« クラウド・コンピューティングのセキュリティ評価指標をつくろう | トップページ | 無発声携帯電話の考察-Twitterでひとりブレインストーミング »

2010/10/29

クラウドセキュリティ指標 0.2

サイボウズLiveが本格スタートしたようです。

リンク: 「ビジネスSNSとして使ってほしい」---無償グループウエア「サイボウズLive」が本格スタート:ITpro.

ちょっぴり加筆して体裁も整えた0.2を作りました。

■クラウド・コンピューティングのセキュリティ評価指標 Ver.0.2 2010/10/29

●定義

クラウド・コンピューティング
  ……インターネット上の、特定が困難なコンピュータ群にデータや処理を委ねること。利用者側から物理機器の存在位置や台数が特定できる、レンタルサーバ、ホスティング、コロケーション、ハウジング等は除外する。

●目的

 この評価指標は、(主に保健・医療・介護・福祉分野で)クラウド・コンピューティングを利用したサービスを展開する個人や団体が、利用者や第三者向けに、自分のサービスを載せているクラウド・コンピューティングの仕組みについて、どの程度のセキュリティを確保しているかを大まかにわかりやすく示すためのものです。
 データセンターの出入り管理を多要素認証でやっているとか、作業員の入室時に携帯電話を預けている、といったクラウド・プロバイダ側のセキュリティ向上策については、いまのところ今回の評価指標の対象外としておきます。

●レベル

レベル3 プライベートクラウド
  ……データを置くシステムが他の利用者と混在しない配慮がなされているクラウドサービス。

レベル2 ハイブリッドクラウド
  ……プライベートクラウドとパブリッククラウドを併用しているもの。

レベル1 有償パブリッククラウド
  ……データ置くシステムが他の利用者と共有されているサービスで、サービス提供者にお金を払っているもの。

レベル0 無償パブリッククラウド
  ……データ置くシステムが他の利用者と共有されているサービスで、サービス提供者にお金を払っていないもの。

●付加属性

p フィジカル
  ……(プライベートクラウドにおいて)物理サーバレベルで他の利用者と隔離されているもの。

v バーチャル
  ……(プライベートクラウドにおいて)仮想サーバ(バーチャルマシン)レベルで他の利用者と隔離されているもの。

d ドメスティック
  ……データを格納するコンピュータが国内にあることが保証されているもの。

i インターナショナル
  ……データを格納するコンピュータが海外にも分散しているもの。

c コンティニュイティ
  ……サービス提供者が、突然のサービス停止の権利などを留保していないもの。無償クラウドサービス等では、提供者は利用者に予告なくサービスを停止できることになっている場合がほとんど。

e イレース
  ……サービス契約終了後などに、サービス提供者が利用者に対して、利用していたデータを消去した証明書の発行などができること。

s セキュアトランスミッション
  ……サービス提供者との間の伝送路が、暗号化されていること。

l サービスレベル
  ……サービスレベル契約(SLA)が存在し、その%から小数点を抜いたもの。

●表記例

当面は「クラセキュ基準のレベル0-s」「クラセキュレベル0-s」などと呼称してみて下さい。

最も高級な国内限定プライベートクラウド
  ……レベル3-pdcesl9999

国内プライベートクラウドだが、隔離状態が不明なもの。
  ……レベル3-dcesl9995

個人情報は国内プライベートに置き、個人情報を含まないデータの一部を外国のパブリックに分散させている場合。混在している指標はセキュリティの低い方に合わせている。
  ……レベル2-icesl999

dropboxやgmail
  ……レベル0-is

●参考リンク
情報処理推進機構:情報セキュリティ:セキュリティ関連ENISA文書.

●関連リンク
【解説】クラウド・コンピューティングが抱える7つの“セキュリティ・リスク” : SaaS - Computerworld.jp.

クラウド・コンピューティングのセキュリティアーキテクチャ(PDF)

はじめにセキュリティありきのクラウドを - 三菱電機、「DIAXaaS」提供開始 | 経営 | マイコミジャーナル.

安心安全情報のセキュリティ産業新聞社 セミナー情報 情報通信セキュリティシンポジウム「クラウドコンピューティング時代のセキュリティ」開催.

●改版履歴
0.1 初版

0.2 目的の部分を追記
旧 「この評価指標は、(医療分野で)クラウド・コンピューティング」
新 「この評価指標は、(主に保健・医療・介護・福祉分野で)クラウド・コンピューティング」

  事例のdropboxやgmailのところを変更
旧 レベル0-s
新 レベル0-is


●懸案
・私の考えたクラウドの定義がNISTと異なっていることについては、現在検討中です。

エンタープライズクラウドを構成する4つの利用モデル (TechTargetジャパン) - Yahoo!ニュース.

・付加属性 pが必要なのかも気になっています。

■最新版は医療とクラウド・コンピューティングのカテゴリ先頭からご覧下さい。

|

« クラウド・コンピューティングのセキュリティ評価指標をつくろう | トップページ | 無発声携帯電話の考察-Twitterでひとりブレインストーミング »

コメント

プライベートクラウドが日常生活から遠いだと思う方が多いだけど、
実際にそれによると、医療、教育などの方面がますます良くなった例がいっぱいだ。
それから、営業側がコストも減るし。
確かに科学進歩がいいだね。

投稿: ブレード | 2011/11/03 20:35

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/3033/49880679

この記事へのトラックバック一覧です: クラウドセキュリティ指標 0.2:

« クラウド・コンピューティングのセキュリティ評価指標をつくろう | トップページ | 無発声携帯電話の考察-Twitterでひとりブレインストーミング »