クラウド コンピューティング時代の迅速な規制対応とは
執筆者: Matt Rathbun (Cloud Security Director, Cloud Health & Security Engineering)
このポストは、5 月 26 日に投稿された Achieving regulatory agility in the era of cloud computing の翻訳です。
2016 年 3 月 28 日、FedRAMP の合同認定委員会 (JAB) により新たな認定プロセス「FedRAMP Accelerated (英語)」が発表されました。それ以来、私はクラウドを中心とした今日のビジネスにおける法規制の枠組みの俊敏性向上について深く考えてきました。特にセキュリティ能力評価のしくみについては、クラウドに関する法規制が正しい方向に向かいつつあると感じられ、FedRAMP Accelerated の可能性に大いに期待しています。また、5 月 12 日にワシントン DC で開催された CSA Federal Summit (英語) に出席した際には、「クラウド セキュリティに関する法規制の課題への対応 (Meeting Regulatory Challenges for Cloud Security)」というセッションに参加し、今後の展望について意見を交わしました。このときは、マイクロソフトがクラウド製品のセキュリティ、透明性、俊敏性を確保するために打ち出している基本原則について説明する機会が得られました。
従来、規制や政策というものはイノベーションに遅れて付いてくるものです。クラウド改革の成果の 1 つとして、数十億ドル規模のばく大な先行投資を行わなくても、これまでには考えられなかったようなコンピューティング能力を広範なユーザーが使用できるようになったことが挙げられますが、導入時の設備投資という障壁がなくなったことで、今後はクラウドのイノベーション スピードが大幅に加速し、法規制や規範となる政策はそれに追い付いていけなくなるでしょう。
私は主に、ハイパースケールのマルチテナント クラウドのサポートに欠かせない Azure のイノベーションがいかに IT アーキテクチャの基本的な前提条件を変えたかについて、お客様や政策立案者の方々と話をしてきました。このような議論を進めるには、NIST SP 800-53 (英語) に記されているような従来から規定されているセキュリティ対策や、これらの対策に盛り込まれている IT アーキテクチャの基本的な前提条件が現在のハイパースケール時代にどれほど変化してきたかといった十分な知識と交渉力が必要です。
実際のところ、ここ 20 年ほど機能してきた従来の認証モデルや認定モデルは、クラウド コンピューティングの本来のイノベーション スピードの前では急速に立ち行かなくなってきています。最終的には、異なるアプローチが必要となるでしょう。そうなったときに、法規制対象の業界や政府機関が今の枠組みを進化させる術を見出さなければ、テクノロジのトレンドから年単位の遅れを取ることになってしまいます。
マイクロソフトでは、この問題を解決するのに必要なのは要件に対するアプローチを変えることであると考えています。具体的には、特定の実現方法に注目するのではなく、特定の成果に注目する必要があるということです。これまでのようにどのようにセキュリティ目標を達成するかを議論していても変化には追い付けません。取り残されてイノベーションを否定することになります。その代わりにセキュリティ目標が何であるかに重点を置き、どのように達成するかという部分は最先端の技術者やセキュリティの専門家に任せることで、クラウドのスピードや性能を活用して、最終的に安全性の向上につなげることができると考えます。
成果を重視したアプローチとは、どのようなものでしょうか。私が構想しているのは、政府機関や各業種がそれぞれの直面するリスクや達成すべき目標に応じて、20 個、30 個、または 50 個の主要なセキュリティの成果を定めるという枠組みです。クラウド サービス プロバイダー (CSP) は、これに沿ってそれぞれの目標を達成するための方法を策定し、達成したことが測れる指標を設定します。おそらくほとんどの CSP は、既存の規範的なセキュリティ対策をベースとして実現方法を構築するでしょう。その後も CSP がぶれることなく各自の定める成果に軸を置き続けることで、実現方法の細部をイノベーションの変化の波に対応するように進化させることができるであろうと考えます。マイクロソフトは既にこの動きの先頭に立っています。今後の記事では、監視、アクセス制御、システム正常性などの従来のセキュリティ上の課題について、マイクロソフトがどのようにアプローチしているか、詳細に掘り下げてお伝えする予定です。
成果重視のアプローチにはいくつかのメリットがあると見込んでいます。まずは法規制の俊敏性向上につながり、その結果イノベーションが制限を受けなくなります。それと同時に、このパラダイム シフトが確実にセキュリティの向上につながるはずです。私はこれまで長きにわたり実現方法を重視したアプローチを専門として、情報セキュリティ コンサルタント、監査担当者、プログラム管理者、クラウド サービス プロバイダーとしてのキャリアを積んできましたが、そうしたアプローチではコンプライアンスに関する言葉遣いや語法といった机上の語義的な議論によって論点がぼやけ、実際のリスク軽減策やセキュリティに対する視点を見失うことがよくありました。しかし成果重視のアプローチであれば、言葉遣いや語法にこだわる必要はありません。リスク軽減やセキュリティ目標の達成に集中できます。
さらに、成果リストをしっかり作成しておくと、ほぼリアルタイムでのセキュリティ ポスチャの監視能力を向上させることができます。マイクロソフトは CSP として個々の成果が達成されているかを表す指標を追跡し、お客様の気にかけるセキュリティ フレームワークに沿ってセキュリティ正常性指標を表示したダッシュボードを提供できます。これにより、各業種や政府機関にとって特に重要となる主要なセキュリティ成果が示されるため、お客様はクラウド内の自社データのリスクに関する状況を把握できるようになります。
「クラウド セキュリティに関する法規制の課題への対応」の討論会では、実現方法を重視して制御する時代にある中でも、政府機関が成果重視の評価に移行するプロセスを開始できないか議論しました。その場では他の参加者や聴衆の皆様の貴重な考えを伺うことができ、この記事のアイデアを得て議論の輪を広めるきっかけをいただきました。
FedRAMP Accelerated は私たちを新たな成果重視のアプローチへと導こうとしています。私が FedRAMP Accelerated の成功を確信しているのはそうした理由からです。マイクロソフトは、同業のハイパースケール クラウド プロバイダーと協力して FedRAMP Accelerated のセキュリティ能力評価へのフィードバックを提供しています。このフィードバックの一環として、手始めに FedRAMP が注目すべきと考える成果を 20 項目挙げました。以下がその一覧です。これをきっかけに堅固なセキュリティ原則についての議論がさらに広がり、イノベーションが加速することを期待しています。
| CPS のセキュリティ能力に対する要求事項の初期提案 | 対応する NIST サイバー セキュリティ フレームワーク | |
| 1 | 許可された担当者のみがリソースにアクセスできるように制限する能力を備えているか。 | 保護 |
| 2 | 情報システムのセキュリティを低下させるような管理者権限を制限する形で、管理担当者のアクセスを制限しているか。 | 保護 |
| 3 | 承認されているセキュリティ構成を保守したり、その逸脱を検出したりする能力を備えているか。 | 保護/検出 |
| 4 | 悪意のあるソフトウェアを検出、阻止、排除する能力を備えているか。 | 検出 |
| 5 | 伝送または格納される顧客データを十分な強度を持つ暗号を使用して保護する能力を備えているか。 | 保護 |
| 6 | システムがさらされるリスクに応じてシステムの欠陥を迅速に検出し修復する能力を備えているか。 | 検出 |
| 7 | ユーザーの識別や認証を確実に実行し、なりすましのリスクを十分に軽減する能力を備えているか。 | 保護 |
| 8 | 監査データを安全に格納する能力を備えているか。 | 保護 |
| 9 | セキュリティ違反の疑いがあるインシデントが発生した後に、それに関するフォレンジック調査を実施する能力を備えているか。 | 復旧 |
| 10 | 内部ユーザーによる脅威や外部からの侵入など、許可されていないユーザーや不正なシステム利用を検出する能力を備えているか。 | 検出 |
| 11 | セキュリティ意識や各担当者の役割に基づくセキュリティ保護の責任について教育する能力を備えているか。 | 保護 |
| 12 | システムの安全性を損なう原因となり得るハードウェアおよびソフトウェアの中核コンポーネントを管理する能力を備えているか。 | 識別 |
| 13 | システムの保守や操作を実施している間にシステムのセキュリティ ポスチャが低下しないようにする能力を備えているか。 | 保護 |
| 14 | システム障害、セキュリティ侵害、災害などが発生した後に既知の稼動状態にシステムを復旧させる能力を備えているか。 | 復旧 |
| 15 | リスクを評価し、継続するリスクや実行中の修復作業を追跡し、リスク ポスチャのレポートを定期的に作成する能力を備えているか。 | 識別 |
| 16 | 許可された担当者のみがシステムに物理的にアクセスできるように制限する能力を備えているか。 | 保護 |
| 17 | リスク別に役職を分類し、リスク評価に基づいて人員を審査する能力を備えているか。 | 保護 |
| 18 | 物理メディアを、権限が及ぶ範囲から外れる前に除去または破壊する能力を備えているか。 | 保護 |
| 19 | 確認されたインシデントを、すべての法令、規制、契約による義務で定められた期間内に顧客や規制担当者に通知する能力を備えているか。 | 対応 |
| 20 | セキュリティ違反の疑いがあるインシデントを検知した場合に即座に調査を行い修復する能力を備えているか。 | 復旧 |
最後になりますが、マイクロソフトが提案している上記のリストに対してご意見、ご感想をお寄せいただければ幸いです。今後このテーマについて、クラウド セキュリティ コミュニティで活発に議論されることを期待しています。