国内においてもクラウドサービスプロバイダが増えてくるに当たり、CSAのガイダンスを適用・実装するための指針を出したり、国内市場特有のニーズに対応したり、ということを目的として今後活動していくということなのでクラウドサービスを提供するプロバイダも利用する企業やユーザにとっても目の離せない存在になるのではないでしょうか?
ちなみにそもそもこのCSAをはじめとするクラウドコンピューティングにおけるセキュリティのガイドラインは、良く「クラウド」の定義で引き合いに出されるNIST(アメリカ国立標準技術研究所)がクラウドの効果的で安全に利用についてレポートを出していたものの、実際にクラウドサービスを調達する際のセキュリティ上の要求事項が具体的にまとまらなかった、というところから整備が進んで来たものだったようです。
日本においては特に契約条項や品質に対する要求レベル、情報の取り扱いに関連する法規も当然米国とは異なりますので、このような団体によって地域にあったガイドライン化が進むと良いのでは、と思います。
アイデンティティ管理に関しては今日はISACAの顔をした下道さんが「クラウドコンピューティングとeID」というテーマで講演をしてくださいました。
印象に残ったのは、改めて「ID=アイデンティティ」ということを強調していた点です。これは何年も前からアイデンティティ管理界隈では話がされてきていることですが、今でもID=Identifier(識別子)という認識が根強いということでした。
本シンポジウムの内容から少し横道にそれますが、、、
「アイデンティティ」とは個人を特徴づけるものであり、単なる識別番号やメールアドレスなどといったものだけではなく、趣味や身体的特徴や宗教などといったその人を特徴づける属性情報を含んでいます。
そのような意味でアイデンティティとは個人の尊厳そのものとも言うことが出来、それは実世界であろうがデジタルワールドであろうが適切に取り扱われるべきである、という考えはそのあたりに起因しています。
そのような意味でアイデンティティ管理とは広義で言うと単なるプロビジョニングやシングルサインオンといった技術や運用に関することだけでなく、各国(日本、米国、EUなど)のそれぞれの個人情報保護に関連する法規と深く関連してきます。
特にクラウドをはじめとするインターネット上のサービスでアイデンティティ情報が適切に(関連法規に従い)扱われるかどうかは管理(コントロール)されるべきである、というところから色々な技術や製品などが着目/実装されてきています。
機能 | 関連技術等 |
サービス側から必要となる情報を要求する | クレイムベースのセキュリティモデル、InfoCard |
必要最低限の情報のみを開示する | U-Prove |
本人の同意を持って情報を開示する | ID-WSF、OpenID-CX |
と、少しそれてしまいましたが、参加メンバを見ても今後の活動がとても楽しみです。
尚、他にも下道さんも監訳に参加されているオライリージャパンさんより「クラウドセキュリティ&プライバシー」の日本語版が先行販売されていました。
その他関連リソース
・ASPIC Japan(ASP・SaaSインダストリ・コンソーシアム)によるCSAクラウド・セキュリティ・ガイダンス ver.1.0 日本語版
http://www.aspicjapan.org/pdf/20100324-csa.pdf
・日本クラウドセキュリティアライアンス
http://www.cloudsecurityalliance.jp/
・CSA Security Guidance for Critical Areas of Focus in Cloud Computing V2.1
http://www.cloudsecurityalliance.org/csaguide.pdf
・CSA Guidance for Identity & Access Management V2.1
http://www.cloudsecurityalliance.org/guidance/csaguide-dom12-v2.10.pdf
※CSAガイダンスの中でアイデンティティ&アクセス管理に関する部分に特化したもの
0 件のコメント:
コメントを投稿