス トジ 資 サ ー バ論 理 サ ー バ 資 源 サ ー バ ジ 論 ジ ア イ デ ン理 通 テ ィ ・ ア ク セ ス 管 理 論 テ ィ 論 理 通 論 理 通 信 機 器 信 機 器 信 機 器 デ ー タセ キ ュリテ ィ 暗 号 化 ・暗 号 情 報 ライフサ イ 論 理 論 理 論 理 論 理 鍵 管 理 クル 管 理 ス トレ ー ス トレ ー サ ー バ サ ー バ ジ ジ セ キ ュリテ ィイン シ デ ン ト管 理 クラウ ドフォレ ン ジ ック 論 理 論 理 論 理 論 理 サ ー バ論 理 サ ー バ 資 源 サ ー バ ス ト レ論 理 ス ト レ ー レ ー 源 ー 論 ス トジ 資 ジ ジ 電 子 証 跡 変 更 制 御 構 成 管 理 電 子 証 跡 変 更 制 御 構 成 管 理 論 理 資 源 プ ー ル 上 位 シ ス テ ム 同 等 シ ス テ ム 下 位 シ ス テ ム 移 動 体 イン ター 専 用 線 等 通 信 網 ネ ット 通 信 資 源 通 信 資 源 通 信 資 源 抽 象 化 ・ 抽 象 化 ・ 抽 象 化 ・ 管 理 理 物 管 理 理 物 管 理 理 物 通 信 通 信 通 信 物 理 サ ー バ 機 器 機 器 機 器 物 理 ス トレ ー ジ サ ー バ 資 源 抽 通 信 資 源 通 信 資 源 ス 物レ ー ジ 資 源 ト 理 ス トレ 象 化 ・ 管サ ー バ 物 理 理 抽 象 化 ・ 管 理 理 物 抽 象 化 ・ 管 理 理 物 抽 象 化 ・管 理 ー ジ 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ サ ー バ 資 源 抽 通 信 資 源 通 信 資 源 ス 物レ ー ジ 資 源 ト 理 ス トレ 象 化 ・ 管サ ー バ 物 理 理 抽 象 化 ・ 管 理 理 物 抽 象 化 ・ 管 理 理 物 抽 象 化 ・管 理 ー ジ 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ サ ー バ 資 源 抽 通 信 資 源 通 信 資 源 ス 物レ ー ジ 資 源 ト 理 ス トレ 象 化 ・ 管サ ー バ 物 理 理 抽 象 化 ・ 物 管 理 理 抽 象 化 ・ 物 管 理 理 抽 象 化 ・管 理 ー ジ 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 電 子 証 跡 物 理 ス トレ ー ジ 物 理 サ ー バ 変 更 制 御 電 子 証 跡 管 理 構 成 物 理 ス トレ ー ジ 変 更 制 御 構 成 管 理 物 理 資 源 プ ー ル 公 衆 ダ ー ク 専 用 線 等 回 線 ファイバ 通 信 設 備 ラック 通 信 設 備 ラック 電 気 設 備 空 調 設 備 サ ー バ 室 電 気 設 備 通 信 設 備 設 備 空 調 デ ー タ保 管 室 電 気 設 備 空 調 設 備 ラック ケ ー ブ ル ダ クト ラック サ ー バ 室 管 路 デ ー タ保 管 室 建 物 ラック ラック サ ー バ 室 デ ー タ保 管 室 設 備 クラウドレイヤーモデル図(部分) レイヤーモデルに割り当てた手順と要件の関係をリファレンスモデルで表現すると以下の通りとなります。 サプライチェーン管理・透明性と説明責任 相互運用性と可搬性 法令・標準順守 事業継続性管理・運用弾力性 アプリ・インターフェース モバイルセキュリティ アプリケーション 情報ライフサイクル管理 セキュリティ SaaS アプリケーションプラットフォーム 構成管理 PaaS セキュリティインシデント管理 データセキュリティ 論理通信機器 論理サーバ 論理ストレージ インフラストラクチャと仮想化セキュリティ 電子証跡 IaaS アイデンティティ・アクセス管理 サービス クラウドフォレンジック 人的資源セキュリティ 脅威と脆弱性管理 暗号化・暗号鍵管理 資源抽象化・管理 変更制御 物理通信機器 物理サーバ 物理ストレージ ハードウェア ラック・ケーブルダクト サーバ室・データ保管室・管路 データセンター セキュリティ 通信設備 電気設備 空調設備 建物 データセンター 設備 物理資源 ガバナンス・リスク管理 サービスオーケストレーション クラウドガバナンスマップ図
データセンターセキュリティやインフラストラクチャと仮想化セキュリティ、アプリケーション・インターフェースセキ ュリティなどの構成要素個々のコントロールエリアがあり、変更制御、構成管理の結果を電子証跡によって記 録しセキュリティインシデント管理を実現し、セキュリティインシデント管理と構成要素個々のコントロールと組み 合わせてクラウドフォレンジックを実現します。暗号化・暗号鍵管理と情報ライフサイクル管理を利用してデータ セキュリティを実現し、これら機能群にアイデンティティ・アクセス管理と人的資源セキュリティを加えて脅威と脆 弱性管理を総合的に行うことでガバナンス・リスク管理を実現する構成となっています。 2.6 リスクドメイン解説 2.6.1 要件 2.6.1.1 事業継続性管理・運用弾力性 事業継続性管理とは、価値創造活動を維持するために、事業中断リスクを識別して危害の発生 を抑止または回避する能力をいい、運用弾力性とは、抑止または回避できない危害への対応ま たは復旧能力をいいます。利用者の要求に応じて適宜・適切に配分し,ネットワークを通じて提 供されるクラウドサービスにおける事業継続性管理と運用弾力性の確保には運用中心の視点 が欠かせません。クラウドサービスにおけるライフサイクルは以下の五つの要素で構成されて います。 開発サイクル オーダーサイクル 運用サイクル 監査サイクル インシデントサイクル 各サイクルはそれぞれ固有の PDCA サイクルを持ち、固有 PDCA サイクルの 2 点で中心となる 運用サイクルと接続しています。 C D 開発 オーダー D A P C サイクル サイクル P P A P Plan D Do 運用 A D サイクル C Check A Action A C P インシデント 監査 C P A D サイクル サイクル D C クラウドライフサイクル図 高度な事業継続性管理と運用弾力性を求める場合データセキュリティと情報ライフサイクル管 理コントロール群とセキュリティインシデント管理・電子証跡とクラウドフォレンジックコントロール 群がクラウドサービス全体で精密に実施されている必要があり、その制御のためにセルフマネ ジメントダッシュボードや API の利用が必要になるでしょう。 2.6.1.2 相互運用性と可搬性 相互運用性とは、特定のデータ形式に基づくデータ交換性であってインターフェース一貫性をい い、可搬性とは異なる環境への移しやすさをいいます。利用者がディザスタリカバリを含む高可 用性の確保やベンダーロックインリスクの排除を求める場合、または特定のクラウドプロバイダ でのサイジング上限によって事業成長が阻害されている場合、相互運用性と可搬性の確保が 重要になります。
特に高可用性の確保を図る場合は何らかの理由で利用できなくなった資源の代替資源確保と 復旧作業のための作業資源確保、復旧後の切り戻し作業を無停止で行うためのローリングアッ プデート能力も必要になるでしょう。 障害時の資源代替とリカバリ作業資源確保 広域資源代替が可能になると資源稼働率向上も狙える。(伝送遅延制約は残る) 代替資源が不足すると最悪の場合、輻輳崩壊が起こる 正常稼働資源 迂回資源要求 予備資源 迂回資源引当 障害被害 復旧作業資源 相互運用性・可搬性が確保されたクラウドエコシステムにおける運用弾力性モデル図 2.6.1.3 サプライチェーン管理・透明性と説明責任 資源、材料の調達に始まり、製品・サービスの出荷を経て輸送手段(陸上・海上を含む)を通じ てエンドユーザーにまで及ぶプロセスをサプライチェーンといい、透明性と説明責任とは、サプラ イチェーンに含まれる個々のプロセス活動結果についての合理的な報告義務と報告内容の検 証可能性の担保をいいます。モデルとしての相互運用性では事業者相互の接続がフルメッシュ となっていますが、実際に市場で提供されているサービスの相互運用性は提供主体個々の事 業戦略や制約条件によってランダムネットワーク構造となります。 木構造グラフ 単純グラフ 完全グラフ ランダムグラフ (n部グラフ) ネットワーク(グラフ)バリエーション図 ノードとリンクの関係で表現できる構造はグラフ理論を利用して表現します。インターネットはス ケールフリー性とスモールワールド性、クラスター性を備えたランダムネットワークであることが 知られています。このような構造を持つため、発側サービスから着側サービスまで複数のサービ スを中継しないと到達できない場合も想定されます。このように中継事業者を介在した接続を行 う場合、中継事業者すべてを含むサプライチェーンの信頼性が確保されないと中間者攻撃リス クが顕在化してしまいます。また、発サービスと着サービス間を受け入れ可能なリスクの範囲で 接続する経路が存在しない場合、クラウドブローカなどの業態を介した接続を行うことも想定で きます。これらサプライチェーン全体の管理と透明性確保を通して説明責任を果たすために標 準に準拠した相互運用性と可搬性を確保した監査制度とサプライチェーンに対して中立な第三 者としてのクラウドオーディタが必要になります。
コ ン コ O 1' シ ン ュ シ ー ュ マ ー B社 B社 ’ マ B社 オ ’ ー O 1' デ O1 ィタ ブ C社 ー A社 C社 A社 ロ A社 C社 ー カ ー F社 D社 F社 D社 F社 D社 O 1' O1' E社 E社 E社 コ ン コ シ ン ュ シ O 1' ー ュ マ ー プロバイダ相互運用 マ 相互運用環境下での 実環境はランダム 性・可搬性の不備を 可搬性 ネットワーク構造 補うアクターを挿入 A社 C社 D社 B社 D社 B社 F社 E社 C社 任意の到達先への経 ブローカーを介した 路・互換性確保は担 相互運用性・可搬性 保されていない の向上 サプライチェーンに含まれるすべての 事業者が同一の基準に基づいて監査 され監査結果が共有されることで透明 性が担保される アクター連携およびサプライチェーンの透明性確保のための監査連携モデル図 2.6.1.4 法令と標準遵守 公平性や誠実性など普遍的倫理観に基づいて、組織の活動が社会及び環境に及ぼす影響に 対して社会的責任を果たし、利害関係者へ配慮した対応を行い、各国の法令を尊重し順守し、 国際的行動規範と人権を尊重することをいいます。クラウド リファレンス アーキテクチャ v1.0 は、クラウドサービス個々の約款に規定される準拠法やデータセンター立地やデータ由来によっ て強制適用される各国法の問題に対して技術的に中立ですので、本文書ではクラウド リファレ ンス アーキテクチャ v1.0 に基づくクラウドサービス実装が遵守すべき標準について記述しま す。 標準には国際標準、地域標準、国内標準を含む公的標準と任意の団体による公開された標準 であるフォーラムスタンダード、任意の団体による非公開の標準であるコンソーシアムスタンダ ードと事実上の標準と訳されるデファクトスタンダードがあります。また、デファクトスタンダードを 除く各標準は総称してコンセンサススタンダードと呼ばれます。 下図では上位にフォーマル、下位にインフォーマルな標準を配置して各標準の位置づけを図示 しています。従来は 1865 年成立の万国電信連合を祖とする ITU 標準などのインターナショナル スタンダードなどのデジュールスタンダードは国の代表などが集まって課題発見と将来予見を行 い標準化を進め市場を誘導するダウンストリーム活動が中心でしたが、昨今は PC やインターネ ットの関連規格の例など標準化活動メンバー個々の利益追求が原動力となり、デファクトスタン ダードとしての地位を市場での競争によって獲得した規格がインターナショナルスタンダードに 採用される例も増えています。このようなアップストリーム活動の結果インターナショナルスタン ダードに採用されたクラウド関連の規格の例として OASIS が策定し ISO/IEC 29362 として国際 標準化された WS-I や、Common Criteria が策定し ISO/IEC 15408 となった CC、TM Forum が策 定し ITU-T M.3190 となった SID などが挙げられます。
フォーマル標準 ダウンストリーム活動 インターナショナル・スタンダード (国際標準) リージョナル・スタンダード コンセンサス・スタンダード (地域標準) (合意に基づく標準) ドメスティック・スタンダード (国内標準) デジュール・スタンダード (公的標準) フォーラム・スタンダード (任意の団体による公開された標準) コンソーシアム・スタンダード (任意の団体による非公開標準) デファクト・スタンダード インフォーマル標準 アップストリーム活動 (事実上の標準) ダウンストリーム活動:課題発見と将来予見に基づく標準誘導 アップストリーム活動:標準化活動参加メンバー個々の利益追求 スタンダード分類モデル図 クラウドサービスはリファレンスアーキテクチャやレイヤーモデルで示したようにサービスを構成 する要素がさまざまな分野に及んでおり、ここに挙げたあらゆる標準が何らかの形で関与してい ます。ここでは以下に公開されている標準を例示しておきます。
団体 規格・組織 ポインタ 定義・原則 要件・手順関連定義 ISO/IEC ISO/IEC Guide51:1999 Safety aspects -- Guidelines for their http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detai inclusion in standards l.htm?csnumber=32893 ISO/IEC ISO/IEC 25000:2005 Software Engineering -- Software product http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detai Quality Requirements and Evaluation (SQuaRE) -- Guide to l.htm?csnumber=35683 SQuaRE ISO ISO 26000:2010 Guidance on social responsibility http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detai l.htm?csnumber=42546 クラウド定義 NIST NIST SP800-145 Definition of Cloud Computing http://csrc.nist.gov/publications/nistpubs/800-145/SP800- 145.pdf リファレンスアーキテクチャ NIST NIST SP500-292 Cloud Computing Reference Architecture http://www.nist.gov/customcf/get_pdf.cfm?pub_id=909505 CSA TCI Referene Architecture https://cloudsecurityalliance.org/wp- content/uploads/2011/10/TCI-Reference-Architecture-v1.1.pdf The Open Group The Open Group Architecture Framework (TOGAF) http://www.opengroup.org/togaf/ The Open Group Service-Oriented Cloud Computing Infrastructure (SOCCI) https://www2.opengroup.org/ogsys/jsp/publications/PublicationD Framework etails.jsp?publicationid=12510 ISO/IEC JTC 1/SC 38 Distributed Application Platforms and Services (DAPS) http://www.iso.org/iso/jtc1_sc38_home ITU ITU-T SG13: Future networks including cloud computing, mobile http://www.itu.int/en/ITU-T/studygroups/2013- and next-generation networks 2016/13/Pages/default.aspx 要件 ガバナンス COSO Committee of Sponsoring Organizations of the Treadway http://www.coso.org/ Commission (COSO) ISACA COBIT5 http://www.isaca.org/COBIT/Pages/default.aspx UK Cabinet Office e-Government Interoperability Framework http://www.fiorano.com/docs/solutions_e-GIF-guidelines.pdf BSI Governance Framework http://www.bsigroup.com/en-GB/about-bsi/governance/ 相互運用性・可搬性 OASIS Topology and Orchestration Specification for Cloud Applicationshttps://www.oasis- (TOSCA) open.org/committees/tc_home.php?wg_abbrev=tosca OASIS Public Administration Cloud Requirements (PACR) https://www.oasis- open.org/committees/tc_home.php?wg_abbrev=pacr IPA 情報システムに係る相互運用性フレームワーク http://www.ipa.go.jp/software/open/ossc/doc/inope_framework.p df TM Forum Information Framework (SID) http://www.tmforum.org/InformationFramework/1684/Home.html ITU ITU-T M.3190 Shared information and data model (SID) http://www.itu.int/ITU-T/recommendations/rec.aspx?id=9541 サブライチェーン管理 TM Forum Business Process Framework (eTOM) http://www.tmforum.org/BusinessProcessFramework/1647/hom e.html TM Forum Application Framework (TAM) http://www.tmforum.org/ApplicationFramework/2322/Home.html 透明性・説明責任 IFAC International Standard on Assurance Engagements (ISAE) No. http://www.ifac.org/sites/default/files/downloads/b014-2010- 3402 iaasb-handbook-isae-3402.pdf ISO/IEC ISO/IEC 20000 (ITSMS) 情報技術-サービスマネジメント- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detai (1,2,3,4,5) l.htm?csnumber=51986 手順 セキュリティ CSA Cloud Security Guideline v3.0 https://downloads.cloudsecurityalliance.org/initiatives/guidance/ csaguide.v3.0.pdf CSA CSA Cloud Controls Matrix v3.0 PEER REVIEW https://interact.cloudsecurityalliance.org/index.php/ccm/index PCI Data Security Standards (PCIDSS) https://www.pcisecuritystandards.org/security_standards/ ENISA Cloud Computing Security Risk Assessment http://www.enisa.europa.eu/activities/risk- management/files/deliverables/cloud-computing-risk- assessment METI クラウドサービス利用のための情報セキュリティマネジメントガイドラ http://www.meti.go.jp/press/2011/04/20110401001/201104010 イン 01-3.pdf ISO/IEC ISO/IEC 27000 (ISMS) 情報技術-セキュリティ技術-情報セキュ http://www.webstore.jsa.or.jp/webstore/ISO/FlowControl.jsp リティマネジメントシステム ISO/IEC ISO/IEC 27017 Information technology Security techniques http://www.iso27001security.com/html/27017.html Security in cloud computing (DRAFT) Common Criteria CC/CEM バージョン3.1 リリース4 http://www.ipa.go.jp/security/jisec/cc/index.html ISO/IEC ISO/IEC 15408 Information technology -- Security techniques - http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detai - Evaluation criteria for IT security -- (1,2,3) l.htm?csnumber=50341 CWE Common weakness Enumeration http://cwe.mitre.org/index.html 資源 サービス層 OWASP The Open Web Application Security Project https://www.owasp.org/index.php/Main_Page OASIS Identity in the Cloud https://www.oasis- open.org/committees/tc_home.php?wg_abbrev=id-cloud OASIS Symptoms Automation Framework (SAF) http://www.oasis- open.org/committees/tc_home.php?wg_abbrev=saf OASIS Cloud Authorization (CloudAuthZ) https://www.oasis- open.org/committees/tc_home.php?wg_abbrev=cloudauthz OGF/OCCI Open Cloud Computing Interface - RESTful HTTP Rendering http://www.ogf.org/documents/GFD.185.pdf OASIS OASIS Web Services Security https://www.oasis- open.org/committees/tc_home.php?wg_abbrev=wss ISO/IEC ISO/IEC 29361:2008 Web Services Interoperability - WS-I Basic http://www.iso.org/iso/catalogue_detail.htm?csnumber=45422 Profile Version 1.1 ISO/IEC ISO/IEC 29362:2008 Web Services Interoperability - WS-I http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_det Attachments Profile Version 1.0 ail.htm?csnumber=45423 ISO/IEC ISO/IEC 29363:2008 Web Services Interoperability - WS-I Simple http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_det SOAP Binding Profile Version 1.0 ail.htm?csnumber=45424 TM Forum Frameworx http://www.tmforum.org/TMForumFrameworx/1911/Home.html 資源抽象化・管理層 DMTF Open Virtualization Format (OVF) http://dmtf.org/standards/ovf DMTF Cloud Infrastructure Management Interface (CIMI) http://dmtf.org/sites/default/files/standards/documents/DSP20 27_1.0.1.pdf SNIA Cloud Data Management Interface (CDMI) http://www.snia.org/tech_activities/standards/curr_standards/cd mi OGF/OCCI・SNIA Cloud Storage for Cloud Computing http://ogf.org/Resources/documents/CloudStorageForCloudCom puting.pdf ONF Open Flow https://www.opennetworking.org/standards/intro-to-openflow OASIS Cloud Application Management for Platforms (CAMP) https://www.oasis- open.org/committees/tc_home.php?wg_abbrev=camp OGF/OCCI Open Cloud Computing Interface - Core http://ogf.org/documents/GFD.183.pdf OGF/OCCI Open Cloud Computing Interface - Infrastructure http://ogf.org/documents/GFD.184.pdf ハードウェア層 OCP Open Compute Project http://www.opencompute.org/ 設備層 TIA ANSI/TIA 942-2005 Telecommunications Infrastructure Standard http://global.ihs.com/tia_telecom_infrastructure.cfm?currency_cod for Data Centers e=USD&customer_id=21254A2A5C0A&oshid=21254A2A540A&sho pping_cart_id=21254A2A530A&rid=TIA&country_code=US&lang_co de=ENGL&input_doc_number=%20&input_doc_title=%20 UTI Uptime Institute Tier Certifications http://uptimeinstitute.com/TierCertification/ Open DataCenter Alliance Master Usage Model: Commercial framework REV 1.0 http://www.opendatacenteralliance.org/docs/ODCA_Commercial_ Framework_MasterUM_v1.0_Nov2012.pdf JDCC データセンターファシリティスタンダード http://www.jdcc.or.jp/news/article.php?nid=eccbc87e4b5ce2fe28 308fd9f2a7baf3&sid=81 参考 規格間調整組織 NIST Standards Acceleration to Jumpstart the Adoption of Cloud http://collaborate.nist.gov/twiki-cloud- Computing computing/bin/view/CloudComputing/SAJACC ITU Joint Coordination Activity on Cloud Computing (JCA-Cloud) http://www.itu.int/en/ITU-T/jca/Cloud/Pages/default.aspx ETSI Cloud Standards Coordination http://www.etsi.org/news-events/news/614-201212-cloudsp ユースケース・ワークフロー The Open Group Business Scenario Workshop Report http://www.opengroup.org/cloud/whitepapers/bsw/index.htm ARTS Cloud Computing for Retail http://www.nrf-arts.org/content/whitepapers クラウド関連標準一覧
2.6.2 手順 リファレンスアーキテクチャでの手順化されたコントロールエリアの挙動は下図のようになります。以下、 各コントロールエリアについて解説します。 情報ライフサイクル管理 構成管理 インフラストラクチャと仮想化セキュリティ セキュリティインシデント管理 データセンターセキュリティ データセキュリティ 電子証跡 データ アイデンティティ・アクセス管理 アプリ・インターフェース 暗号化・暗号鍵管理 変更制御 セキュリティ ユーザー プログラム 人的資源セキュリティ クラウドフォレンジック 脅威と脆弱性管理 サプライチェーン管理・透明性と説明責任 相互運用性と可搬性 法令・標準順守 事業継続性管理・運用弾力性 ガバナンス・リスク管理 クラウドガバナンスコントロールエリア挙動モデル図 2.6.2.1 アプリケーションとインターフェースセキュリティ 最低限、アプリケーション毎に OWASP または同等のセキュリティフレームワークに準拠したサー ビス層でのユーザー資格およびパスワードコントロールの自動化された実装をします。アイデン ティティとアクセス管理との連携を推奨します。 2.6.2.2 アイデンティティとアクセス管理 資源および手順として識別されるすべての要素に対して OWASP ESAPI を参照し、紛失、誤用、 不正アクセス、開示、改ざんおよび破壊を含む脅威から資産やデータを保護するために自動化 されたアクセス管理技術と物理的な保護手段を実装します。また、資産やデータ、アクセス権限 の組み合わせによって構成されるロールと利用者の本人性確認手法を適切に実装します。 2.6.2.3 暗号化と暗号鍵管理 資源および手順として識別されるすべての要素について、紛失、誤用、不正アクセス、開示、改 ざんおよび破壊を含む脅威からデータを保護するために暗号化技術と物理的な保護手段の実 装が必要です。また、データとアクセス権限の組み合わせによって構成されるロールと利用者の 本人性確認手法によって暗号鍵を適切に管理します。 2.6.2.4 データセキュリティと情報ライフサイクル管理 資源および手順として識別されるすべての要素について、規制、法令、契約やビジネス要件へ の適合性を確保するために、資産やデータにコントロール ID を付与する必要があります。コント ロール ID は標準データモデルに従った分類ラベル、変更履歴、構成情報、制約条件等の情報 を保持するための自動化された管理手段を備えます。
2.6.2.5 変更制御と構成管理 資源および手順として識別されるすべての要素について、資産やデータの初期構成はコントロ ール ID に付与された構成情報によって管理されます。資産やデータの変更は、事前に定められ た手続きに従ったテスト結果が適正な承認権限のもとに承認されるまでテスト対象となった資産 やデータの変更は、本番環境に適用することはできません。テスト結果が承認され変更された 資産やデータの状態は変更履歴としてコントロール ID に追加されます。変更制御、構成管理と もにポリシーベース管理することを推奨します。 2.6.2.6 セキュリティインシデント管理・電子証跡とクラウドフォレンジック 資源および手順として識別されるすべての要素について、データセキュリティと情報ライフサイク ル管理に格納された、変更制御と構成管理にかかる情報は電子証跡として管理します。電子証 跡を利用して時系列にコントロール ID の状態を比較することによって、紛失、誤用、不正アクセ ス、開示、改ざんおよび破壊といった顕在化した脅威(セキュリティインシデント)の検出と原因 究明などのクラウドフォレンジック手段を実装します。 2.6.2.7 インフラストラクチャと仮想化セキュリティ 変更制御と構成管理の対象となる資産のうち、サーバ、ストレージ、通信機器それぞれの資源 抽象化・管理機能によって構築される論理サーバ資源、論理ストレージ資源、論理ネットワーク 資源を利用者の要求に応じて適宜・適切に論理サーバ、論理ストレージ、論理通信機器、プラッ トフォーム、アプリケーションまたはこれらを組み合わせたサービスとして提供するオーケストレ ーションについて、事前に定められた制約条件に従って自動化された実行と管理の手段を実装 します。 2.6.2.8 データセンターセキュリティ 物理資源として識別されるすべての要素を紛失、誤用、不正アクセス、開示、改ざんおよび破壊 を含む脅威から保護するために、物理的セキュリティ境界(塀、壁、障壁、ガード、ゲート、電子 監視、物理的な認証メカニズム、レセプションデスク、セキュリティパトロール)を実装します。物 理的セキュリティ境界によって隔離された物理資源に対する物理的アクセスは適切な物理アク セス管理手段によって保護します。物理的セキュリティ境界は保護領域、検疫領域、公開領域 の三層以上を設定することを推奨します。 2.6.2.9 人的資源セキュリティ アイデンティティとアクセス管理またはデータセンターセキュリティで規定されるアクセス管理の 対象となる資産またはデータへあらゆるアクセス権限の付与にあたっては法令と標準順守およ び規制、倫理、契約制約に基づき雇用候補、雇用者、請負業者や第三者も含めて事前に適切 な水準の背景調査を行います。 2.6.2.10 脅威と脆弱性管理 アプリケーションとインターフェースセキュリティ、アイデンティティとアクセス管理、暗号化と暗号 鍵管理、データセキュリティと情報ライフサイクル管理、変更制御と構成管理、セキュリティイン シデント管理・電子証跡とクラウドフォレンジック、インフラストラクチャと仮想化セキュリティ、デ ータセンターセキュリティ、人的資源セキュリティの各コントロール領域について詳細なコントロ ールポリシー(情報セキュリティポリシー文書)を作成します。また、経営者は承認した情報セキ ュリティポリシー文書を従業員、請負業者、およびその他の関連する外部関係者に公開します。 情報セキュリティポリシーは役員、従業員、請負業者、およびその他の関連する外部関係者を 含むセキュリティプログラムによってサポートします。情報セキュリティポリシー文書ならびに情 報セキュリティプログラムは継続的な有効性と正確性を確保するために最低限でも年に一回は 再評価を実施します。再評価結果は公開を推奨します。 2.6.2.11 ガバナンス・リスク管理 事業継続性管理・運用弾力性、相互運用性と可搬性、サプライチェーン管理・透明性と説明責 任、法令と標準順守および脅威と脆弱性管理の各コントロール領域について詳細なサービス仕 様を作成します。また、経営者は承認したサービス仕様を公開します。サービス品質はサービス 仕様に基づいて第三者に検証可能となっていることを推奨します。サービス品質は継続的な有 効性と正確性を確保するために常時計測し公開することを推奨します。
2.6.3 資源 サービスオーケストレーションの対象となる設備層、ハードウェア層、資源抽象化・管理層、サービス層 に含まれるすべての資産やデータを総称して資源といいます。手順として実装をもつコントロールエリ アもその実装については資源と認識されます。 キ ャ リ ア ク ラ ウ ドシ ス テ ム オ ン プ レ ミス シ ス テ ム デ バ イ ス ア プ リ ケ ー シ ョン ア プ リケ ー シ ョン 脅 威 と 脆 弱 性 管 理 モ バ イ ル セ キ ュ リテ ィ ア プ リ ケ ー シ ョン ア プ リ ケ ー シ ョン ア プ リ ケ ー シ ョン 事 業 継 続 性 管 理 ・運 用 弾 力 性 ア プ リ ・イ ン タ ー フ ェ ー ス セ キ ュ リ テ ィ 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 ア プ リ ケ ー シ ョン セ ル フ マ ネ ジ メン ト ア プ リケ ー シ ョン ダ ッシ ュ ボ ー ド API 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 モ バ イ ル セ キ ュ リテ ィ プ ラ ッ トフ ォ ー ム 相 互 運 用 性 と 可 搬 性 ア プ リ ・イ ン タ ー フ ェ ー ス 法 令 ・標 準 順 守 セ キ ュ リ テ ィ 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 ア イ デ ン テ ィテ ィ・ア ク セ ス 管 理 デ ー タ セ キ ュ リテ ィ 暗 号 化 ・暗 号 情 報 ラ イ フ サ イ 鍵 管 理 ク ル 管 理 セ キ ュ リ テ ィイ ン シ デ ン ト管 理 ク ラ ウ ドフ ォ レ ン ジ ック 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレ ー ジ ジ 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレ ー ジ ジ 論 理 通 論 理 通 論 理 通 信 機 器 信 機 器 信 機 器 脅 威 と 脆 弱 性 管 理 論 理 論 理 論 理 論 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と サ ー バ サ ー バ ス トレ ー ス トレ ー 説 明 責 任 論 理 通 論 理 通 論 理 通 ジ ジ イ ン フ ラ ス トラ ク チ ャ と 信 機 器 信 機 器 信 機 器 相 互 運 用 性 と 可 搬 性 仮 想 化 セ キ ュ リ テ ィ 論 理 論 理 論 理 論 理 法 令 ・標 準 順 守 サ ー バ サ ー バ ス トレ ー ス トレ ー 論 理 通 論 理 通 論 理 通 ジ ジ 人 的 資 源 セ キ ュ リ テ ィ 信 機 器 信 機 器 信 機 器 ガ バ ナ ン ス ・リ ス ク 管 理 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレ ー ジ ジ 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレ ー ジ ジ 電 子 証 跡 変 更 制 御 構 成 管 理 論 理 サ ー バ 資 源 論 理 ス トレ ー ジ 資 源 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 論 理 ネ ッ トワ ー ク 資 源 相 互 運 用 性 と 可 搬 性 イ ン フ ラ ス トラ ク チ ャ と 論 理 サ ー バ 資 源 論 理 ス トレ ー ジ 資 源 仮 想 化 セ キ ュ リ テ ィ 法 令 ・標 準 順 守 人 的 資 源 セ キ ュ リテ ィ ガ バ ナ ン ス ・リ ス ク 管 理 論 理 サ ー バ 資 源 論 理 ス トレ ー ジ 資 源 電 子 証 跡 変 更 制 御 構 成 管 理 論 理 資 源 プ ー ル 通 信 資 源 通 信 資 源 通 信 資 源 抽 象 化 ・ 抽 象 化 ・ 抽 象 化 ・ 管 理 管 理 管 理 サ ー バ 資 源 抽 通 信 資 源 通 信 資 源 ス トレ ー ジ 資 源 象 化 ・管 理 抽 象 化 ・ 抽 象 化 ・ 抽 象 化 ・管 理 管 理 管 理 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 相 互 運 用 性 と 可 搬 性 イ ン フ ラ ス トラ ク チ ャ と 通 信 資 源 通 信 資 源 仮 想 化 セ キ ュ リ テ ィ サ ー バ 資 源 抽 抽 象 化 ・ 抽 象 化 ・ ス トレ ー ジ 資 源 法 令 ・標 準 順 守 象 化 ・管 理 管 理 管 理 抽 象 化 ・管 理 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 サ ー バ 資 源 抽 通 信 資 源 通 信 資 源 ス トレ ー ジ 資 源 象 化 ・管 理 抽 象 化 ・ 抽 象 化 ・ 抽 象 化 ・管 理 管 理 管 理 電 子 証 跡 変 更 制 御 構 成 管 理 上 位 シ ス テ ム 同 等 シ ス テ ム 下 位 シ ス テ ム 移 動 体 イ ン タ ー 専 用 線 等 通 信 網 ネ ット 物 理 物 理 物 理 通 信 通 信 通 信 物 理 サ ー バ 機 器 機 器 機 器 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 物 理 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 脅 威 と 脆 弱 性 管 理 物 理 サ ー バ 物 理 ス トレ ー ジ サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 モ バ イ ル セ キ ュ リ テ ィ 物 理 サ ー バ 物 理 ス トレ ー ジ 相 互 運 用 性 と 可 搬 性 物 理 物 理 デ ー タ セ ン タ ー 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 法 令 ・標 準 順 守 セ キ ュ リテ ィ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 人 的 資 源 セ キ ュ リテ ィ 物 理 サ ー バ 物 理 ス トレ ー ジ ガ バ ナ ン ス ・リ ス ク 管 理 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 物 理 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 電 子 証 跡 物 理 ス トレ ー ジ 変 更 制 御 構 成 管 理 物 理 資 源 プ ー ル 通 信 設 備 ラ ック 電 気 設 備 空 調 設 備 ラ ッ ク 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 ケ ー ブ ル ダ ク ト 相 互 運 用 性 と 可 搬 性 デ ー タ セ ン タ ー ラ ッ ク ラ ッ ク セ キ ュ リ テ ィ 法 令 ・標 準 順 守 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 ラ ック ラ ッ ク 通 信 設 備 サ ー バ 室 電 気 設 備 空 調 設 備 デ ー タ 保 管 室 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 管 路 相 互 運 用 性 と 可 搬 性 デ ー タ セ ン タ ー サ ー バ 室 デ ー タ 保 管 室 セ キ ュ リ テ ィ 法 令 ・標 準 順 守 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 サ ー バ 室 デ ー タ 保 管 室 公 衆 ダ ー ク 専 用 線 等 回 線 フ ァ イ バ 通 信 設 備 電 気 設 備 空 調 設 備 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 相 互 運 用 性 と 可 搬 性 デ ー タ セ ン タ ー 建 物 セ キ ュ リ テ ィ 法 令 ・標 準 順 守 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 設 備 クラウドリファレンスアーキテクチャレイヤーモデル図 2.6.3.1 設備層と要件・手順の関係 手順および要件の観点から見て必須となる設備層でのセキュリティ対策は従来の情報セキュリ ティ施策の範囲を超えません。ただし構成面では、事業継続性管理・運用弾力性コントロールエ リアの要件を高い水準で実現し、高可用性の実現を考慮した場合、変更制御と構成管理コント ロールエリアを意識して本番環境とテスト環境が分離された、冗長構成を持った設備構成が必 要となります。ローリングアップデート等による無停止運用を含む高可用性を実現する設備層を 実現する際の冗長構成は n+1 構成となり最小限、設備を三重冗長させることになります。 法令・基準順守コントロールエリアの観点から見ると設備層の基底となる建物の立地選定にあ たっては立地場所の適用法規と事業戦略の適合性検討が重要です。また、相互運用性と可搬 性コントロールエリアの観点から見ても伝送遅延の大きさは光速度不変の法則に従い、利用者 の所在地と立地場所の距離の隔たりが最大の決定要因となるためサービス品質に影響を与え る重要な要素となります。 公衆 ダーク 専用線等 回線 ファイバ 通信設備 電気設備 空調設備 サーバ室 データ保管室 ラック ラック 建物 管路 サーバ室 データ保管室 ケーブルダクト ラック ラック サーバ室 データ保管室 ラック ラック 設備 脅威と脆弱性管理 サプライチェーン管理・透明性と 説明責任 データセンター 相互運用性と可搬性 セキュリティ 法令・標準順守 人的資源セキュリティ ガバナンス・リスク管理 設備層(三層)
2.6.3.2 ハードウェア層と要件・手順の関係 手順の観点から見ると必須となるハードウェア層でのセキュリティ対策は従来の情報セキュリテ ィ施策の範囲を超えません。ただし構成面では、事業継続性管理・運用弾力性コントロールエリ アの要件を高い水準で実現し、高可用性の実現を考慮した場合、変更制御と構成管理コントロ ールエリアを意識して本番環境とテスト環境が分離された、冗長構成を持ったハードウェア構成 が必要となります。ローリングアップデート等による無停止運用を含む高可用性を実現するハー ドウェア層を実現する際の冗長構成は n+1 構成となり最小限、ハードウェアを三重冗長させるこ とになります。 要件の観点から見ると市販製品を利用してハードウェア層を構成する場合のリスクは従来通り ほぼ外部化できているといえます。オープンソースのハードウェアなどを利用してハードウェア層 を構成する場合は、輸出規制法令や製品安全関係法令、技術基準適合認定、各種標準準拠な どの担保が自己責任となり、市販製品利用と比較して、自由と責任負担のトレードオフおよび、 開発コストおよびリスク負担と製品価格の間にトレードオフの関係が成り立ちます。 上位システム 同等システム 下位システム 移動体 インター 専用線等 通信網 ネット 物理 物理 物理 通信 通信 通信 物理サーバ 機器 機器 機器 物理ストレージ 物理サーバ 物理ストレージ 物理 物理 物理サーバ 通信 通信 物理ストレージ 機器 機器 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理 物理 物理サーバ 通信 通信 物理ストレージ 機器 機器 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理 物理 物理サーバ 通信 通信 物理ストレージ 機器 機器 物理サーバ 物理ストレージ 物理サーバ 電子証跡 物理ストレージ 変更制御 構成管理 物理資源プール 脅威と脆弱性管理 サプライチェーン管理・透明性と 説明責任 モバイルセキュリティ 相互運用性と可搬性 データセンター 法令・標準順守 セキュリティ 人的資源セキュリティ ガバナンス・リスク管理 ハードウェア層 ハードウェア層を構成する物理サーバ、物理ストレージ、物理通信機器の接続構成は資源抽象 化・管理層の実装構成とパフォーマンス特性に直接影響しサービス品質特性の決定に重要な 影響を与えます。機器構成と接続構成は事業戦略の要求と要件および手順の制約を考慮して 決定します。さらに機器構成と接続構成は資源抽象化・管理層の構成と合せてクラウドサービス のスケールアウト性能を決定する最大の要因でもあります。 上位システム 同等システム 下位システム 上位システム 同等システム 下位システム 上位システム 同等システム 下位システム 上位システム 同等システム 下位システム 移動体 インター 移動体 インター 移動体 インター 移動体 インター 専用線等 専用線等 専用線等 専用線等 通信網 ネット 通信網 ネット 通信網 ネット 通信網 ネット 物理 物理 物理 物理 物理 物理 通信 通信 通信 通信 通信 通信 物理サーバ 機器 機器 機器 物理ストレージ 物理サーバ 機器 機器 機器 物理ストレージ 物理 物理 物理 物理 物理 物理 通信 通信 通信 通信 通信 通信 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 機器 機器 機器 機器 機器 機器 物理 物理 物理 物理 物理サーバ 通信 通信 物理ストレージ 物理サーバ 通信 通信 物理ストレージ 機器 機器 機器 機器 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理 物理 物理 物理 物理サーバ 通信 通信 物理ストレージ 物理サーバ 通信 通信 物理ストレージ 物理 物理 物理 機器 機器 機器 機器 通信 通信 通信 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 機器 機器 機器 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理 物理 物理 物理 物理サーバ 通信 通信 物理ストレージ 物理サーバ 通信 通信 物理ストレージ 機器 機器 機器 機器 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 電子証跡 物理ストレージ 物理サーバ 電子証跡 物理ストレージ 電子証跡 電子証跡 変更制御 構成管理 変更制御 構成管理 変更制御 構成管理 変更制御 構成管理 物理資源プール 物理資源プール 物理資源プール 物理資源プール ハードウェア層接続バリエーション図
2.6.3.3 資源抽象化・管理層と要件・手順の関係 手順の観点から見ると必須となる資源抽象化・管理層でのセキュリティ対策は従来の情報セキ ュリティ施策の範囲を超えません。ただし構成面では、事業継続性管理・運用弾力性コントロー ルエリアの要件を高い水準で実現し、高可用性の実現を考慮した場合、変更制御と構成管理コ ントロールエリアを意識して本番環境とテスト環境が分離された、冗長構成を持った資源抽象 化・管理構成が必要となります。ローリングアップデート等による無停止運用を含む高可用性を 実現する資源抽象化・管理層を実現する際の冗長構成は n+1 構成となり最小限、実装モジュー ルを三重冗長させることになります。ハードウェア層の機器構成と一対一対応する資源抽象化 モジュールは常時三重冗長している必要がありますが、抽象化資源量に余裕がありオートスケ ール能力をローリングアップデート能力による動的構成管理能力を持つ場合は、管理モジュー ルは二重化+最小規模のステージング環境の構成とすることができます。 要件の観点から見ると市販製品を利用して資源抽象化・管理層を構成する場合のリスクは従来 通りほぼ外部化できているといえます。オープンソースソフトウェアなどを利用して資源抽象化・ 管理層を構成する場合は、輸出規制法令や知的財産権、各種標準準拠などの担保が自己責 任となり、市販製品利用と比較して、自由と責任負担のトレードオフおよび、開発コストおよびリ スクと製品価格のコスト振り替えの関係が成り立ちます。 通信資源 通信資源 通信資源 抽象化・ 抽象化・ 抽象化・ 管理 管理 管理 通信資源 通信資源 サーバ資源抽 ストレージ資源 抽象化・ 抽象化・ 象化・管理 抽象化・管理 管理 管理 通信資源 通信資源 サーバ資源抽 ストレージ資源 抽象化・ 抽象化・ 象化・管理 抽象化・管理 管理 管理 通信資源 通信資源 サーバ資源抽 ストレージ資源 抽象化・ 抽象化・ 象化・管理 抽象化・管理 管理 管理 電子証跡 変更制御 構成管理 脅威と脆弱性管理 サプライチェーン管理・透明性と 説明責任 インフラストラクチャと 相互運用性と可搬性 仮想化セキュリティ 法令・標準順守 人的資源セキュリティ ガバナンス・リスク管理 資源抽象化・管理層 資源抽象化・管理層のうち、資源抽象化モジュールの実装はサービス層の実装構成とパフォー マンス特性に直接影響しサービス品質特性の決定に重要な影響を与えます。資源抽象化モジ ュール構成は事業戦略の要求と要件および手順の制約を考慮して決定します。さらに資源抽象 化モジュールはハードウェア層の構成と合せてクラウドサービスのスケールアウト性能を決定す る最大の要因でもあります。 アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ ーション ーション ーション ーション ーション ーション ーション ーション ーション ーション ーション ーション ーション ーション ーション ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS 論理 論理 論理 論理 論理 論理 サーバ サーバ サーバ サーバ サーバ サーバ ホストOS ホストOS ハイパーバイザ ハイパーバイザ ホストOS ホストOS ハイパーバイザ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 資源抽象化手法バリエーション図 2.6.3.4 サービス層と要件・手順の関係 手順の観点から見ると必須となるサービス層でのセキュリティ対策は従来の情報セキュリティ施 策の範囲を超えません。ただし構成面では、事業継続性管理・運用弾力性コントロールエリアの 要件を高い水準で実現し、高可用性の実現を考慮した場合、変更制御と構成管理コントロール エリアを意識して本番環境とテスト環境が分離された、冗長構成を持ったサービス構成が必要と なります。抽象化資源量に余裕がありオートスケール能力をローリングアップデート能力による 動的構成管理能力が利用できる場合は、二重化+動的に生成されるステージング環境の構成と
することができます。ただし、二重化は物理資源層と資源抽象化・管理層が SPOF とならないよ う系統毎に独立した物理資源層および資源抽象化・管理層を利用するべきです。同一の物理資 源と資源抽象化・管理モジュール上に冗長サービスを構築した場合、同時処理能力の向上は得 られますが可用性の向上はサービス層固有の脆弱性に起因する範囲に限定されます。 要件の観点から見ると市販製品を利用してサービス層を構成する場合またはクラウドプロバイ ダが提供するサービスを利用する場合のリスクは従来通りほぼ外部化できているといえます。 オープンソースソフトウェアなどを利用してサービス層を構成する場合は、輸出規制法令や知的 財産権、各種標準準拠などの担保が自己責任となり、市販製品利用と比較して、自由と責任負 担のトレードオフおよび、開発コストおよびリスクと製品価格のコスト振り替えの関係が成り立ち ます。 論理 論理 論理 論理 ストレー ストレー サーバ サーバ ジ ジ 論理サーバ資源 論理ストレージ資源 アプリケーション アプリケーション 論理 論理 論理 論理 ストレー ストレー サーバ サーバ ジ ジ 論理通 論理通 論理通 信機器 信機器 信機器 論理 論理 論理 論理 ストレー ストレー サーバ サーバ 論理ネットワーク資源 ジ ジ 論理サーバ資源 論理通 論理通 論理通 論理ストレージ資源 プラットフォーム アプリケーション アプリケーション アプリケーション 信機器 信機器 信機器 論理 論理 論理 論理 ストレー ストレー サーバ サーバ ジ ジ 論理通 論理通 論理通 信機器 信機器 信機器 論理 論理 論理 論理 ストレー ストレー アイデンティティ・アクセス管理 サーバ サーバ ジ ジ セルフマネジメント 論理サーバ資源 論理ストレージ資源 アプリケーション アプリケーション データセキュリティ ダッシュボード 暗号化・暗号 情報ライフサイ 論理 論理 論理 論理 鍵管理 クル管理 ストレー ストレー サーバ サーバ 電子証跡 ジ ジ セキュリティインシデント管理 API 電子証跡 変更制御 構成管理 クラウドフォレンジック 変更制御 構成管理 論理資源プール 脅威と脆弱性管理 脅威と脆弱性管理 脅威と脆弱性管理 サプライチェーン管理・透明性と サプライチェーン管理・透明性と 説明責任 説明責任 モバイルセキュリティ モバイルセキュリティ インフラストラクチャと 相互運用性と可搬性 相互運用性と可搬性 事業継続性管理・運用弾力性 仮想化セキュリティ アプリ・インターフェース アプリ・インターフェース 法令・標準順守 法令・標準順守 セキュリティ セキュリティ 人的資源セキュリティ 人的資源セキュリティ 人的資源セキュリティ ガバナンス・リスク管理 ガバナンス・リスク管理 ガバナンス・リスク管理 サービス層(IaaS、PaaS、SaaS) 資源抽象化・管理層と IaaS 層に実装をもつ電子証跡および変更制御と構成管理コントロールエ リアは PaaS 層に実装を持つセキュリティインシデント管理、クラウドフォレンジックコントロールエ リアが動作するための基盤となります。セキュリティインシデント管理、クラウドフォレンジックコン トロールエリアはアイデンティティ・アクセス管理、データセキュリティ、暗号化・暗号鍵管理、情 報ライフサイクル管理コントロールエリアによって保護され SaaS 層において API およびセルフマ ネジメントダッシュボードとして提供され、オンデマンドセルフサービスを実現することで、利用者 の要求に応じて適宜・適切に配分することを可能にし、運用弾力性を実現します。 キ ャリア クラウ ドシ ス テ ム オ ン プ レ ミス シ ス テ ム デ バ イス ア プ リケ ー シ ョン ア プ リケ ー シ ョン ア プ リケ ー シ ョン ア プ リケ ー シ ョン ア プ リケ ー シ ョン 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレー ジ ジ ア プ リケ ー シ ョン 1 論 理 論 理 サ ー バ論 理 サ ー バ 資 源 ネ ジ メン ト サ ー バ マ セ ル フ ダ ッシ ュボ ー ド 論 理 通 ト フ ォ ー論 理 通 プ ラッ ム ア プ リケ ー シ ョン 論 理 通 ジ 論 理 ジ 論 理 ス ト レ論 理 ス ト レ ー ジ ー 源 ー 論 ス トレ 資 信 機 器 信 機 器 信 機 器 論 理 論 理 論 理 論 理 サ ー バ サ ー バ API ス トレ ー ス トレ ー 論 理 通 論 理 通 論 理 通 ジ ジ 信 機 器 信 機 器 信 機 器 論 理 論 理 サ ー バ論 理 サ ー バ 資 源 サ ー バ ア イ デ ン理 通 テ ィ ・ ア ク セ ス 管 理 論 テ ィ 信 機 器 デ ー タセ キ ュリテ ィ 論 理 通 信 機 器 2 論 理 ネ ットワ ー ク資 源 論 理 通 信 機 器 ジ 論 理 ジ 論 理 ス ト レ論 理 ス ト レ ー レ ー 源 ー ス トジ 資 暗 号 化 ・暗 号 情 報 ライフサ イ 論 理 論 理 論 理 論 理 鍵 管 理 クル 管 理 ス トレ ー ス トレ ー サ ー バ サ ー バ ジ ジ セ キ ュリテ ィイン シ デ ン ト管 理 論 理 論 理 サ ー バ論 理 サ ー バ 資 源 サ ー バ クラウ ドフォレ ン ジ ック 電 子 証 跡 3 ジ 論 理 ー 論 理 ス ト レ論 理 ス ト レ ー レ ー 源 ス トジ 資 ジ 変 更 制 御 構 成 管 理 電 子 証 跡 変 更 制 御 構 成 管 理 論 理 資 源 プ ー ル 上 位 シ ス テ ム 同 等 シ ス テ ム 下 位 シ ス テ ム 移 動 体 イン ター 専 用 線 等 通 信 網 ネ ット 通 信 資 源 通 信 資 源 通 信 資 源 抽 象 化 ・ 抽 象 化 ・ 抽 象 化 ・ 管 理 理 物 管 理 理 物 管 理 理 物 通 信 通 信 通 信 物 理 サ ー バ 機 器 機 器 機 器 物 理 ス トレ ー ジ サ ー バ 資 源 抽 通 信 資 源 通 信 資 源 ス 物レ ー ジ 資 源 ト 理 ス トレ 象 化 ・ 管サ ー バ 物 理 理 抽 象 化 ・ 管 理 理 物 抽 象 化 ・ 管 理 理 物 抽 象 化 ・管 理 ー ジ 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレー ジ サ ー バ 資 源 抽 通 信 資 源 通 信 資 源 ス 物レ ー ジ 資 源 ト 理 ス トレ 象 化 ・ 管サ ー バ 物 理 理 抽 象 化 ・ 管 理 理 物 抽 象 化 ・ 物 管 理 理 抽 象 化 ・管 理 ー ジ 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 通 信 資 源 通 信 資 源 3 サ ー バ 資 源 抽 ス 物レ ー ジ 資 源 ト 理 ス トレ 象 化 ・ 管サ ー バ 物 理 理 抽 象 化 ・ 管 理 理 物 抽 象 化 ・ 管 理 理 物 抽 象 化 ・管 理 ー ジ 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 電 子 証 跡 物 理 ス トレ ー ジ 物 理 サ ー バ 変 更 制 御 電 子 証 跡 管 理 構 成 物 理 ス トレ ー ジ 変 更 制 御 構 成 管 理 物 理 資 源 プ ー ル 公 衆 ダ ー ク 専 用 線 等 回 線 ファイバ 通 信 設 備 ラック 通 信 設 備 ラック 電 気 設 備 空 調 設 備 サ ー バ 室 電 気 設 備 通 信 設 備 設 備 空 調 デ ー タ保 管 室 電 気 設 備 空 調 設 備 ラック ケ ー ブ ル ダ クト ラック サ ー バ 室 管 路 デ ー タ保 管 室 建 物 ラック ラック サ ー バ 室 デ ー タ保 管 室 設 備 IaaS セルフマネジメントダッシュボードを例とした層を跨いで構成されるサービスモデル図
2.7 付録 2.7.1 参考文献 競争政策研究センター共同研究 ネットワーク外部性の経済分析 http://www.jftc.go.jp/cprc/reports/cr0103.pdf RIETI 経済の強靭性に関する研究の展望 http://www.rieti.go.jp/jp/publications/pdp/12p008.pdf 経済産業省 システム/ソフトウェア製品の品質要求定義と品質評価のためのメトリクスに関する調査 報告書 http://www.meti.go.jp/policy/it_policy/softseibi/metrics/20110324product_metrics2010.pdf 経済産業省 システム及びソフトウェア品質の見える化、確保及び向上のためのガイド http://www.meti.go.jp/policy/it_policy/softseibi/metrics/product_metrics.pdf ENISA Risk Management http://www.enisa.europa.eu/activities/risk-management ENISA Cloud Computing Security Risk Assessment(和訳) http://www.ipa.go.jp/security/publications/enisa/documents/Cloud%20Computing%20Security%20Risk %20Assessment.pdf IPA 共通脆弱性タイプ一覧 http://www.ipa.go.jp/security/vuln/CWE.html Common Weakness Scoring System (CWSS™) http://cwe.mitre.org/cwss/ 2011 CWE/SANS Top 25 Most Dangerous Software Errors http://cwe.mitre.org/top25/ WASC Threat Classification http://projects.webappsec.org/w/page/13246978/Threat%20Classification WASC Web Hacking Incident DataBase http://projects.webappsec.org/w/page/13246995/Web-Hacking-Incident-Database 2.7.2 図版出典 2.1 リスクモデル図 本文書初出 2.2 脅威・脆弱性・危害関連図 本文書初出 2.2 脆弱性分類図 本文書初出 2.2.4 クラウドリスク分類図 本文書初出 2.3.1 ネットワーク外部性効用曲線図 競争政策研究センター共同研究 ネットワーク外部性の経済分析掲載図を著者補足 2.3.1 相互運用性・可搬性モデル図 本文書初出 2.3.1 クラウド階層モデル図 本文書初出 2.3.1 クラウドアクター図 NIST SP500-292 掲載図を著者改変 http://www.nist.gov/customcf/get_pdf.cfm?pub_id=909505 P4 Figure2 参照 2.3.2 エコシステム成長モデル図 IT Media TechTarget 利用者が IaaS の信頼度を計算するには?掲載図を改定 http://techtarget.itmedia.co.jp/tt/news/1210/12/news01.html 2.3.3 クラウドリファレンスアーキテクチャ図 OCDET/atoll project クラウドリファレンスアーキテクチャ v1.0 収録
2.5 クラウドガバナンスキューブ図 OCDET/atoll project クラウドリファレンスアーキテクチャ v1.0 収録 2.5 クラウドレイヤーモデル図(部分) 本文書初出 2.5 クラウドガバナンスマップ図 OCDET/atoll project クラウドリファレンスアーキテクチャ v1.0 収録 2..6 クラウドライフサイクル図 IT Media TechTarget クラウドの応答性能とサポート品質を客観的に比較するには掲載 http://techtarget.itmedia.co.jp/tt/news/1201/26/news01.html 2.6.1.2 相互運用性・可搬性が確保されたクラウドエコシステムにおける運用弾力性モデル図 IT Media TechTarget 利用者が IaaS の信頼度を計算するには?掲載 http://techtarget.itmedia.co.jp/tt/news/1210/12/news01.html 2.6.1.3 ネットワーク(グラフ)バリエーション図 IT Media TechTarget 着実に姿を現しつつあるクラウド化した IT 市場掲載 http://techtarget.itmedia.co.jp/tt/news/1206/19/news03.html 2.6.1.3 アクター連携およびサプライチェーンの透明性確保のための監査連携モデル図 本文書初出 2.6.1.4 スタンダード分類モデル図 IT Media TechTarget クラウドのベンダーロックインを回避するための処方せん掲載 http://techtarget.itmedia.co.jp/tt/news/1203/23/news07.html 2.6.1.4 クラウド関連標準一覧 本文書初出 2.6.2 クラウドガバナンスコントロールエリア挙動モデル図 本文書初出 2.6.3 クラウドリファレンスアーキテクチャレイヤーモデル図 OCDET/atoll project クラウドリファレンスアーキテクチャ v1.0 収録 クラウドリファレンスアーキテクチャレイヤーマップ v1.0 ポスターに再録 2.6.3.1 設備層(三層) 本文書初出 クラウドリファレンスアーキテクチャレイヤーチュートリアル 01 に再録 2.6.3.2 ハードウェア層 本文書初出 クラウドリファレンスアーキテクチャレイヤーチュートリアル 01 に再録 2.6.3.2 ハードウェア層接続バリエーション図 本文書初出 2.6.3.3 資源抽象化・管理層 本文書初出 クラウドリファレンスアーキテクチャレイヤーチュートリアル 01 に再録 2.6.3.3 資源抽象化手法バリエーション図 本文書初出 2.6.3.4 サービス層(IaaS、PaaS、SaaS) 本文書初出 クラウドリファレンスアーキテクチャレイヤーチュートリアル 01 に再録 2.6.3.4 IaaS セルフマネジメントダッシュボードを例とした層を跨いで構成されるサービスモデル図 本文書初出 クラウドリファレンスアーキテクチャレイヤーチュートリアル 02 に再録
本文書は以下の条件に基づいてライセンスされます。 表示 - 非営利 - 改変禁止 2.1 日本 (CC BY-NC-ND 2.1) http://creativecommons.org/licenses/by-nc-nd/2.1/jp/

More Related Content

PDF
事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャV1.0 final
byDaisuke Kawada
 
PDF
クラウドリファレンスアーキテクチャレイヤーマップV1.0ポスター
byDaisuke Kawada
 
PDF
A Survery of Approaches to Adaptive Securityの紹介
byNobukazu Yoshioka
 
PDF
クラウドリファレンスアーキテクチャレイヤーチュートリアル02
byDaisuke Kawada
 
PDF
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
byCLOUDIAN KK
 
PDF
クラウドTCOの真実
bySORACOM, INC
 
PDF
Asahikawa_Ict 20120726
bykspro
 
PDF
クラウドサービスの安全性を考える
byDaisuke Nakazawa
 
事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャV1.0 final
byDaisuke Kawada
 
クラウドリファレンスアーキテクチャレイヤーマップV1.0ポスター
byDaisuke Kawada
 
A Survery of Approaches to Adaptive Securityの紹介
byNobukazu Yoshioka
 
クラウドリファレンスアーキテクチャレイヤーチュートリアル02
byDaisuke Kawada
 
TOUA M2M Solutions powered by Cloudian (Cloudian Summit 2012)
byCLOUDIAN KK
 
クラウドTCOの真実
bySORACOM, INC
 
Asahikawa_Ict 20120726
bykspro
 
クラウドサービスの安全性を考える
byDaisuke Nakazawa
 

Similar to 事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 final

PPTX
Occセキュリティ分科会 河野
byOCC Cloud SECF
 
PDF
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)
byオラクルエンジニア通信
 
PDF
クラウド検討の進め方
byコシキ・バリューハブ株式会社/KOSHIKI ValueHub
 
PDF
クラウドセキュリティ 誤解と事実の壁
byKVH Co. Ltd.
 
PPTX
クラウド開発手法(舩山ストーリー,石川追記)
byYuuki Ishikawa
 
PDF
Clould Service for Enterprise Market
byインフォリスクマネージ株式会社 (InfoRiskManage, Inc.)
 
PDF
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
by株式会社スカイアーチネットワークス
 
PDF
Cloud Computing(クラウド・コンピューティング)
byripper0217
 
PDF
クラウドセキュリティの価値と機会
byHayato Kiriyama
 
PDF
企業向けのセキュリティの設計例
bymasaaki murakami
 
PDF
2012年09月 仙台ICT復興支援クラウドフォーラム 発表資料
byServerworks Co.,Ltd.
 
PDF
2020 0910 f-secure_remote_work_and_cloud_security
byShinichiro Kawano
 
PDF
Oishi 20120107
bynextedujimu
 
PDF
クラウドは○○を共有するサービス ~第32回WebSig会議「便利さと、怖さと、心強さと〜戦う会社のための社内セキュリティ 2013年のスタンダードとは?...
byWebSig24/7
 
PDF
第32回Websig会議「クラウドは○○を共有するサービス」
bySen Ueno
 
PPTX
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
byMasanori KAMAYAMA
 
PDF
Standardization of Healthcare Cloud Security and Crowdsourcing
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
Enterprise Cloud Design Pattern 前編:クラウドアーキテクチャ-の3要素
byArichika TANIGUCHI
 
PDF
ヘルスケア・イノベーション公開勉強会第2回:海外事例に学ぶプレシジョンメディシンのクラウド利用とITリスク管理
byEiji Sasahara, Ph.D., MBA 笹原英司
 
PDF
Information security including cloud 20180824
bykazuki masuda
 
Occセキュリティ分科会 河野
byOCC Cloud SECF
 
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)
byオラクルエンジニア通信
 
クラウド検討の進め方
byコシキ・バリューハブ株式会社/KOSHIKI ValueHub
 
クラウドセキュリティ 誤解と事実の壁
byKVH Co. Ltd.
 
クラウド開発手法(舩山ストーリー,石川追記)
byYuuki Ishikawa
 
Clould Service for Enterprise Market
byインフォリスクマネージ株式会社 (InfoRiskManage, Inc.)
 
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
by株式会社スカイアーチネットワークス
 
Cloud Computing(クラウド・コンピューティング)
byripper0217
 
クラウドセキュリティの価値と機会
byHayato Kiriyama
 
企業向けのセキュリティの設計例
bymasaaki murakami
 
2012年09月 仙台ICT復興支援クラウドフォーラム 発表資料
byServerworks Co.,Ltd.
 
2020 0910 f-secure_remote_work_and_cloud_security
byShinichiro Kawano
 
Oishi 20120107
bynextedujimu
 
クラウドは○○を共有するサービス ~第32回WebSig会議「便利さと、怖さと、心強さと〜戦う会社のための社内セキュリティ 2013年のスタンダードとは?...
byWebSig24/7
 
第32回Websig会議「クラウドは○○を共有するサービス」
bySen Ueno
 
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
byMasanori KAMAYAMA
 
Standardization of Healthcare Cloud Security and Crowdsourcing
byEiji Sasahara, Ph.D., MBA 笹原英司
 
Enterprise Cloud Design Pattern 前編:クラウドアーキテクチャ-の3要素
byArichika TANIGUCHI
 
ヘルスケア・イノベーション公開勉強会第2回:海外事例に学ぶプレシジョンメディシンのクラウド利用とITリスク管理
byEiji Sasahara, Ph.D., MBA 笹原英司
 
Information security including cloud 20180824
bykazuki masuda
 

More from Daisuke Kawada

PDF
プロレス 夏サミ 20140731(公開版)
byDaisuke Kawada
 
PDF
Developer summit2014
byDaisuke Kawada
 
PDF
プロレス クラウドExpo 20140515(公開版)
byDaisuke Kawada
 
PDF
Jaws festa 20130928
byDaisuke Kawada
 
PDF
クラウドリファレンスアーキテクチャレイヤーチュートリアル01
byDaisuke Kawada
 
PDF
Occ anonymous 20120723
byDaisuke Kawada
 
PDF
It open project_governance_2 20120518
byDaisuke Kawada
 
PDF
Vender lockin20120420 2
byDaisuke Kawada
 
PDF
It open project_governance20120410
byDaisuke Kawada
 
PDF
Cloud a to_z_20120220_rev1
byDaisuke Kawada
 
プロレス 夏サミ 20140731(公開版)
byDaisuke Kawada
 
Developer summit2014
byDaisuke Kawada
 
プロレス クラウドExpo 20140515(公開版)
byDaisuke Kawada
 
Jaws festa 20130928
byDaisuke Kawada
 
クラウドリファレンスアーキテクチャレイヤーチュートリアル01
byDaisuke Kawada
 
Occ anonymous 20120723
byDaisuke Kawada
 
It open project_governance_2 20120518
byDaisuke Kawada
 
Vender lockin20120420 2
byDaisuke Kawada
 
It open project_governance20120410
byDaisuke Kawada
 
Cloud a to_z_20120220_rev1
byDaisuke Kawada
 

事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャチュートリアルV1.0 final

  • 1.
  • 2.
    事業継続性と運用弾力性に配慮したクラウド リファレンス アーキテクチャチュートリアル v1.0 2013/04/06 OCDET/atoll project 著者 川田大輔 注意 この文書中で特定される商業的組織、装置、資料は、実験的な手順または概念を適切に説明するためのものです。した がって、OCDET/atoll project による推薦または保証を意味するものではなく、これら組織、資料、または装置が、その目 的に関して得られる最善のものであると意味しているわけでもありません。
  • 3.
    1. はじめに 1.1 目的と範囲 各種オープンソースベースのクラウド基盤技術の評価と相互接続による連携、運用ノウハウ蓄積と周知を図る にあたって、連携、運用ノウハウの利用が適切な情報セキュリティを含むガバナンス体制のもとに行えるよう、 事業継続性と運用弾力性の確保を主眼に置いたクラウド定義とリファレンスアーキテクチャを提供することを目 的として公開した事業継続性と運用弾力性を考慮したクラウド リファレンス アーキテクチャ v1.0 についての 解説を提供します。 1.2 対象読者 本文書は、事業継続性と運用弾力性を考慮したクラウド リファレンス アーキテクチャ v1.0 についての理解を 深めたい方を読者として想定しています。 1.3 作成組織 1.2.1 OCDET オープンクラウド実証実験タスクフォースは、オープンソース実装の評価は個別の実装単位での検証 に留まり、各基盤間の連動性を実証する機会が乏しいという問題があり連携実験の実施が課題となっ ている今、オープンソースベースの各クラウド基盤技術の実証実験を通じて相互接続による連携、運 用ノウハウを周知し、クラウド基盤の一般化と利活用の促進を図る事を目的としてします。また、構築 運用ベストプラクティス等を業界全体で共有し、クラウド基盤の整備を行うと同時に質の高いクラウドサ ービス構築を支援し、IT 業界の活性化に貢献します。詳細については http://www.ocdet.org 参照。 1.2.2 atoll project は、クラウドガバナンスという概念がスコープしている領域の全体像を明らかにすることでクラウドに関 連する技術やサービスの提供者と利用者それぞれが自らの指針を決定する一助となることを目標とし ます。atoll project は OCDET 参加団体として基盤統合ワーキンググループにおいて本リファレンスアー キテクチャ策定を担当しました。詳細については http://atoll.jp 参照。
  • 4.
    2. クラウドサービスに関連するリスクと対策 あらゆる選択には常にリスクが伴っていますが日常生活においてリスクをはっきりと意識する機会はまれです。 これは通常の日常生活において受け入れられないリスクから解放され、「安全」が確保されているためです。ま た、日常を離れ慣れない土地へと旅行している際などは旅の高揚感もありますが未知の環境に身を置いてい るため、日常生活よりも「安全」に敏感になるのではないでしょうか。クラウドサービスへの取り組みが初めての 方にとって、クラウドサービスは未知の安全が確保されているか不確かな、故にリスクが溢れているサービス であると感じられるかもしれません。本文書ではクラウド リファレンス アーキテクチャ v1.0 の解説を通して、ク ラウドサービスに関連するリスクとその対策を取り扱い、読者がクラウドサービスに適切に対処するためのガイ ドを提供することで、クラウドサービスの安全確保の方法確立の一助としたいと願っています。 2.1 リスク、危害、安全の定義 はじめに、リスクとは何かを整理しておきましょう。「ISO/IEC Guide51:1999(JIS Z 8051:2004)」はリスクを リスク(Risk):危害の発生確率およびその危害の程度の組み合わせ と定義し続いて、 危害(Harm):人の受ける身体的傷害もしくは健康傷害、または財産もしくは環境の受ける害 であるとしています。このリスクと危害の定義を利用して、 安全(Safety):受け入れ不可能なリスクから解放されていること と定義しています。この定義は裏返して読むと「完全な安全は存在しない」ことを示しています。さて、それでは 受け入れられないリスクとは何でしょうか?リスクとは危害の発生確率と危害の程度の組み合わせとして表せ、 自然災害や株式市場の崩壊など複雑適応系として振る舞うシステムでは危害の程度と発生確率の組み合わ せは冪乗則に従うことが知られています。 受け入れ可能なリスクの範囲 小 危害の程度 大 受け入れられないリスクの範囲 この 安 領域 全と の解 のリ は 放 の スク こと から リスク 小 危害の発生確率 大 リスクモデル図 あまりにも発生率が稀で、その代り危害の程度が極端に大きなリスクに対して対策を施すと、事業期間内にリ スクが顕在化せずにリスク対策費用が掛け倒れになってしまいます。たとえば、巨大隕石の衝突による事業継 続性の喪失などの極端なリスクを考慮に入れて事業計画を策定している方はあまり多くないはずです。 クラウドサービスにおいても読者各々の事情に応じて受け入れられないリスクの範囲を確定し、自身の要件に 適した利活用を計画しなければなりません。
  • 5.
    2.2 リスク評価 2.2.1 脅威と脆弱性、危害の定義 受け入れられないリスクの範囲を確定するためには、リスクが顕在化する構造を理解する必要があり ます。リスクが顕在化する原因は脅威であり、言い換えると、脅威によって脆弱性が顕在化することに よって危害が現実のものとなる構造となっています。 脅威 脆弱性 危害 脅威・脆弱性・危害関連図 脅威とは脆弱性を顕在化させる働きで、脆弱性とはセキュリティ機能の弱点、危害とは脆弱性によって 侵害された結果であって実装の面から見ると障害のことです。この分野の標準としては情報セキュリテ ィ評価基準 CC/CRM または CC/CRM を国際規格化した ISO/IEC15408 を参照するとよいでしょう。 脆弱性はセキュリティ対象を構成するあらゆる要素に潜在しますがその構造自体はシンプルです。セ キュリティ対象が三つのノードと二つのリンクを持った構造の場合、ノード、リンクのそれぞれが固有の 脆弱性を持っています。また、リンクされた構造全体または構造の一部は他の要素が持つ固有の脆弱 性の影響を受けます。 ノード(モジュール)の脆弱性 リンク(コール)の脆弱性 リンク リンク ノード1 ノード2 ノード3 1 2 脆弱性 脆弱性 脆弱性 脆弱性 脆弱性 システムの脆弱性 脆弱性分類図 2.2.2 脆弱性の分類 構造に含まれる機能と接続それぞれに脆弱性があります。現在知られている脆弱性は CWE によって 体系化されています。また CWE のうち、代表的な脆弱性については IPA によって共通脆弱性タイプ一 覧として日本語化されています。CWE が開発した Common Weakness Scoring System(共通脆弱性ス コアリングシステム)を利用して算出された CWE/SANS Top 25 Most Dangerous Software Errors (CWE/SANS 最も危険なソフトウェアエラー トップ 25)を利用すると脆弱性の重要性判定が容易にな ります。 2.2.3 脅威の分類 脆弱性は脅威によって顕在化し危害をもたらしますので、脆弱性に続いて、脅威についても分類が必 要です。脅威は WASC によって分類・体系化(タクソノミ化)されています。同じく WASC が提供している Web Hacking Incident Database(Web ハッキング インシデント データベース)を参照すれば発生頻度 の高い攻撃を確認することができます。
  • 6.
    2.2.4 リスク影響分類 受け入れられないリスクの範囲を確定するために、脆弱性分類を利用して、要件である事業継続性に 対する影響の程度を分類します。既知のリスクと未知のリスク、対策コストの大小、弾力性・俊敏性(レ ジリエンス)の大小の 3 つの軸を利用して八象限に分類します。 既知・未知 8 5 ト ス コ 事業継続性 4 1 弾力性:高 7 6 未知 コスト低 コスト高 3 2 既知 弾力性:低 クラウドリスク分類図 第一象限 高い俊敏性・弾力性を持ち、対策が高コストで既知のリスクの領域です。この領域には DoS 攻 撃、EDoS 攻撃などの脅威や突発的な負荷集中、ゼロデイ攻撃などの脆弱性問題が含まれま す。 第二象限 低い俊敏性・弾力性を持ち、対策が高コストで既知のリスクの領域です。この領域にはベンダー ロックインや TBTF(Too Big To Fail:大きすぎてつぶせない)問題などの慢性的な問題が含まれ ます。 第三象限 低い俊敏性・弾力性を持ち、対策が低コストで既知のリスクの領域です。この領域にはウィルス 対策、スパム対策、ID/Pw によるアクセス管理などのクラシックな問題が含まれます。 第四象限 高い俊敏性・弾力性を持ち、対策が低コストで既知のリスクの領域です。この領域には内部不 正を含む人的ミス、機器故障よるシステム停止が含まれます。システム停止リスクが第四象限 に含まれることに違和感が感じられるかもしれませんがオンプレミスの場合と異なりクラウドにお いては機器故障によるシステム停止は低コストリスクに分類できます。 第五象限 高い俊敏性・弾力性を持ち、対策が高コストで未知のリスクの領域です。第五から第八象限に ついては未知であるゆえに具体的な例を挙げることはできませんが、突発性とコストが高いリス クと認識してください。ただし、冪乗則に従うならば発生確率の低いリスクでもあります。 第六象限 低い俊敏性・弾力性を持ち、対策が低コストで未知のリスクの領域です。第二象限に類した構造 で現在知られていないリスクとなります。 第七象限 低い俊敏性・弾力性を持ち、対策が低コストで未知のリスクの領域です。第三象限に類した構造 で現在知られていないリスクとなります。クラウド固有の利用方法が一般化するにしたがって顕 在化すると予想できます。 第八象限
  • 7.
    高い俊敏性・弾力性を持ち、対策が低コストで未知のリスクの領域です。後述するクラウドエコ システムが一般化するにしたがって顕在化すると予想できます。 これら八象限にリスクを割り付けして受け入れられないリスクを確定する必要があります。 2.3 クラウド定義 受け入れられないリスクを確定したらクラウドサービスがリスクをどのように取り扱っているかクラウドサービス のアーキテクチャやガバナンス体制を参照して求めるリスク対策がなされているかを確認します。その前に、ま ず、クラウドサービスとはどのようなものなのか定義をしておく必要があります。経済産業省クラウドサービス利 用のための情報セキュリティマネジメントガイドラインでは、クラウドコンピューティングを 共有化されたコンピュータリソース(サーバ,ストレージ,アプリケーション等)について,利用者の要求に応じて 適宜・適切に配分し,ネットワークを通じて提供することを可能とする情報処理形態。 と定義しています。ほかにも世界で広く参照されているクラウド定義には NIST や ENISA による定義がありま す。 そもそも、なぜ、コンピュータリソースを共有化し利用者の要求に応じて適宜・適切にネットワークを通じて配 分・提供するサービスが求められたのでしょうか。それはネットワーク外部性について理解する必要がありま す。 2.3.1 クラウドの本質的特徴 電話などの情報通信サービスの場合を考えてみましょう。ネットワークにつながっていない電話機が一 台だけあっても電話機としての役には立ちません。これを効用がゼロの状態といいます。けれどもネッ トワークにつながった電話機の台数が増えるごとに二台の電話機が接続された状態の効用を出発点 に収穫が逓増していきます。このようにそのサービスの利用者数の増加が利用者一人あたりの効用を 増大させる場合をネットワーク外部性が働く、といいます。 ネットワーク外部性効用曲線図 クラウドサービス利用のための情報セキュリティマネジメントガイドライン定義がいう、コンピュータリソ ースの共有化によって、コンピューティングという行為それ自体にネットワーク外部性が働き、利用者 が増えるにしたがって利用者一人あたりの効用が増大する効果が期待できるといえます。 さて、ネットワーク外部性が働くためには、電話の場合と同じようにネットワークにつながったコンピュー タリソースの相互運用性と可搬性確保が確保されている必要があります。ISO/IEC 25010 は、相互運 用性とは外部測定法に基づくとデータ形式に基づくデータ交換性であり、内部測定法に基づくとインタ ーフェース一貫性であるとしています。クラウドサービスにおいては異なる運営主体が提供しているク ラウドサービスが相互に一貫したインターフェースを利用してデータ交換性を確保している状態と言え ます。次に、同じく ISO/IEC 25010 は、可搬性について、異なる環境への移しやすさと定義し、移しやす さを表す順応性や同等物との置換性などの副特性を持つとしています。
  • 8.
    O 1' B社 B社 O1 O1' A社 C社 A社 C社 F社 D社 F社 D社 O1' O1' E社 E社 O 1' 相互運用性モデル 相互運用環境下での 可搬性 相互運用性・可搬性モデル図 つまり、相互運用性を確保することでクラウドサービス間のデータ交換性を確保し、さらに可搬性を確 保することでクラウドサービス相互の置き換えを可能にすることで高いネットワーク外部性が働く状態 を実現し、効用を高めることが可能になります。 では、さまざまな運営主体が提供するクラウドサービスで相互運用性と可搬性を確保するためにはど うすればよいでしょうか。そのためには相互運用性と可搬性の確保を求められる事業者が合意または 強制によって同一のデータ形式とインターフェース提供を行う必要があります。電気通信や電力などの 場合は法令によって形式が厳しく定められています。発達途上にあるクラウドサービスについては標 準化団体による標準化活動が中心となって進められています。 より高いネットワーク外部性を働かせるために国内にとどまらず広く世界で標準化を進め相互運用性 と可搬性を高いレベルで確保することが重要です。 相互運用性と可搬性確保の初めはインターフェース標準の確立ですから、広く利用されているインター フェース標準である OSI 参照モデルにクラウドサービスの階層構造を引き当ててみましょう。第一階層、 第三階層、第五階層で OSI 参照モデルとは異なるレイヤー界面構成となっています。インターフェース の問題として考えると、NISTSP800-145 が IaaS を含む全提供形態に要求しているオンデマンドセルフ サービス機能を実装する場合、IssS は、オンデマンドセルフサービスを実現するダッシュボードや API をアプリケーョン層にあたる SaaS として装備している必要があることになり、ダッシュボードや API を動 作させるアプリケーションプラットフォームをサービス層にあたる PaaS として装備している必要があるこ とになります。 OSI参照モデル TCP/IP階層モデル クラウド階層モデル 第7階層 アプリケーション層 サービス層(SaaS) 第6階層 プレゼンテーション層 アプリケーション層 サービス層(PaaS) サービス層(IaaS) 第5階層 セッション層 第4階層 トランスポート層 トランスポート層 資源抽象化・管理層 第3階層 ネットワーク層 インターネット層 第2階層 データリンク層 ハードウェア層 ネットワークインターフェース層 第1階層 物理層 設備層 クラウド階層モデル図 次にクラウドに関わるアクター類型について整理しておきましょう。文書内で直接言及はしていません が、クラウド リファレンス アーキテクチャ v1.0 は、NIST SP500-292 の定義したアクターモデルを支持 しています。NIST SP500-292 定義のアクター構造としてクラウドサービスの提供者と利用者を表すクラ
  • 9.
    ウドプロバイダとクラウドコンシューマの定義は当然として、透明性を担保するクラウドオーディタ(監査 者)の設定は数理組織論の立場から妥当性が支持されますし、さまざまな中間リスクの引き受け手と しても機能する垂直的取引関係の担い手であるクラウドブローカ(仲介者)の設定も合理的です。これ らアクター間の通信を担うクラウドキャリア(伝送者)については ITU 条約に基づく国際的な通信秩序が インターネットを含む通信基盤動作の前提となっている点から粒度設定として支持できます。 クラウドコンシューマ クラウドオーディタ (利用) (監査) クラウドブローカ クラウドプロバイダ (仲介) (提供) クラウドキャリア (伝送) クラウドアクター図 ここまでの検討を踏まえ、具体的にセキュリティについて検討するために必要なクラウド定義は、 共有化されたコンピュータリソース(サーバ,ストレージ,アプリケーション等)について,利用者 の要求に応じて適宜・適切に配分し,ネットワークを通じて提供することを可能とし相互運用性 と可搬性が担保されている情報処理形態。 とすることができました。 2.3.2 クラウドエコシステム 相互運用性と可搬性を考慮し、クラウドコンシューマ(利用者)とクラウドプロバイダ(提供者)のほかに クラウドオーディタ(監査者)とクラウドブローカ(仲介者)をアクターとして備えたクラウドサービスは、単 一事業者の提供するサービスではなく、さまざまな事業者が相互に接続した James F. Moore のいう(ビ ジネス)エコシステムと見ることができるようになります。 現在のクラウドエコシステム 今後のクラウドエコシステム B社 B社 A社 C社 A社 C社 相互運用性・可搬性の担保 F社 D社 F社 D社 E社 E社 固有APIを利用した部分的な相互運用性の実現 標準順守による高度な相互運用性・可搬性の実現 エコシステム成長モデル図 2.4 リファレンスモデル定義 受け入れられないリスクとクラウドサービスのアーキテクチャやガバナンス体制を突合せするために、先ほど拡 張した相互運用性と可搬性を考慮したクラウド定義に対応したクラウドアーキテクチャを用意します。
  • 10.
    OSI 参照モデルをもとにインターフェース問題として考えた場合、2.3.1 でも言及しましたが、TCIReference Architecture v1.1 や NIST SP500-292 が想定しているような IaaS、PaaS、SaaS の入れ子構造は否定されます。 また、TCP/IP 階層モデルに当てはめて考えた場合は IaaS、PaaS、SaaS といった層構造はサービス層として統 合され、個別階層の区別は消失します。クラウド リファレンス アーキテクチャ v1.0 では抽象化粒度の違いを 意識し IDC などの市場推計分類との整合性を考慮して OSI 参照モデル準拠の階層モデルを採用しました。OSI 参照モデルに基づくクラウド階層モデルでは、IaaS が装備しているセルフマネジメントダッシュボードなどは SaaS として識別されます。定義が要求する適宜・適切の程度が、たとえば高い俊敏性をもったリスクに即応性 を以て対応したいとされる場合などは、即時、セルフサービスが必須要件となり、セルフマネジメントダッシュボ ードや API を装備したクラウドサービスを選択する必要があります。 クラウド リファレンス アーキテクチャ v1.0 では、NIST SP800-145 がクラウドの本質的特徴として定義した On-demand Self Service、Resource Pooling、Rapid elasticity、Measured Service の各性質の実現度について 定量的な要求は定義しませんでした。各性質の適切な実現度はネットワーク外部性が働く市場環境のもとで、 各アクターが相互作用することで決まる均衡点として表されると考えています。 アプリケーション SaaS アプリケーションプラットフォーム PaaS 論理通信機器 論理サーバ 論理ストレージ IaaS サービス 資源抽象化・管理 物理通信機器 物理サーバ 物理ストレージ ハードウェア ラック・ケーブルダクト サーバ室・データ保管室・管路 通信設備 電気設備 空調設備 建物 データセンター 設備 物理資源 サービスオーケストレーション クラウドリファレンスアーキテクチャ図 2.4.1 設備層 後述するハードウェア層と合せて物理資源層を構成します。データセンターとは、ハードウェア層に含 まれる物理資源を収容する建物全体またはその一部で、サーバ室・データ保管室・管路と通信設備、 電気設備、空調設備を備えたものをいいます。データセンターに加えてハードウェア層に含まれる物理 資源を収容するラック・ケーブルダクト等を総称して設備といいます。詳細について、手順の観点から は TIA-942 記載の定義や構造を参考にするとよいでしょう。また、要件の観点からは JDCC データセン ターファシリティスタンダードや UpTimeInstitute TIER が相互運用性と可搬性の検証手段として利用で きます。 2.4.2 ハードウェア層 前述のハードウェア層と合せて物理資源層を構成します。計算資源(物理サーバ)、記憶資源(物理ス トレージ)通信資源(物理通信機器)によって構成されます。設備層との界面はラックのマウントポジシ ョンと電源ケーブルのプラグ、通信ケーブルの端子となります。後述する資源抽象化・管理層によって 抽象化されますので構築主体からみると構成選択の自由度が高い層ですがハードウェア層の構成が 上位層の挙動特性に大きな影響を与えるため要件に応じた構成選択を慎重に行う必要があります。 2.4.3 資源抽象化・管理層 物理資源層を抽象化して後述するサービス層に提供する層となります。物理資源層の計算資源(サー バ)、記憶資源(ストレージ)、通信資源(通信機器)を管理し、仮想マシンなどの形態に抽象化して IaaS 層での利用を可能にします。サービス層に対する抽象化された物理資源の割り当て管理を含む構成
  • 11.
    管理と変更管理の機能も提供します。仮想化等によって資源抽象化と管理を行うプログラムを資源抽 象化・管理層としハードウェア層、サービス層との界面と認識されます。 2.4.4 サービス層 クラウドコンシューマが直接触れる IaaS、PaaS、SaaS で構成されます。抽象化粒度によって階層は識 別され、物理資源が提供する計算資源(サーバ)、記憶資源(ストレージ)、通信資源(通信機器)を物 理資源層と同一の粒度のまま、利用者の要求に応じて適宜・適切に配分する IaaS 層、IaaS 層を隠ぺ いしてアプリケーションプラットフォームとして提供する PaaS 層、PaaS 層を隠ぺいしてアプリケーション を提供する SaaS 層に分類されます。 2.5 リファレンスモデルから導出されるリスクドメイン構成 COBIT 4.1、HIPAA / HITECH Act、ISO/IEC 27001-2005、NIST SP800-53 R3、FedRAMP Security Controls、 PCI DSS v2.0、BITS Shared Assessments SIG v6.0、BITS Shared Assessments AUP v5.0、GAPP、Jericho Forum、NERC CIP、AICPA TS Map、AICPA Trust Service Criteria(掲載順は原資料まま)記載の各リスクドメイ ンモデルの互換性を一覧化している CSA Cloud Control Matrix のリスクドメインモデルを元に、経済産業省クラ ウドサービス利用のための情報セキュリティマネジメントガイドラインが指摘する各種リスクを分類すると 要件は 事業継続性管理・運用弾力性 サプライチェーン管理・透明性と説明責任 相互運用性と可搬性 法令と標準順守 にまとめられ、手順として 脅威と脆弱性管理 人的資源セキュリティ アイデンティティとアクセス管理 データセキュリティと情報ライフサイクル管理 暗号化と暗号鍵管理 セキュリティインシデント管理・電子証跡とクラウドフォレンジック 変更制御と構成管理 アプリケーションとインターフェースセキュリティ インフラストラクチャと仮想化セキュリティ データセンターセキュリティ にまとめることができます。これらの要素をコントロールエリアと呼びます。さらに個々のコントロールエリアは 複数のコントロールポイントで構成されています。 この要件と手順を COBIT に倣い、ガバナンスキューブに割り付けると以下のようになります。クラウド資源を手 順として実装したコントロールエリアで制御することによって要件となるコントロールエリアの目標が達成されま す。 事業 継続 性管 サプ 理・ 運用 ・透 ライ 弾力 明性 チ ェ 相互 と説 ーン 性 運用 明責 管理 要件 性と 任 可搬 法令 性 ・標 準順 守 脅威と脆弱性管理 人的資源セキュリティ アイデンティティ・アクセス管理 ビス サー データセキュリティ 理 クラウドフォレンジック 資源 管 手順 象 化・ 資 源抽 ェア ドウ ハー 設備 クラウドガバナンスキューブ図
  • 12.
    さらに手順に含まれるコントロールエリアをリファレンスアーキテクチャ上に実装として組み込むと割り当て階層 は以下の通りとなります。 キ ャリア クラウ ドシ ス テ ム オ ン プ レミス シ ス テ ム デ バ イス ア プ リケ ー シ ョン ア プ リケ ー シ ョン ア プ リケ ー シ ョン ア プ リケ ー シ ョン ア プ リケ ー シ ョン 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレ ー ジ ジ 論 理 論 理 論 理 論 理 サ ー バ論 理 サ ー バ 資 源 ネ ジ メン ト サ ー バ マ ス ト レ論 理 ス ト レ ー ジ ー 源 ー 論 ス トレ 資 ア プ リケ ー シ ョン セ ル フ ア プ リケ ー シ ョン ジ ジ ダ ッシ ュボ ー ド 論 理 通 ト フ ォ ー論 理 通 プ ラッ ム 論 理 通 信 機 器 信 機 器 信 機 器 論 理 論 理 論 理 論 理 サ ー バ サ ー バ API ス トレ ー ス トレー 論 理 通 論 理 通 論 理 通 ジ ジ 信 機 器 信 機 器 信 機 器 論 理 論 理 論 理 論 理 論 理 ネ ットワ ー ク資 源 ス ト レ論 理 ス ト レ ー レ ー 源 ー ス トジ 資 サ ー バ論 理 サ ー バ 資 源 サ ー バ ジ 論 ジ ア イ デ ン理 通 テ ィ ・ ア ク セ ス 管 理 論 テ ィ 論 理 通 論 理 通 信 機 器 信 機 器 信 機 器 デ ー タセ キ ュリテ ィ 暗 号 化 ・暗 号 情 報 ライフサ イ 論 理 論 理 論 理 論 理 鍵 管 理 クル 管 理 ス トレ ー ス トレ ー サ ー バ サ ー バ ジ ジ セ キ ュリテ ィイン シ デ ン ト管 理 クラウ ドフォレ ン ジ ック 論 理 論 理 論 理 論 理 サ ー バ論 理 サ ー バ 資 源 サ ー バ ス ト レ論 理 ス ト レ ー レ ー 源 ー 論 ス トジ 資 ジ ジ 電 子 証 跡 変 更 制 御 構 成 管 理 電 子 証 跡 変 更 制 御 構 成 管 理 論 理 資 源 プ ー ル 上 位 シ ス テ ム 同 等 シ ス テ ム 下 位 シ ス テ ム 移 動 体 イン ター 専 用 線 等 通 信 網 ネ ット 通 信 資 源 通 信 資 源 通 信 資 源 抽 象 化 ・ 抽 象 化 ・ 抽 象 化 ・ 管 理 理 物 管 理 理 物 管 理 理 物 通 信 通 信 通 信 物 理 サ ー バ 機 器 機 器 機 器 物 理 ス トレ ー ジ サ ー バ 資 源 抽 通 信 資 源 通 信 資 源 ス 物レ ー ジ 資 源 ト 理 ス トレ 象 化 ・ 管サ ー バ 物 理 理 抽 象 化 ・ 管 理 理 物 抽 象 化 ・ 管 理 理 物 抽 象 化 ・管 理 ー ジ 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ サ ー バ 資 源 抽 通 信 資 源 通 信 資 源 ス 物レ ー ジ 資 源 ト 理 ス トレ 象 化 ・ 管サ ー バ 物 理 理 抽 象 化 ・ 管 理 理 物 抽 象 化 ・ 管 理 理 物 抽 象 化 ・管 理 ー ジ 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ サ ー バ 資 源 抽 通 信 資 源 通 信 資 源 ス 物レ ー ジ 資 源 ト 理 ス トレ 象 化 ・ 管サ ー バ 物 理 理 抽 象 化 ・ 物 管 理 理 抽 象 化 ・ 物 管 理 理 抽 象 化 ・管 理 ー ジ 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 電 子 証 跡 物 理 ス トレ ー ジ 物 理 サ ー バ 変 更 制 御 電 子 証 跡 管 理 構 成 物 理 ス トレ ー ジ 変 更 制 御 構 成 管 理 物 理 資 源 プ ー ル 公 衆 ダ ー ク 専 用 線 等 回 線 ファイバ 通 信 設 備 ラック 通 信 設 備 ラック 電 気 設 備 空 調 設 備 サ ー バ 室 電 気 設 備 通 信 設 備 設 備 空 調 デ ー タ保 管 室 電 気 設 備 空 調 設 備 ラック ケ ー ブ ル ダ クト ラック サ ー バ 室 管 路 デ ー タ保 管 室 建 物 ラック ラック サ ー バ 室 デ ー タ保 管 室 設 備 クラウドレイヤーモデル図(部分) レイヤーモデルに割り当てた手順と要件の関係をリファレンスモデルで表現すると以下の通りとなります。 サプライチェーン管理・透明性と説明責任 相互運用性と可搬性 法令・標準順守 事業継続性管理・運用弾力性 アプリ・インターフェース モバイルセキュリティ アプリケーション 情報ライフサイクル管理 セキュリティ SaaS アプリケーションプラットフォーム 構成管理 PaaS セキュリティインシデント管理 データセキュリティ 論理通信機器 論理サーバ 論理ストレージ インフラストラクチャと仮想化セキュリティ 電子証跡 IaaS アイデンティティ・アクセス管理 サービス クラウドフォレンジック 人的資源セキュリティ 脅威と脆弱性管理 暗号化・暗号鍵管理 資源抽象化・管理 変更制御 物理通信機器 物理サーバ 物理ストレージ ハードウェア ラック・ケーブルダクト サーバ室・データ保管室・管路 データセンター セキュリティ 通信設備 電気設備 空調設備 建物 データセンター 設備 物理資源 ガバナンス・リスク管理 サービスオーケストレーション クラウドガバナンスマップ図
  • 13.
    データセンターセキュリティやインフラストラクチャと仮想化セキュリティ、アプリケーション・インターフェースセキ ュリティなどの構成要素個々のコントロールエリアがあり、変更制御、構成管理の結果を電子証跡によって記 録しセキュリティインシデント管理を実現し、セキュリティインシデント管理と構成要素個々のコントロールと組み 合わせてクラウドフォレンジックを実現します。暗号化・暗号鍵管理と情報ライフサイクル管理を利用してデータ セキュリティを実現し、これら機能群にアイデンティティ・アクセス管理と人的資源セキュリティを加えて脅威と脆 弱性管理を総合的に行うことでガバナンス・リスク管理を実現する構成となっています。 2.6 リスクドメイン解説 2.6.1 要件 2.6.1.1 事業継続性管理・運用弾力性 事業継続性管理とは、価値創造活動を維持するために、事業中断リスクを識別して危害の発生 を抑止または回避する能力をいい、運用弾力性とは、抑止または回避できない危害への対応ま たは復旧能力をいいます。利用者の要求に応じて適宜・適切に配分し,ネットワークを通じて提 供されるクラウドサービスにおける事業継続性管理と運用弾力性の確保には運用中心の視点 が欠かせません。クラウドサービスにおけるライフサイクルは以下の五つの要素で構成されて います。 開発サイクル オーダーサイクル 運用サイクル 監査サイクル インシデントサイクル 各サイクルはそれぞれ固有の PDCA サイクルを持ち、固有 PDCA サイクルの 2 点で中心となる 運用サイクルと接続しています。 C D 開発 オーダー D A P C サイクル サイクル P P A P Plan D Do 運用 A D サイクル C Check A Action A C P インシデント 監査 C P A D サイクル サイクル D C クラウドライフサイクル図 高度な事業継続性管理と運用弾力性を求める場合データセキュリティと情報ライフサイクル管 理コントロール群とセキュリティインシデント管理・電子証跡とクラウドフォレンジックコントロール 群がクラウドサービス全体で精密に実施されている必要があり、その制御のためにセルフマネ ジメントダッシュボードや API の利用が必要になるでしょう。 2.6.1.2 相互運用性と可搬性 相互運用性とは、特定のデータ形式に基づくデータ交換性であってインターフェース一貫性をい い、可搬性とは異なる環境への移しやすさをいいます。利用者がディザスタリカバリを含む高可 用性の確保やベンダーロックインリスクの排除を求める場合、または特定のクラウドプロバイダ でのサイジング上限によって事業成長が阻害されている場合、相互運用性と可搬性の確保が 重要になります。
  • 14.
    特に高可用性の確保を図る場合は何らかの理由で利用できなくなった資源の代替資源確保と 復旧作業のための作業資源確保、復旧後の切り戻し作業を無停止で行うためのローリングアッ プデート能力も必要になるでしょう。 障害時の資源代替とリカバリ作業資源確保 広域資源代替が可能になると資源稼働率向上も狙える。(伝送遅延制約は残る) 代替資源が不足すると最悪の場合、輻輳崩壊が起こる 正常稼働資源 迂回資源要求 予備資源 迂回資源引当 障害被害 復旧作業資源 相互運用性・可搬性が確保されたクラウドエコシステムにおける運用弾力性モデル図 2.6.1.3 サプライチェーン管理・透明性と説明責任 資源、材料の調達に始まり、製品・サービスの出荷を経て輸送手段(陸上・海上を含む)を通じ てエンドユーザーにまで及ぶプロセスをサプライチェーンといい、透明性と説明責任とは、サプラ イチェーンに含まれる個々のプロセス活動結果についての合理的な報告義務と報告内容の検 証可能性の担保をいいます。モデルとしての相互運用性では事業者相互の接続がフルメッシュ となっていますが、実際に市場で提供されているサービスの相互運用性は提供主体個々の事 業戦略や制約条件によってランダムネットワーク構造となります。 木構造グラフ 単純グラフ 完全グラフ ランダムグラフ (n部グラフ) ネットワーク(グラフ)バリエーション図 ノードとリンクの関係で表現できる構造はグラフ理論を利用して表現します。インターネットはス ケールフリー性とスモールワールド性、クラスター性を備えたランダムネットワークであることが 知られています。このような構造を持つため、発側サービスから着側サービスまで複数のサービ スを中継しないと到達できない場合も想定されます。このように中継事業者を介在した接続を行 う場合、中継事業者すべてを含むサプライチェーンの信頼性が確保されないと中間者攻撃リス クが顕在化してしまいます。また、発サービスと着サービス間を受け入れ可能なリスクの範囲で 接続する経路が存在しない場合、クラウドブローカなどの業態を介した接続を行うことも想定で きます。これらサプライチェーン全体の管理と透明性確保を通して説明責任を果たすために標 準に準拠した相互運用性と可搬性を確保した監査制度とサプライチェーンに対して中立な第三 者としてのクラウドオーディタが必要になります。
  • 15.
    ン コ O 1' シ ン ュ シ ー ュ マ ー B社 B社 ’ マ B社 オ ’ ー O 1' デ O1 ィタ ブ C社 ー A社 C社 A社 ロ A社 C社 ー カ ー F社 D社 F社 D社 F社 D社 O 1' O1' E社 E社 E社 コ ン コ シ ン ュ シ O 1' ー ュ マ ー プロバイダ相互運用 マ 相互運用環境下での 実環境はランダム 性・可搬性の不備を 可搬性 ネットワーク構造 補うアクターを挿入 A社 C社 D社 B社 D社 B社 F社 E社 C社 任意の到達先への経 ブローカーを介した 路・互換性確保は担 相互運用性・可搬性 保されていない の向上 サプライチェーンに含まれるすべての 事業者が同一の基準に基づいて監査 され監査結果が共有されることで透明 性が担保される アクター連携およびサプライチェーンの透明性確保のための監査連携モデル図 2.6.1.4 法令と標準遵守 公平性や誠実性など普遍的倫理観に基づいて、組織の活動が社会及び環境に及ぼす影響に 対して社会的責任を果たし、利害関係者へ配慮した対応を行い、各国の法令を尊重し順守し、 国際的行動規範と人権を尊重することをいいます。クラウド リファレンス アーキテクチャ v1.0 は、クラウドサービス個々の約款に規定される準拠法やデータセンター立地やデータ由来によっ て強制適用される各国法の問題に対して技術的に中立ですので、本文書ではクラウド リファレ ンス アーキテクチャ v1.0 に基づくクラウドサービス実装が遵守すべき標準について記述しま す。 標準には国際標準、地域標準、国内標準を含む公的標準と任意の団体による公開された標準 であるフォーラムスタンダード、任意の団体による非公開の標準であるコンソーシアムスタンダ ードと事実上の標準と訳されるデファクトスタンダードがあります。また、デファクトスタンダードを 除く各標準は総称してコンセンサススタンダードと呼ばれます。 下図では上位にフォーマル、下位にインフォーマルな標準を配置して各標準の位置づけを図示 しています。従来は 1865 年成立の万国電信連合を祖とする ITU 標準などのインターナショナル スタンダードなどのデジュールスタンダードは国の代表などが集まって課題発見と将来予見を行 い標準化を進め市場を誘導するダウンストリーム活動が中心でしたが、昨今は PC やインターネ ットの関連規格の例など標準化活動メンバー個々の利益追求が原動力となり、デファクトスタン ダードとしての地位を市場での競争によって獲得した規格がインターナショナルスタンダードに 採用される例も増えています。このようなアップストリーム活動の結果インターナショナルスタン ダードに採用されたクラウド関連の規格の例として OASIS が策定し ISO/IEC 29362 として国際 標準化された WS-I や、Common Criteria が策定し ISO/IEC 15408 となった CC、TM Forum が策 定し ITU-T M.3190 となった SID などが挙げられます。
  • 16.
    フォーマル標準 ダウンストリーム活動 インターナショナル・スタンダード (国際標準) リージョナル・スタンダード コンセンサス・スタンダード (地域標準) (合意に基づく標準) ドメスティック・スタンダード (国内標準) デジュール・スタンダード (公的標準) フォーラム・スタンダード (任意の団体による公開された標準) コンソーシアム・スタンダード (任意の団体による非公開標準) デファクト・スタンダード インフォーマル標準 アップストリーム活動 (事実上の標準) ダウンストリーム活動:課題発見と将来予見に基づく標準誘導 アップストリーム活動:標準化活動参加メンバー個々の利益追求 スタンダード分類モデル図 クラウドサービスはリファレンスアーキテクチャやレイヤーモデルで示したようにサービスを構成 する要素がさまざまな分野に及んでおり、ここに挙げたあらゆる標準が何らかの形で関与してい ます。ここでは以下に公開されている標準を例示しておきます。
  • 17.
    団体 規格・組織 ポインタ 定義・原則 要件・手順関連定義 ISO/IEC ISO/IEC Guide51:1999 Safety aspects -- Guidelines for their http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detai inclusion in standards l.htm?csnumber=32893 ISO/IEC ISO/IEC 25000:2005 Software Engineering -- Software product http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detai Quality Requirements and Evaluation (SQuaRE) -- Guide to l.htm?csnumber=35683 SQuaRE ISO ISO 26000:2010 Guidance on social responsibility http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detai l.htm?csnumber=42546 クラウド定義 NIST NIST SP800-145 Definition of Cloud Computing http://csrc.nist.gov/publications/nistpubs/800-145/SP800- 145.pdf リファレンスアーキテクチャ NIST NIST SP500-292 Cloud Computing Reference Architecture http://www.nist.gov/customcf/get_pdf.cfm?pub_id=909505 CSA TCI Referene Architecture https://cloudsecurityalliance.org/wp- content/uploads/2011/10/TCI-Reference-Architecture-v1.1.pdf The Open Group The Open Group Architecture Framework (TOGAF) http://www.opengroup.org/togaf/ The Open Group Service-Oriented Cloud Computing Infrastructure (SOCCI) https://www2.opengroup.org/ogsys/jsp/publications/PublicationD Framework etails.jsp?publicationid=12510 ISO/IEC JTC 1/SC 38 Distributed Application Platforms and Services (DAPS) http://www.iso.org/iso/jtc1_sc38_home ITU ITU-T SG13: Future networks including cloud computing, mobile http://www.itu.int/en/ITU-T/studygroups/2013- and next-generation networks 2016/13/Pages/default.aspx 要件 ガバナンス COSO Committee of Sponsoring Organizations of the Treadway http://www.coso.org/ Commission (COSO) ISACA COBIT5 http://www.isaca.org/COBIT/Pages/default.aspx UK Cabinet Office e-Government Interoperability Framework http://www.fiorano.com/docs/solutions_e-GIF-guidelines.pdf BSI Governance Framework http://www.bsigroup.com/en-GB/about-bsi/governance/ 相互運用性・可搬性 OASIS Topology and Orchestration Specification for Cloud Applicationshttps://www.oasis- (TOSCA) open.org/committees/tc_home.php?wg_abbrev=tosca OASIS Public Administration Cloud Requirements (PACR) https://www.oasis- open.org/committees/tc_home.php?wg_abbrev=pacr IPA 情報システムに係る相互運用性フレームワーク http://www.ipa.go.jp/software/open/ossc/doc/inope_framework.p df TM Forum Information Framework (SID) http://www.tmforum.org/InformationFramework/1684/Home.html ITU ITU-T M.3190 Shared information and data model (SID) http://www.itu.int/ITU-T/recommendations/rec.aspx?id=9541 サブライチェーン管理 TM Forum Business Process Framework (eTOM) http://www.tmforum.org/BusinessProcessFramework/1647/hom e.html TM Forum Application Framework (TAM) http://www.tmforum.org/ApplicationFramework/2322/Home.html 透明性・説明責任 IFAC International Standard on Assurance Engagements (ISAE) No. http://www.ifac.org/sites/default/files/downloads/b014-2010- 3402 iaasb-handbook-isae-3402.pdf ISO/IEC ISO/IEC 20000 (ITSMS) 情報技術-サービスマネジメント- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detai (1,2,3,4,5) l.htm?csnumber=51986 手順 セキュリティ CSA Cloud Security Guideline v3.0 https://downloads.cloudsecurityalliance.org/initiatives/guidance/ csaguide.v3.0.pdf CSA CSA Cloud Controls Matrix v3.0 PEER REVIEW https://interact.cloudsecurityalliance.org/index.php/ccm/index PCI Data Security Standards (PCIDSS) https://www.pcisecuritystandards.org/security_standards/ ENISA Cloud Computing Security Risk Assessment http://www.enisa.europa.eu/activities/risk- management/files/deliverables/cloud-computing-risk- assessment METI クラウドサービス利用のための情報セキュリティマネジメントガイドラ http://www.meti.go.jp/press/2011/04/20110401001/201104010 イン 01-3.pdf ISO/IEC ISO/IEC 27000 (ISMS) 情報技術-セキュリティ技術-情報セキュ http://www.webstore.jsa.or.jp/webstore/ISO/FlowControl.jsp リティマネジメントシステム ISO/IEC ISO/IEC 27017 Information technology Security techniques http://www.iso27001security.com/html/27017.html Security in cloud computing (DRAFT) Common Criteria CC/CEM バージョン3.1 リリース4 http://www.ipa.go.jp/security/jisec/cc/index.html ISO/IEC ISO/IEC 15408 Information technology -- Security techniques - http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detai - Evaluation criteria for IT security -- (1,2,3) l.htm?csnumber=50341 CWE Common weakness Enumeration http://cwe.mitre.org/index.html 資源 サービス層 OWASP The Open Web Application Security Project https://www.owasp.org/index.php/Main_Page OASIS Identity in the Cloud https://www.oasis- open.org/committees/tc_home.php?wg_abbrev=id-cloud OASIS Symptoms Automation Framework (SAF) http://www.oasis- open.org/committees/tc_home.php?wg_abbrev=saf OASIS Cloud Authorization (CloudAuthZ) https://www.oasis- open.org/committees/tc_home.php?wg_abbrev=cloudauthz OGF/OCCI Open Cloud Computing Interface - RESTful HTTP Rendering http://www.ogf.org/documents/GFD.185.pdf OASIS OASIS Web Services Security https://www.oasis- open.org/committees/tc_home.php?wg_abbrev=wss ISO/IEC ISO/IEC 29361:2008 Web Services Interoperability - WS-I Basic http://www.iso.org/iso/catalogue_detail.htm?csnumber=45422 Profile Version 1.1 ISO/IEC ISO/IEC 29362:2008 Web Services Interoperability - WS-I http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_det Attachments Profile Version 1.0 ail.htm?csnumber=45423 ISO/IEC ISO/IEC 29363:2008 Web Services Interoperability - WS-I Simple http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_det SOAP Binding Profile Version 1.0 ail.htm?csnumber=45424 TM Forum Frameworx http://www.tmforum.org/TMForumFrameworx/1911/Home.html 資源抽象化・管理層 DMTF Open Virtualization Format (OVF) http://dmtf.org/standards/ovf DMTF Cloud Infrastructure Management Interface (CIMI) http://dmtf.org/sites/default/files/standards/documents/DSP20 27_1.0.1.pdf SNIA Cloud Data Management Interface (CDMI) http://www.snia.org/tech_activities/standards/curr_standards/cd mi OGF/OCCI・SNIA Cloud Storage for Cloud Computing http://ogf.org/Resources/documents/CloudStorageForCloudCom puting.pdf ONF Open Flow https://www.opennetworking.org/standards/intro-to-openflow OASIS Cloud Application Management for Platforms (CAMP) https://www.oasis- open.org/committees/tc_home.php?wg_abbrev=camp OGF/OCCI Open Cloud Computing Interface - Core http://ogf.org/documents/GFD.183.pdf OGF/OCCI Open Cloud Computing Interface - Infrastructure http://ogf.org/documents/GFD.184.pdf ハードウェア層 OCP Open Compute Project http://www.opencompute.org/ 設備層 TIA ANSI/TIA 942-2005 Telecommunications Infrastructure Standard http://global.ihs.com/tia_telecom_infrastructure.cfm?currency_cod for Data Centers e=USD&customer_id=21254A2A5C0A&oshid=21254A2A540A&sho pping_cart_id=21254A2A530A&rid=TIA&country_code=US&lang_co de=ENGL&input_doc_number=%20&input_doc_title=%20 UTI Uptime Institute Tier Certifications http://uptimeinstitute.com/TierCertification/ Open DataCenter Alliance Master Usage Model: Commercial framework REV 1.0 http://www.opendatacenteralliance.org/docs/ODCA_Commercial_ Framework_MasterUM_v1.0_Nov2012.pdf JDCC データセンターファシリティスタンダード http://www.jdcc.or.jp/news/article.php?nid=eccbc87e4b5ce2fe28 308fd9f2a7baf3&sid=81 参考 規格間調整組織 NIST Standards Acceleration to Jumpstart the Adoption of Cloud http://collaborate.nist.gov/twiki-cloud- Computing computing/bin/view/CloudComputing/SAJACC ITU Joint Coordination Activity on Cloud Computing (JCA-Cloud) http://www.itu.int/en/ITU-T/jca/Cloud/Pages/default.aspx ETSI Cloud Standards Coordination http://www.etsi.org/news-events/news/614-201212-cloudsp ユースケース・ワークフロー The Open Group Business Scenario Workshop Report http://www.opengroup.org/cloud/whitepapers/bsw/index.htm ARTS Cloud Computing for Retail http://www.nrf-arts.org/content/whitepapers クラウド関連標準一覧
  • 18.
    2.6.2 手順 リファレンスアーキテクチャでの手順化されたコントロールエリアの挙動は下図のようになります。以下、 各コントロールエリアについて解説します。 情報ライフサイクル管理 構成管理 インフラストラクチャと仮想化セキュリティ セキュリティインシデント管理 データセンターセキュリティ データセキュリティ 電子証跡 データ アイデンティティ・アクセス管理 アプリ・インターフェース 暗号化・暗号鍵管理 変更制御 セキュリティ ユーザー プログラム 人的資源セキュリティ クラウドフォレンジック 脅威と脆弱性管理 サプライチェーン管理・透明性と説明責任 相互運用性と可搬性 法令・標準順守 事業継続性管理・運用弾力性 ガバナンス・リスク管理 クラウドガバナンスコントロールエリア挙動モデル図 2.6.2.1 アプリケーションとインターフェースセキュリティ 最低限、アプリケーション毎に OWASP または同等のセキュリティフレームワークに準拠したサー ビス層でのユーザー資格およびパスワードコントロールの自動化された実装をします。アイデン ティティとアクセス管理との連携を推奨します。 2.6.2.2 アイデンティティとアクセス管理 資源および手順として識別されるすべての要素に対して OWASP ESAPI を参照し、紛失、誤用、 不正アクセス、開示、改ざんおよび破壊を含む脅威から資産やデータを保護するために自動化 されたアクセス管理技術と物理的な保護手段を実装します。また、資産やデータ、アクセス権限 の組み合わせによって構成されるロールと利用者の本人性確認手法を適切に実装します。 2.6.2.3 暗号化と暗号鍵管理 資源および手順として識別されるすべての要素について、紛失、誤用、不正アクセス、開示、改 ざんおよび破壊を含む脅威からデータを保護するために暗号化技術と物理的な保護手段の実 装が必要です。また、データとアクセス権限の組み合わせによって構成されるロールと利用者の 本人性確認手法によって暗号鍵を適切に管理します。 2.6.2.4 データセキュリティと情報ライフサイクル管理 資源および手順として識別されるすべての要素について、規制、法令、契約やビジネス要件へ の適合性を確保するために、資産やデータにコントロール ID を付与する必要があります。コント ロール ID は標準データモデルに従った分類ラベル、変更履歴、構成情報、制約条件等の情報 を保持するための自動化された管理手段を備えます。
  • 19.
    2.6.2.5 変更制御と構成管理 資源および手順として識別されるすべての要素について、資産やデータの初期構成はコントロ ール ID に付与された構成情報によって管理されます。資産やデータの変更は、事前に定められ た手続きに従ったテスト結果が適正な承認権限のもとに承認されるまでテスト対象となった資産 やデータの変更は、本番環境に適用することはできません。テスト結果が承認され変更された 資産やデータの状態は変更履歴としてコントロール ID に追加されます。変更制御、構成管理と もにポリシーベース管理することを推奨します。 2.6.2.6 セキュリティインシデント管理・電子証跡とクラウドフォレンジック 資源および手順として識別されるすべての要素について、データセキュリティと情報ライフサイク ル管理に格納された、変更制御と構成管理にかかる情報は電子証跡として管理します。電子証 跡を利用して時系列にコントロール ID の状態を比較することによって、紛失、誤用、不正アクセ ス、開示、改ざんおよび破壊といった顕在化した脅威(セキュリティインシデント)の検出と原因 究明などのクラウドフォレンジック手段を実装します。 2.6.2.7 インフラストラクチャと仮想化セキュリティ 変更制御と構成管理の対象となる資産のうち、サーバ、ストレージ、通信機器それぞれの資源 抽象化・管理機能によって構築される論理サーバ資源、論理ストレージ資源、論理ネットワーク 資源を利用者の要求に応じて適宜・適切に論理サーバ、論理ストレージ、論理通信機器、プラッ トフォーム、アプリケーションまたはこれらを組み合わせたサービスとして提供するオーケストレ ーションについて、事前に定められた制約条件に従って自動化された実行と管理の手段を実装 します。 2.6.2.8 データセンターセキュリティ 物理資源として識別されるすべての要素を紛失、誤用、不正アクセス、開示、改ざんおよび破壊 を含む脅威から保護するために、物理的セキュリティ境界(塀、壁、障壁、ガード、ゲート、電子 監視、物理的な認証メカニズム、レセプションデスク、セキュリティパトロール)を実装します。物 理的セキュリティ境界によって隔離された物理資源に対する物理的アクセスは適切な物理アク セス管理手段によって保護します。物理的セキュリティ境界は保護領域、検疫領域、公開領域 の三層以上を設定することを推奨します。 2.6.2.9 人的資源セキュリティ アイデンティティとアクセス管理またはデータセンターセキュリティで規定されるアクセス管理の 対象となる資産またはデータへあらゆるアクセス権限の付与にあたっては法令と標準順守およ び規制、倫理、契約制約に基づき雇用候補、雇用者、請負業者や第三者も含めて事前に適切 な水準の背景調査を行います。 2.6.2.10 脅威と脆弱性管理 アプリケーションとインターフェースセキュリティ、アイデンティティとアクセス管理、暗号化と暗号 鍵管理、データセキュリティと情報ライフサイクル管理、変更制御と構成管理、セキュリティイン シデント管理・電子証跡とクラウドフォレンジック、インフラストラクチャと仮想化セキュリティ、デ ータセンターセキュリティ、人的資源セキュリティの各コントロール領域について詳細なコントロ ールポリシー(情報セキュリティポリシー文書)を作成します。また、経営者は承認した情報セキ ュリティポリシー文書を従業員、請負業者、およびその他の関連する外部関係者に公開します。 情報セキュリティポリシーは役員、従業員、請負業者、およびその他の関連する外部関係者を 含むセキュリティプログラムによってサポートします。情報セキュリティポリシー文書ならびに情 報セキュリティプログラムは継続的な有効性と正確性を確保するために最低限でも年に一回は 再評価を実施します。再評価結果は公開を推奨します。 2.6.2.11 ガバナンス・リスク管理 事業継続性管理・運用弾力性、相互運用性と可搬性、サプライチェーン管理・透明性と説明責 任、法令と標準順守および脅威と脆弱性管理の各コントロール領域について詳細なサービス仕 様を作成します。また、経営者は承認したサービス仕様を公開します。サービス品質はサービス 仕様に基づいて第三者に検証可能となっていることを推奨します。サービス品質は継続的な有 効性と正確性を確保するために常時計測し公開することを推奨します。
  • 20.
    2.6.3 資源 サービスオーケストレーションの対象となる設備層、ハードウェア層、資源抽象化・管理層、サービス層 に含まれるすべての資産やデータを総称して資源といいます。手順として実装をもつコントロールエリ アもその実装については資源と認識されます。 キ ャ リ ア ク ラ ウ ドシ ス テ ム オ ン プ レ ミス シ ス テ ム デ バ イ ス ア プ リ ケ ー シ ョン ア プ リケ ー シ ョン 脅 威 と 脆 弱 性 管 理 モ バ イ ル セ キ ュ リテ ィ ア プ リ ケ ー シ ョン ア プ リ ケ ー シ ョン ア プ リ ケ ー シ ョン 事 業 継 続 性 管 理 ・運 用 弾 力 性 ア プ リ ・イ ン タ ー フ ェ ー ス セ キ ュ リ テ ィ 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 ア プ リ ケ ー シ ョン セ ル フ マ ネ ジ メン ト ア プ リケ ー シ ョン ダ ッシ ュ ボ ー ド API 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 モ バ イ ル セ キ ュ リテ ィ プ ラ ッ トフ ォ ー ム 相 互 運 用 性 と 可 搬 性 ア プ リ ・イ ン タ ー フ ェ ー ス 法 令 ・標 準 順 守 セ キ ュ リ テ ィ 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 ア イ デ ン テ ィテ ィ・ア ク セ ス 管 理 デ ー タ セ キ ュ リテ ィ 暗 号 化 ・暗 号 情 報 ラ イ フ サ イ 鍵 管 理 ク ル 管 理 セ キ ュ リ テ ィイ ン シ デ ン ト管 理 ク ラ ウ ドフ ォ レ ン ジ ック 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレ ー ジ ジ 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレ ー ジ ジ 論 理 通 論 理 通 論 理 通 信 機 器 信 機 器 信 機 器 脅 威 と 脆 弱 性 管 理 論 理 論 理 論 理 論 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と サ ー バ サ ー バ ス トレ ー ス トレ ー 説 明 責 任 論 理 通 論 理 通 論 理 通 ジ ジ イ ン フ ラ ス トラ ク チ ャ と 信 機 器 信 機 器 信 機 器 相 互 運 用 性 と 可 搬 性 仮 想 化 セ キ ュ リ テ ィ 論 理 論 理 論 理 論 理 法 令 ・標 準 順 守 サ ー バ サ ー バ ス トレ ー ス トレ ー 論 理 通 論 理 通 論 理 通 ジ ジ 人 的 資 源 セ キ ュ リ テ ィ 信 機 器 信 機 器 信 機 器 ガ バ ナ ン ス ・リ ス ク 管 理 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレ ー ジ ジ 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレ ー ジ ジ 電 子 証 跡 変 更 制 御 構 成 管 理 論 理 サ ー バ 資 源 論 理 ス トレ ー ジ 資 源 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 論 理 ネ ッ トワ ー ク 資 源 相 互 運 用 性 と 可 搬 性 イ ン フ ラ ス トラ ク チ ャ と 論 理 サ ー バ 資 源 論 理 ス トレ ー ジ 資 源 仮 想 化 セ キ ュ リ テ ィ 法 令 ・標 準 順 守 人 的 資 源 セ キ ュ リテ ィ ガ バ ナ ン ス ・リ ス ク 管 理 論 理 サ ー バ 資 源 論 理 ス トレ ー ジ 資 源 電 子 証 跡 変 更 制 御 構 成 管 理 論 理 資 源 プ ー ル 通 信 資 源 通 信 資 源 通 信 資 源 抽 象 化 ・ 抽 象 化 ・ 抽 象 化 ・ 管 理 管 理 管 理 サ ー バ 資 源 抽 通 信 資 源 通 信 資 源 ス トレ ー ジ 資 源 象 化 ・管 理 抽 象 化 ・ 抽 象 化 ・ 抽 象 化 ・管 理 管 理 管 理 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 相 互 運 用 性 と 可 搬 性 イ ン フ ラ ス トラ ク チ ャ と 通 信 資 源 通 信 資 源 仮 想 化 セ キ ュ リ テ ィ サ ー バ 資 源 抽 抽 象 化 ・ 抽 象 化 ・ ス トレ ー ジ 資 源 法 令 ・標 準 順 守 象 化 ・管 理 管 理 管 理 抽 象 化 ・管 理 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 サ ー バ 資 源 抽 通 信 資 源 通 信 資 源 ス トレ ー ジ 資 源 象 化 ・管 理 抽 象 化 ・ 抽 象 化 ・ 抽 象 化 ・管 理 管 理 管 理 電 子 証 跡 変 更 制 御 構 成 管 理 上 位 シ ス テ ム 同 等 シ ス テ ム 下 位 シ ス テ ム 移 動 体 イ ン タ ー 専 用 線 等 通 信 網 ネ ット 物 理 物 理 物 理 通 信 通 信 通 信 物 理 サ ー バ 機 器 機 器 機 器 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 物 理 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 脅 威 と 脆 弱 性 管 理 物 理 サ ー バ 物 理 ス トレ ー ジ サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 モ バ イ ル セ キ ュ リ テ ィ 物 理 サ ー バ 物 理 ス トレ ー ジ 相 互 運 用 性 と 可 搬 性 物 理 物 理 デ ー タ セ ン タ ー 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 法 令 ・標 準 順 守 セ キ ュ リテ ィ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 人 的 資 源 セ キ ュ リテ ィ 物 理 サ ー バ 物 理 ス トレ ー ジ ガ バ ナ ン ス ・リ ス ク 管 理 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 物 理 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 電 子 証 跡 物 理 ス トレ ー ジ 変 更 制 御 構 成 管 理 物 理 資 源 プ ー ル 通 信 設 備 ラ ック 電 気 設 備 空 調 設 備 ラ ッ ク 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 ケ ー ブ ル ダ ク ト 相 互 運 用 性 と 可 搬 性 デ ー タ セ ン タ ー ラ ッ ク ラ ッ ク セ キ ュ リ テ ィ 法 令 ・標 準 順 守 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 ラ ック ラ ッ ク 通 信 設 備 サ ー バ 室 電 気 設 備 空 調 設 備 デ ー タ 保 管 室 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 管 路 相 互 運 用 性 と 可 搬 性 デ ー タ セ ン タ ー サ ー バ 室 デ ー タ 保 管 室 セ キ ュ リ テ ィ 法 令 ・標 準 順 守 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 サ ー バ 室 デ ー タ 保 管 室 公 衆 ダ ー ク 専 用 線 等 回 線 フ ァ イ バ 通 信 設 備 電 気 設 備 空 調 設 備 脅 威 と 脆 弱 性 管 理 サ プ ラ イ チ ェ ー ン 管 理 ・透 明 性 と 説 明 責 任 相 互 運 用 性 と 可 搬 性 デ ー タ セ ン タ ー 建 物 セ キ ュ リ テ ィ 法 令 ・標 準 順 守 人 的 資 源 セ キ ュ リ テ ィ ガ バ ナ ン ス ・リ ス ク 管 理 設 備 クラウドリファレンスアーキテクチャレイヤーモデル図 2.6.3.1 設備層と要件・手順の関係 手順および要件の観点から見て必須となる設備層でのセキュリティ対策は従来の情報セキュリ ティ施策の範囲を超えません。ただし構成面では、事業継続性管理・運用弾力性コントロールエ リアの要件を高い水準で実現し、高可用性の実現を考慮した場合、変更制御と構成管理コント ロールエリアを意識して本番環境とテスト環境が分離された、冗長構成を持った設備構成が必 要となります。ローリングアップデート等による無停止運用を含む高可用性を実現する設備層を 実現する際の冗長構成は n+1 構成となり最小限、設備を三重冗長させることになります。 法令・基準順守コントロールエリアの観点から見ると設備層の基底となる建物の立地選定にあ たっては立地場所の適用法規と事業戦略の適合性検討が重要です。また、相互運用性と可搬 性コントロールエリアの観点から見ても伝送遅延の大きさは光速度不変の法則に従い、利用者 の所在地と立地場所の距離の隔たりが最大の決定要因となるためサービス品質に影響を与え る重要な要素となります。 公衆 ダーク 専用線等 回線 ファイバ 通信設備 電気設備 空調設備 サーバ室 データ保管室 ラック ラック 建物 管路 サーバ室 データ保管室 ケーブルダクト ラック ラック サーバ室 データ保管室 ラック ラック 設備 脅威と脆弱性管理 サプライチェーン管理・透明性と 説明責任 データセンター 相互運用性と可搬性 セキュリティ 法令・標準順守 人的資源セキュリティ ガバナンス・リスク管理 設備層(三層)
  • 21.
    2.6.3.2 ハードウェア層と要件・手順の関係 手順の観点から見ると必須となるハードウェア層でのセキュリティ対策は従来の情報セキュリテ ィ施策の範囲を超えません。ただし構成面では、事業継続性管理・運用弾力性コントロールエリ アの要件を高い水準で実現し、高可用性の実現を考慮した場合、変更制御と構成管理コントロ ールエリアを意識して本番環境とテスト環境が分離された、冗長構成を持ったハードウェア構成 が必要となります。ローリングアップデート等による無停止運用を含む高可用性を実現するハー ドウェア層を実現する際の冗長構成は n+1 構成となり最小限、ハードウェアを三重冗長させるこ とになります。 要件の観点から見ると市販製品を利用してハードウェア層を構成する場合のリスクは従来通り ほぼ外部化できているといえます。オープンソースのハードウェアなどを利用してハードウェア層 を構成する場合は、輸出規制法令や製品安全関係法令、技術基準適合認定、各種標準準拠な どの担保が自己責任となり、市販製品利用と比較して、自由と責任負担のトレードオフおよび、 開発コストおよびリスク負担と製品価格の間にトレードオフの関係が成り立ちます。 上位システム 同等システム 下位システム 移動体 インター 専用線等 通信網 ネット 物理 物理 物理 通信 通信 通信 物理サーバ 機器 機器 機器 物理ストレージ 物理サーバ 物理ストレージ 物理 物理 物理サーバ 通信 通信 物理ストレージ 機器 機器 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理 物理 物理サーバ 通信 通信 物理ストレージ 機器 機器 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理 物理 物理サーバ 通信 通信 物理ストレージ 機器 機器 物理サーバ 物理ストレージ 物理サーバ 電子証跡 物理ストレージ 変更制御 構成管理 物理資源プール 脅威と脆弱性管理 サプライチェーン管理・透明性と 説明責任 モバイルセキュリティ 相互運用性と可搬性 データセンター 法令・標準順守 セキュリティ 人的資源セキュリティ ガバナンス・リスク管理 ハードウェア層 ハードウェア層を構成する物理サーバ、物理ストレージ、物理通信機器の接続構成は資源抽象 化・管理層の実装構成とパフォーマンス特性に直接影響しサービス品質特性の決定に重要な 影響を与えます。機器構成と接続構成は事業戦略の要求と要件および手順の制約を考慮して 決定します。さらに機器構成と接続構成は資源抽象化・管理層の構成と合せてクラウドサービス のスケールアウト性能を決定する最大の要因でもあります。 上位システム 同等システム 下位システム 上位システム 同等システム 下位システム 上位システム 同等システム 下位システム 上位システム 同等システム 下位システム 移動体 インター 移動体 インター 移動体 インター 移動体 インター 専用線等 専用線等 専用線等 専用線等 通信網 ネット 通信網 ネット 通信網 ネット 通信網 ネット 物理 物理 物理 物理 物理 物理 通信 通信 通信 通信 通信 通信 物理サーバ 機器 機器 機器 物理ストレージ 物理サーバ 機器 機器 機器 物理ストレージ 物理 物理 物理 物理 物理 物理 通信 通信 通信 通信 通信 通信 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 機器 機器 機器 機器 機器 機器 物理 物理 物理 物理 物理サーバ 通信 通信 物理ストレージ 物理サーバ 通信 通信 物理ストレージ 機器 機器 機器 機器 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理 物理 物理 物理 物理サーバ 通信 通信 物理ストレージ 物理サーバ 通信 通信 物理ストレージ 物理 物理 物理 機器 機器 機器 機器 通信 通信 通信 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 機器 機器 機器 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理 物理 物理 物理 物理サーバ 通信 通信 物理ストレージ 物理サーバ 通信 通信 物理ストレージ 機器 機器 機器 機器 物理サーバ 物理ストレージ 物理サーバ 物理ストレージ 物理サーバ 電子証跡 物理ストレージ 物理サーバ 電子証跡 物理ストレージ 電子証跡 電子証跡 変更制御 構成管理 変更制御 構成管理 変更制御 構成管理 変更制御 構成管理 物理資源プール 物理資源プール 物理資源プール 物理資源プール ハードウェア層接続バリエーション図
  • 22.
    2.6.3.3 資源抽象化・管理層と要件・手順の関係 手順の観点から見ると必須となる資源抽象化・管理層でのセキュリティ対策は従来の情報セキ ュリティ施策の範囲を超えません。ただし構成面では、事業継続性管理・運用弾力性コントロー ルエリアの要件を高い水準で実現し、高可用性の実現を考慮した場合、変更制御と構成管理コ ントロールエリアを意識して本番環境とテスト環境が分離された、冗長構成を持った資源抽象 化・管理構成が必要となります。ローリングアップデート等による無停止運用を含む高可用性を 実現する資源抽象化・管理層を実現する際の冗長構成は n+1 構成となり最小限、実装モジュー ルを三重冗長させることになります。ハードウェア層の機器構成と一対一対応する資源抽象化 モジュールは常時三重冗長している必要がありますが、抽象化資源量に余裕がありオートスケ ール能力をローリングアップデート能力による動的構成管理能力を持つ場合は、管理モジュー ルは二重化+最小規模のステージング環境の構成とすることができます。 要件の観点から見ると市販製品を利用して資源抽象化・管理層を構成する場合のリスクは従来 通りほぼ外部化できているといえます。オープンソースソフトウェアなどを利用して資源抽象化・ 管理層を構成する場合は、輸出規制法令や知的財産権、各種標準準拠などの担保が自己責 任となり、市販製品利用と比較して、自由と責任負担のトレードオフおよび、開発コストおよびリ スクと製品価格のコスト振り替えの関係が成り立ちます。 通信資源 通信資源 通信資源 抽象化・ 抽象化・ 抽象化・ 管理 管理 管理 通信資源 通信資源 サーバ資源抽 ストレージ資源 抽象化・ 抽象化・ 象化・管理 抽象化・管理 管理 管理 通信資源 通信資源 サーバ資源抽 ストレージ資源 抽象化・ 抽象化・ 象化・管理 抽象化・管理 管理 管理 通信資源 通信資源 サーバ資源抽 ストレージ資源 抽象化・ 抽象化・ 象化・管理 抽象化・管理 管理 管理 電子証跡 変更制御 構成管理 脅威と脆弱性管理 サプライチェーン管理・透明性と 説明責任 インフラストラクチャと 相互運用性と可搬性 仮想化セキュリティ 法令・標準順守 人的資源セキュリティ ガバナンス・リスク管理 資源抽象化・管理層 資源抽象化・管理層のうち、資源抽象化モジュールの実装はサービス層の実装構成とパフォー マンス特性に直接影響しサービス品質特性の決定に重要な影響を与えます。資源抽象化モジ ュール構成は事業戦略の要求と要件および手順の制約を考慮して決定します。さらに資源抽象 化モジュールはハードウェア層の構成と合せてクラウドサービスのスケールアウト性能を決定す る最大の要因でもあります。 アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ アプリケ ーション ーション ーション ーション ーション ーション ーション ーション ーション ーション ーション ーション ーション ーション ーション ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS ゲストOS 論理 論理 論理 論理 論理 論理 サーバ サーバ サーバ サーバ サーバ サーバ ホストOS ホストOS ハイパーバイザ ハイパーバイザ ホストOS ホストOS ハイパーバイザ 物理サーバ 物理サーバ 物理サーバ 物理サーバ 資源抽象化手法バリエーション図 2.6.3.4 サービス層と要件・手順の関係 手順の観点から見ると必須となるサービス層でのセキュリティ対策は従来の情報セキュリティ施 策の範囲を超えません。ただし構成面では、事業継続性管理・運用弾力性コントロールエリアの 要件を高い水準で実現し、高可用性の実現を考慮した場合、変更制御と構成管理コントロール エリアを意識して本番環境とテスト環境が分離された、冗長構成を持ったサービス構成が必要と なります。抽象化資源量に余裕がありオートスケール能力をローリングアップデート能力による 動的構成管理能力が利用できる場合は、二重化+動的に生成されるステージング環境の構成と
  • 23.
    することができます。ただし、二重化は物理資源層と資源抽象化・管理層が SPOF とならないよ う系統毎に独立した物理資源層および資源抽象化・管理層を利用するべきです。同一の物理資 源と資源抽象化・管理モジュール上に冗長サービスを構築した場合、同時処理能力の向上は得 られますが可用性の向上はサービス層固有の脆弱性に起因する範囲に限定されます。 要件の観点から見ると市販製品を利用してサービス層を構成する場合またはクラウドプロバイ ダが提供するサービスを利用する場合のリスクは従来通りほぼ外部化できているといえます。 オープンソースソフトウェアなどを利用してサービス層を構成する場合は、輸出規制法令や知的 財産権、各種標準準拠などの担保が自己責任となり、市販製品利用と比較して、自由と責任負 担のトレードオフおよび、開発コストおよびリスクと製品価格のコスト振り替えの関係が成り立ち ます。 論理 論理 論理 論理 ストレー ストレー サーバ サーバ ジ ジ 論理サーバ資源 論理ストレージ資源 アプリケーション アプリケーション 論理 論理 論理 論理 ストレー ストレー サーバ サーバ ジ ジ 論理通 論理通 論理通 信機器 信機器 信機器 論理 論理 論理 論理 ストレー ストレー サーバ サーバ 論理ネットワーク資源 ジ ジ 論理サーバ資源 論理通 論理通 論理通 論理ストレージ資源 プラットフォーム アプリケーション アプリケーション アプリケーション 信機器 信機器 信機器 論理 論理 論理 論理 ストレー ストレー サーバ サーバ ジ ジ 論理通 論理通 論理通 信機器 信機器 信機器 論理 論理 論理 論理 ストレー ストレー アイデンティティ・アクセス管理 サーバ サーバ ジ ジ セルフマネジメント 論理サーバ資源 論理ストレージ資源 アプリケーション アプリケーション データセキュリティ ダッシュボード 暗号化・暗号 情報ライフサイ 論理 論理 論理 論理 鍵管理 クル管理 ストレー ストレー サーバ サーバ 電子証跡 ジ ジ セキュリティインシデント管理 API 電子証跡 変更制御 構成管理 クラウドフォレンジック 変更制御 構成管理 論理資源プール 脅威と脆弱性管理 脅威と脆弱性管理 脅威と脆弱性管理 サプライチェーン管理・透明性と サプライチェーン管理・透明性と 説明責任 説明責任 モバイルセキュリティ モバイルセキュリティ インフラストラクチャと 相互運用性と可搬性 相互運用性と可搬性 事業継続性管理・運用弾力性 仮想化セキュリティ アプリ・インターフェース アプリ・インターフェース 法令・標準順守 法令・標準順守 セキュリティ セキュリティ 人的資源セキュリティ 人的資源セキュリティ 人的資源セキュリティ ガバナンス・リスク管理 ガバナンス・リスク管理 ガバナンス・リスク管理 サービス層(IaaS、PaaS、SaaS) 資源抽象化・管理層と IaaS 層に実装をもつ電子証跡および変更制御と構成管理コントロールエ リアは PaaS 層に実装を持つセキュリティインシデント管理、クラウドフォレンジックコントロールエ リアが動作するための基盤となります。セキュリティインシデント管理、クラウドフォレンジックコン トロールエリアはアイデンティティ・アクセス管理、データセキュリティ、暗号化・暗号鍵管理、情 報ライフサイクル管理コントロールエリアによって保護され SaaS 層において API およびセルフマ ネジメントダッシュボードとして提供され、オンデマンドセルフサービスを実現することで、利用者 の要求に応じて適宜・適切に配分することを可能にし、運用弾力性を実現します。 キ ャリア クラウ ドシ ス テ ム オ ン プ レ ミス シ ス テ ム デ バ イス ア プ リケ ー シ ョン ア プ リケ ー シ ョン ア プ リケ ー シ ョン ア プ リケ ー シ ョン ア プ リケ ー シ ョン 論 理 論 理 論 理 論 理 サ ー バ サ ー バ ス トレ ー ス トレー ジ ジ ア プ リケ ー シ ョン 1 論 理 論 理 サ ー バ論 理 サ ー バ 資 源 ネ ジ メン ト サ ー バ マ セ ル フ ダ ッシ ュボ ー ド 論 理 通 ト フ ォ ー論 理 通 プ ラッ ム ア プ リケ ー シ ョン 論 理 通 ジ 論 理 ジ 論 理 ス ト レ論 理 ス ト レ ー ジ ー 源 ー 論 ス トレ 資 信 機 器 信 機 器 信 機 器 論 理 論 理 論 理 論 理 サ ー バ サ ー バ API ス トレ ー ス トレ ー 論 理 通 論 理 通 論 理 通 ジ ジ 信 機 器 信 機 器 信 機 器 論 理 論 理 サ ー バ論 理 サ ー バ 資 源 サ ー バ ア イ デ ン理 通 テ ィ ・ ア ク セ ス 管 理 論 テ ィ 信 機 器 デ ー タセ キ ュリテ ィ 論 理 通 信 機 器 2 論 理 ネ ットワ ー ク資 源 論 理 通 信 機 器 ジ 論 理 ジ 論 理 ス ト レ論 理 ス ト レ ー レ ー 源 ー ス トジ 資 暗 号 化 ・暗 号 情 報 ライフサ イ 論 理 論 理 論 理 論 理 鍵 管 理 クル 管 理 ス トレ ー ス トレ ー サ ー バ サ ー バ ジ ジ セ キ ュリテ ィイン シ デ ン ト管 理 論 理 論 理 サ ー バ論 理 サ ー バ 資 源 サ ー バ クラウ ドフォレ ン ジ ック 電 子 証 跡 3 ジ 論 理 ー 論 理 ス ト レ論 理 ス ト レ ー レ ー 源 ス トジ 資 ジ 変 更 制 御 構 成 管 理 電 子 証 跡 変 更 制 御 構 成 管 理 論 理 資 源 プ ー ル 上 位 シ ス テ ム 同 等 シ ス テ ム 下 位 シ ス テ ム 移 動 体 イン ター 専 用 線 等 通 信 網 ネ ット 通 信 資 源 通 信 資 源 通 信 資 源 抽 象 化 ・ 抽 象 化 ・ 抽 象 化 ・ 管 理 理 物 管 理 理 物 管 理 理 物 通 信 通 信 通 信 物 理 サ ー バ 機 器 機 器 機 器 物 理 ス トレ ー ジ サ ー バ 資 源 抽 通 信 資 源 通 信 資 源 ス 物レ ー ジ 資 源 ト 理 ス トレ 象 化 ・ 管サ ー バ 物 理 理 抽 象 化 ・ 管 理 理 物 抽 象 化 ・ 管 理 理 物 抽 象 化 ・管 理 ー ジ 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレー ジ サ ー バ 資 源 抽 通 信 資 源 通 信 資 源 ス 物レ ー ジ 資 源 ト 理 ス トレ 象 化 ・ 管サ ー バ 物 理 理 抽 象 化 ・ 管 理 理 物 抽 象 化 ・ 物 管 理 理 抽 象 化 ・管 理 ー ジ 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 物 理 サ ー バ 物 理 ス トレ ー ジ 通 信 資 源 通 信 資 源 3 サ ー バ 資 源 抽 ス 物レ ー ジ 資 源 ト 理 ス トレ 象 化 ・ 管サ ー バ 物 理 理 抽 象 化 ・ 管 理 理 物 抽 象 化 ・ 管 理 理 物 抽 象 化 ・管 理 ー ジ 物 理 サ ー バ 通 信 通 信 物 理 ス トレ ー ジ 機 器 機 器 物 理 サ ー バ 電 子 証 跡 物 理 ス トレ ー ジ 物 理 サ ー バ 変 更 制 御 電 子 証 跡 管 理 構 成 物 理 ス トレ ー ジ 変 更 制 御 構 成 管 理 物 理 資 源 プ ー ル 公 衆 ダ ー ク 専 用 線 等 回 線 ファイバ 通 信 設 備 ラック 通 信 設 備 ラック 電 気 設 備 空 調 設 備 サ ー バ 室 電 気 設 備 通 信 設 備 設 備 空 調 デ ー タ保 管 室 電 気 設 備 空 調 設 備 ラック ケ ー ブ ル ダ クト ラック サ ー バ 室 管 路 デ ー タ保 管 室 建 物 ラック ラック サ ー バ 室 デ ー タ保 管 室 設 備 IaaS セルフマネジメントダッシュボードを例とした層を跨いで構成されるサービスモデル図
  • 24.
    2.7 付録 2.7.1 参考文献 競争政策研究センター共同研究 ネットワーク外部性の経済分析 http://www.jftc.go.jp/cprc/reports/cr0103.pdf RIETI 経済の強靭性に関する研究の展望 http://www.rieti.go.jp/jp/publications/pdp/12p008.pdf 経済産業省 システム/ソフトウェア製品の品質要求定義と品質評価のためのメトリクスに関する調査 報告書 http://www.meti.go.jp/policy/it_policy/softseibi/metrics/20110324product_metrics2010.pdf 経済産業省 システム及びソフトウェア品質の見える化、確保及び向上のためのガイド http://www.meti.go.jp/policy/it_policy/softseibi/metrics/product_metrics.pdf ENISA Risk Management http://www.enisa.europa.eu/activities/risk-management ENISA Cloud Computing Security Risk Assessment(和訳) http://www.ipa.go.jp/security/publications/enisa/documents/Cloud%20Computing%20Security%20Risk %20Assessment.pdf IPA 共通脆弱性タイプ一覧 http://www.ipa.go.jp/security/vuln/CWE.html Common Weakness Scoring System (CWSS™) http://cwe.mitre.org/cwss/ 2011 CWE/SANS Top 25 Most Dangerous Software Errors http://cwe.mitre.org/top25/ WASC Threat Classification http://projects.webappsec.org/w/page/13246978/Threat%20Classification WASC Web Hacking Incident DataBase http://projects.webappsec.org/w/page/13246995/Web-Hacking-Incident-Database 2.7.2 図版出典 2.1 リスクモデル図 本文書初出 2.2 脅威・脆弱性・危害関連図 本文書初出 2.2 脆弱性分類図 本文書初出 2.2.4 クラウドリスク分類図 本文書初出 2.3.1 ネットワーク外部性効用曲線図 競争政策研究センター共同研究 ネットワーク外部性の経済分析掲載図を著者補足 2.3.1 相互運用性・可搬性モデル図 本文書初出 2.3.1 クラウド階層モデル図 本文書初出 2.3.1 クラウドアクター図 NIST SP500-292 掲載図を著者改変 http://www.nist.gov/customcf/get_pdf.cfm?pub_id=909505 P4 Figure2 参照 2.3.2 エコシステム成長モデル図 IT Media TechTarget 利用者が IaaS の信頼度を計算するには?掲載図を改定 http://techtarget.itmedia.co.jp/tt/news/1210/12/news01.html 2.3.3 クラウドリファレンスアーキテクチャ図 OCDET/atoll project クラウドリファレンスアーキテクチャ v1.0 収録
  • 25.
    2.5 クラウドガバナンスキューブ図 OCDET/atoll project クラウドリファレンスアーキテクチャ v1.0 収録 2.5 クラウドレイヤーモデル図(部分) 本文書初出 2.5 クラウドガバナンスマップ図 OCDET/atoll project クラウドリファレンスアーキテクチャ v1.0 収録 2..6 クラウドライフサイクル図 IT Media TechTarget クラウドの応答性能とサポート品質を客観的に比較するには掲載 http://techtarget.itmedia.co.jp/tt/news/1201/26/news01.html 2.6.1.2 相互運用性・可搬性が確保されたクラウドエコシステムにおける運用弾力性モデル図 IT Media TechTarget 利用者が IaaS の信頼度を計算するには?掲載 http://techtarget.itmedia.co.jp/tt/news/1210/12/news01.html 2.6.1.3 ネットワーク(グラフ)バリエーション図 IT Media TechTarget 着実に姿を現しつつあるクラウド化した IT 市場掲載 http://techtarget.itmedia.co.jp/tt/news/1206/19/news03.html 2.6.1.3 アクター連携およびサプライチェーンの透明性確保のための監査連携モデル図 本文書初出 2.6.1.4 スタンダード分類モデル図 IT Media TechTarget クラウドのベンダーロックインを回避するための処方せん掲載 http://techtarget.itmedia.co.jp/tt/news/1203/23/news07.html 2.6.1.4 クラウド関連標準一覧 本文書初出 2.6.2 クラウドガバナンスコントロールエリア挙動モデル図 本文書初出 2.6.3 クラウドリファレンスアーキテクチャレイヤーモデル図 OCDET/atoll project クラウドリファレンスアーキテクチャ v1.0 収録 クラウドリファレンスアーキテクチャレイヤーマップ v1.0 ポスターに再録 2.6.3.1 設備層(三層) 本文書初出 クラウドリファレンスアーキテクチャレイヤーチュートリアル 01 に再録 2.6.3.2 ハードウェア層 本文書初出 クラウドリファレンスアーキテクチャレイヤーチュートリアル 01 に再録 2.6.3.2 ハードウェア層接続バリエーション図 本文書初出 2.6.3.3 資源抽象化・管理層 本文書初出 クラウドリファレンスアーキテクチャレイヤーチュートリアル 01 に再録 2.6.3.3 資源抽象化手法バリエーション図 本文書初出 2.6.3.4 サービス層(IaaS、PaaS、SaaS) 本文書初出 クラウドリファレンスアーキテクチャレイヤーチュートリアル 01 に再録 2.6.3.4 IaaS セルフマネジメントダッシュボードを例とした層を跨いで構成されるサービスモデル図 本文書初出 クラウドリファレンスアーキテクチャレイヤーチュートリアル 02 に再録
  • 26.
    本文書は以下の条件に基づいてライセンスされます。 表示 - 非営利- 改変禁止 2.1 日本 (CC BY-NC-ND 2.1) http://creativecommons.org/licenses/by-nc-nd/2.1/jp/