クラウドセキュリティ評価指標0.3
クラウドセキュリティ評価指標0.3を作りました。
付加属性に秘密分散技術の追加、記号の大文字化、一部記述の追記からなります。
■クラウド・コンピューティングのセキュリティ評価指標 Ver.0.3 2010/11/10
●定義
クラウド・コンピューティング
……インターネット上の、特定が困難なコンピュータ群にデータや処理を委ねること。利用者側から物理機器の存在位置や台数が特定できる、レンタルサーバ、ホスティング、コロケーション、ハウジング等は除外する。
●目的
この評価指標は、(主に保健・医療・介護・福祉分野で)クラウド・コンピューティングを利用したサービスを展開する個人や団体が、利用者や第三者向けに、自分のサービスを載せているクラウド・コンピューティングの仕組みについて、どの程度のセキュリティを確保しているかを大まかにわかりやすく示すためのものです。
データセンターの出入り管理を多要素認証でやっているとか、作業員の入室時に携帯電話を預けている、といったクラウド・プロバイダ側のセキュリティ向上策については、いまのところ今回の評価指標の対象外としておきます。
●レベル
レベル3 プライベートクラウド
……データを置くシステムが他の利用者と混在しない配慮がなされているクラウドサービス。
レベル2 ハイブリッドクラウド
……プライベートクラウドとパブリッククラウドを併用しているもの。
レベル1 有償パブリッククラウド
……データ置くシステムが他の利用者と共有されているサービスで、サービス提供者にお金を払っているもの。
レベル0 無償パブリッククラウド
……データ置くシステムが他の利用者と共有されているサービスで、サービス提供者にお金を払っていないもの。
●付加属性
P フィジカル
……(プライベートクラウドにおいて)物理サーバや物理ストレージ装置レベルで他の利用者と隔離されているもの。
V バーチャル
……(プライベートクラウドにおいて)仮想サーバ(バーチャルマシン)レベルで他の利用者と隔離されているもの。
D ドメスティック
……データを格納するコンピュータが国内にあることが保証されているもの。
I インターナショナル
……データを格納するコンピュータが海外にも分散しているもの。
C コンティニュイティ
……サービス提供者が、突然のサービス停止の権利などを留保していないもの。無償クラウドサービス等では、提供者は利用者に予告なくサービスを停止できることになっている場合がほとんど。
E イレース
……サービス契約終了後などに、サービス提供者が利用者に対して、利用していたデータを消去した証明書の発行などができること。
Ss シークレットシェアリング
……秘密分散技術を活用できること。
St セキュアトランスミッション
……サービス提供者との間の伝送路が、暗号化されていること。
Sl サービスレベル
……サービスレベル契約(SLA)が存在し、その%から小数点を抜いたもの。
●表記例
当面は「クラセキュ基準のレベル0-St」「クラセキュレベル0-St」などと呼称してみて下さい。最も高級な国内限定プライベートクラウド
……レベル3-PDCEStSl9999
国内プライベートクラウドだが、隔離状態が不明なもの。
……レベル3-DEStSl9995
個人情報は国内プライベートに置き、個人情報を含まないデータの一部を外国のパブリックに秘密分散させている場合。混在している指標はセキュリティの低い方に合わせている。
……レベル2-ICESsStSl999
dropboxやgmail
……レベル0-ISt
●参考リンク
情報処理推進機構:情報セキュリティ:セキュリティ関連ENISA文書.
●関連リンク
【解説】クラウド・コンピューティングが抱える7つの“セキュリティ・リスク” : SaaS - Computerworld.jp.
クラウド・コンピューティングのセキュリティアーキテクチャ(PDF)
はじめにセキュリティありきのクラウドを - 三菱電機、「DIAXaaS」提供開始 | 経営 | マイコミジャーナル.
安心安全情報のセキュリティ産業新聞社 セミナー情報 情報通信セキュリティシンポジウム「クラウドコンピューティング時代のセキュリティ」開催.
●改版履歴
0.1 初版
0.2 目的の部分を追記
旧 「この評価指標は、(医療分野で)クラウド・コンピューティング」
新 「この評価指標は、(主に保健・医療・介護・福祉分野で)クラウド・コンピューティング」
事例のdropboxやgmailのところを変更
旧 レベル0-s
新 レベル0-is
0.3
付加属性を大文字にして、同じ大文字の属性には小文字も加えてわかりやすくした。
秘密分散技術の利用に対する付加属性Ssを追加した。
物理サーバの所にストレージ装置への言及を追加
旧 物理サーバレベルで
新 物理サーバや物理ストレージ装置レベルで
●懸案
・私の考えたクラウドの定義がNISTと異なっていることについては、現在検討中です。
エンタープライズクラウドを構成する4つの利用モデル (TechTargetジャパン) - Yahoo!ニュース.
・付加属性 Pが必要なのかも気になっています。
■最新版は医療とクラウド・コンピューティングのカテゴリ先頭からご覧下さい。
| 固定リンク | 0
コメント