概要

The Cloud Security Alliance today has announced the availability of version 1.0 of the CSA Cloud Controls Matrix, a catalog of cloud security controls aligned with key information security regulations, standards and frameworks. The matrix, which is based upon the CSA Security Guidance for Critical Areas of Focus in Cloud Computing, can be downloaded at www.cloudsecurityalliance.org/cm.html.

Cloud Security Alliance Releases Cloud Controls Matrix

「主要な情報秘密保持規定、規格、フレームワークと連携したクラウドのセキュリティ管理のカタログ」とのことで、コントロールエリアとその対応規格（COBIT、HIPPA、ISO/IEC 27002-2005、NIST SP800-53、PCI DSS）が、マトリクスにマッピングされています。

この無料のマトリクスの提供は、各産業がベストプラクティスを使えるよう支援するという趣旨によるもので、「伝統的なセキュリティフレームワークと、クラウドコンピューティングに特化したガイダンスとのギャップを埋めていく」ことを目指しているそうです。

ver1.0マトリクス俯瞰

マトリクスで、コントロールエリアとして挙げられているのは、全部で98個。次の11ドメインが、さらに細分化されて98個あります。

• コンプライアンス（6）
• データ統制（8）
• 設備セキュリティ（8）
• 人的リソースセキュリティ（3）
• 情報セキュリティ（34）
• 適法性（2）
• オペレーションマネジメント（4）
• リスクマネジメント（5）
• リリースマネジメント（5）
• 弾力性（8）
• セキュリティアーキテクチャ（15）

カッコ内の数字は、その中でさらにいくつに分けられているかを示します。情報セキュリティが突出していますが、中身は、セキュリティポリシーから、マルウェア、インシデントレポート、モバイルデバイスまで、ごった煮です。

マトリクスでは、各コントロールエリアがSaaS/PaaS/IaaSのどれに適用されるかと、サービスプロバイダ側と顧客側のどちらに適用されるかが示されています。

ver1.0では、設備セキュリティの1つを除いて、全項目がSaaS/PaaS/IaaSのすべてに適用となっています。基本的に、サービスプロバイダ側での管理項目が挙げられており、顧客側が関係するのは、サービスプロバイダとの合意だとか、役割責任範囲決めだとかに関する部分です。

雑感

従来のセキュリティ管理対象が、クラウドコンピューティングの枠組みの中でどのように捉え直されるかを明らかにする一資料です。つまり、名前はアレだが、そんなにミーハーなものではない。いわゆるクラウドならではだと感じる項目は、たとえば、時刻同期がセキュリティアーキテクチャに、キャパシティ・リソースプランニングがオペレーションマネジメントにあるのが、すぐに目につくくらいです。クラウドだからといって、セキュリティ管理項目が大幅に変化したり追加されたりはしない模様。そりゃそうか。

ただし、次のあたりは、気にしておきたい。

• 差分がやっぱり重要。必要な管理項目は、システム/サービスに合わせて個別に洗い出す必要あり。
• 一見よくある項目でも、従来よりも解釈を拡大したり、変更したりしている部分があるかも。注意。
• 国内規格とのマッピング。

網羅性については、知見が足りないのでよく分からない。粒度については、ユーザID証明についてだけ、やたら詳細に踏み込んでいて違和感があったけども、それ以外はそこそこ一定かなあと感じる。詳細は未確認です。そのうち必要があれば調べる感じで。