Recommended
More Related Content
What's hot
What's hot (20)
Viewers also liked
Viewers also liked (13)
Similar to Asahikawa_Ict 20120726
Similar to Asahikawa_Ict 20120726 (20)
Asahikawa_Ict 20120726
- 1. クラウドサービスは 安全? 旭川ICT協議会セミナー 2012年7月26日 坂本和士 旭川ICT協議会教育部会 副部会長 KSシステム 代表 1
- 2. 前半 • クラウドサービスの定義 • 国内の利用動向 • 導入への懸念事項 • なぜセキュリティ対策が必要か 2
- 4. クラウドサービスの定義 • サービス内容による区分 SaaS、PaaS、IaaS • サービス提供範囲による区分 パブリッククラウド、プライベートクラウド 4
- 5. SaaS • Software as a Service • ネットワークを通じて顧客にアプリケーションソフ トの機能を必要に応じて提供 • ワンシステム・マルチテナント • 電子メール、グループウェア、CRMなど 5
- 6. SaaSのサービス例 • Google Apps(Gmail 他) • Microsoft Online Services • Salesforce CRM • サイボウズ Office 6
- 7. PaaS • Platform as a Service • ネットワークを通じて顧客にアプリケーションソフ トを利用するためのプラットフォームを提供 • OS・ミドルウェア・ストレージ・データベース 7
- 8. PaaSのサービス例 • Google App Engine • Windows Azure • Amazon S3、DynamoDB、SimpleDB • Force.comプラットフォーム • Heroku 8
- 9. IaaS • Infrastructure as a Service • ネットワークを通じて顧客にハードウェアやネット ワークなどのインフラを提供 • 仮想サーバ・仮想スイッチ・オートスケール 9
- 10. IaaSのサービス例 • Amazon EC2 • ニフティクラウド • GMOクラウド Public • BIGLOBEホスティング • Asahikawa CB Data Center 10
- 11. パブリッククラウド • 一般利用者を対象に提供されるクラウドサービス • 一般的にクラウドサービスというとこちらを指す • 比較的に低コストで各種サービスを利用できる 11
- 12. プライベートクラウド • 企業が自社内でクラウドコンピューティングのシス テムを構築しクラウドサービスを提供 • システム構築のイニシャルコストやランニングコス トがかかる 12
- 13. 国内の利用動向 • IDC Japan が2012年4月に実施したユーザー動向調査 「2012年 国内クラウド市場調査」の結果 • クラウド導入は堅調に進んだが「検討したが利用しな い」とする企業が大幅に増加 • パブリッククラウドを利用中の企業が具体的に評価した プロバイダー/ベンダー数は3社以内 • プライベートクラウド市場では「差別化」が構築を行う ベンダーの課題に 13
- 14. クラウドの利用状況 14
- 16. 導入への懸念事項 • クラウドサービスというものがよくわからない • クラウドサービスを提供しているプロバイダーや構 築を行うベンダーを知らない • 本当にコストが下がるの? 上記に加えて、、、 16
- 17. セキュリティ対策が不安 17
- 18. クラウド事業者への要求 18
- 19. なぜセキュリティ対策が必要? • 情報資産は企業にとって重要な資産の一つ • 情報資産を社外に置くことにより新たなリスクが発 生する → 社内よりコントロールが難しい • 米国の Gartner が2008年に発表した「Assessing the Security Risks of Cloud Computing」でクラ ウドベンダー(プロバイダー)を選択する際に7項目 のリスクがあると説明している 19
- 20. 特権ユーザーによるアクセス アウトソースされたサービスは、企業のIT部門が社内プログ ラムに対して行使する「物理的管理」「論理的管理」「人的 管理」の影響を受けない。そのため、 社外で処理された機 密性の高いデータは最初からリスクを含有している。した がって、自社データを扱うベンダー側の人員については、な るべく多くの情報を収集しておく。「従業員の具体的な情報 をベンダーに提供させ、特権を持つ管理者や彼らに対するア クセス監視/制御を行うよう求める必要がある」 (Gartner) 20
- 27. 国内でも同様の指針が発表済 • 経済産業省が2011年4月に発表 • 「クラウドサービス利用のための情報セキュリティ マネジメントガイドラインの公表∼クラウドサービ スの安全・安心な利用に向けて∼」 • http://www.meti.go.jp/press/ 2011/04/20110401001/20110401001.html 27
- 28. 休憩 28
- 29. 求められるセキュリティ要件 および対策 • 導入前 • 導入後 • クラウドサービス利用者もしくはクラウド事業者の 双方にあてはめて考える 29
- 30. 導入前 • 情報セキュリティポリシーの確立と実施 • クラウドサービス/プロバイダー/ベンダーの選択 • 責任と権限の明確化 • 社内業務の整理 30
- 31. 情報セキュリティポリシーの 確立と実施 • 社内の情報資産を整理しセキュリティポリシーを策 定する(トップダウンで) • 無理のない体制を整え実施する(可能であれば実施 専門の部署を置く)ー 特にトラブル時対応 • クラウドサービスに載せる情報資産を明確にする パブリッククラウド利用の場合は必須 31
- 32. クラウドサービス/プロバイ ダー/ベンダーの選択 • サービス内容 • 第三者認証(または監査) • サービスレベル合意(SLA) • セキュリティホワイトペーパー • サービスダッシュボード 32
- 33. サービス内容 • 自社業務を載せることが可能か • 載せる際に、どこまで自社業務を整理・変更する必 要があるか(コストと実効性の比較) • 自社業務の内容から、どのくらいの稼働率、ダウン タイム、アップタイムが必要で、それを実現してい るか(サービスレベル合意) 33
- 34. 第三者認証(または監査) • 以下の第三者認証がある ISMS(JIS Q27001) Pマーク(JIS Q15001) PCI DSS(クレジット業界のグローバル基準) SAS70(米国 内部統制関連) HIPPA(米国 医療情報) • 第三者認証の取得が難しい場合は情報セキュリティ 監査を定期的に実施し報告書が公開されているか 34
- 35. サービスレベル合意(SLA) • もともとは通信事業者がネットワークサービスの通信品 質を保証するために行った契約形態 • サービス内容について保証設定値を設け、未達だった場 合の罰則や補償を規定 • 国内のITサービスにおいては事業継続できない時の罰則 として支払いの免除を記載しているだけのものが多い • サービス最大停止時間などの具体的な内容と実現する技 術に関する情報を要求する必要がある 35
- 36. セキュリティホワイトペーパー • 提供しているサービスのセキュリティ対策を定義 • 現時点で公開しているプロバイダー/ベンダーは少 ない Amazon Web Services ニフティクラウド • セキュリティに特化したホワイトペーパーでなくて も参考になる Windows Azure Google Apps 他 36
- 37. サービスダッシュボード • クラウドサービスではログの取得が自由にできない場合 が多い • システムの最新状態を正しく把握するためにサービス ダッシュボードを活用する • この機能の使いやすさはクラウドサービス選択の重要な 要素の一つと言える • 複数のクラウドサービスを利用する時に各サービスダッ シュボードの統合ができる仕組みがあると良い(API等) 37
- 38. サービスダッシュボードの例 ニフティクラウドの サービスダッシュボード 38
- 39. コミュニケーションスキル • サポート窓口のコミュニケーションスキルを確認す る(電話・メール) • 情報公開の内容および更新頻度を確認する 39
- 40. 責任と権限の明確化 • 事故発生時の対応を素早く行うために、社内の関係 部署や人員について責任と権限を明確にする • クラウド利用者とクラウドプロバイダー/ベンダー の間で、責任と権限および補償内容を明確にする → まだまだ発展途上と言える 40
- 41. 社内業務の整理 • パブリッククラウドを利用する場合、提供内容に社 内業務を合わせる必要がある → クラウドサービスの選択の仕方が重要 • プライベートクラウドを利用する場合でも、単純に サーバーの引っ越しをするだけでは不十分 → 過去のゴミを整理 41
- 42. 導入後 • 運用状況の監視 • 経営層と管理者層間の密なコミュニケーション • トラブル対応の訓練 42
- 43. 運用状況の監視 • サービスダッシュボードを活用する • サービスダッシュボードの外部向けAPIが用意され ているなら各種情報収集の自動化を行う • サーバー上の各種ログ取得および視覚化ツールも活 用する • 正常処理時の上限・下限値を設定しておき、異常発 生時に素早く通知する手段を用意する 43
- 44. 経営層と管理者層間の密な コミュニケーション • 経営層は「コンピュータはわからない」と考えない → 情報資産も銀行の預金残高も同じく重要 • 管理者層は「どうせ社長はわからないし」と考えな い → わかってもらえるように提供する情報を工夫 • 普段からコミュニケーションが密であればトラブル 発生時にスムーズな対応ができる 44
- 45. トラブル対応の訓練 • クラウドサービス導入後素早く、できればテスト稼働 時にトラブルを想定した訓練を行う • システム環境およびデータの復元 • 関係者(社内・顧客)への連絡 • クラウドプロバイダー/ベンダーとトラブル時の対応 を打合せておく(プライベートクラウドの場合、訓練 に参加することを契約に入れておくこともできる) 45
- 47. セールスフォースの事故内容 • SaaSの事故事例 • 2012年6月28日朝、本番系と待機系のストレージに 二重障害が発生し共有メモリが破損するとともに、一 部顧客が約5時間にわたってアクセスできなくなった • さらに7月10日にデータセンターで電源障害が発生 し、一部顧客は2日間にわたってサービスを利用でき なかった 47
- 48. セールスフォースの事故から 見えてきたもの • SaaSの場合、アプリケーション全体(管理、バックアップ、リカバ リー等)を維持しているのはプロバイダーなので、プロバイダーの考 え方次第では顧客が口を挟めない → 独自にバックアップをとることが難しい場合がある • SLAで保証しているアップタイムを知り、自社がどこまでのダウンタ イムを許容するか決める • リカバリーの管理手順や保守管理のレベルも「完全」に理解してお く • 用意されているならテスト環境のデータを本番環境と同じにしておく 48
- 49. ファーストサーバの事故内容 • IaaSおよびSaaSの事故事例 • 2012年6月20日17時頃データ消失が発生 • 原因は管理プログラムのバグにより該当するすべてのサーバのすべてのファイル を消去した • ファーストサーバ内のバックアップデータも消失 • 被害顧客件数は5,698件でデータ復旧は不可能と断定 → Webやメール の復旧が不可能ということ • サイボウズを利用していた約400社は顧客管理や営業記録がすべて無くなり事業 継続が困難な企業も? • 現在、ヤフーの支援を受けて対応中 49
- 50. ファーストサーバの事故から 見えてきたもの • バックアップの概念の違い 低料金でサービスを提供するために外部サーバではなく同一サーバ内にバッ クアップをとっていた • 損害賠償対応はすると報道されているが、、、 • 事実と異なる説明があったもよう 本番系と同時に待機系を動かしている ← 外部データにバックアップを保存 ← • これらを信じた顧客がバカなのか、それとも優良誤認なのか? → 今後、 裁判になったなら注目する必要有 • 独自のバックアップ体制を用意しておく 50
- 51. まとめ(導入前) • 情報セキュリティポリシーの確立と実施 • クラウドサービス/プロバイダー/ベンダーの選択 • 責任と権限の明確化 • 社内業務の整理 51
- 52. まとめ(導入後) • 運用状況の監視 • 経営層と管理者層間の密なコミュニケーション • トラブル対応の訓練 52
- 53. クラウドサービスは これからの技術 • クラウドサービスならではの新たな問題が発生して いる • あらゆるリスクを想定し対策を行う • 最新情報に通じておく • 上手に活用するならITコスト削減につながる 53
- 54. ご清聴ありがとう ございました 54