クラウドサービスは、情報の利活用を促すインフラとして社会的情報基盤となっています。それに伴い、セキュリティ面では国際的な議論が交わされる中、2008年にアメリカでクラウドセキュリティアライアンス(以下、CSA)が設立されました。

日本クラウドセキュリティアライアンス(以下、CSAジャパン)は世界で2番目の公認支部として2010年6月に任意団体として発足し、2013年12月には一般社団法人として設立された団体。

本体であるクラウドセキュリティアライアンスが発表した「クラウド・セキュリティ・ガイダンス」やクラウドセキュリティ要件集である「クラウド・コントロール・マトリクス(以下、CCM)」日本語版の提供などを行っています。同団体の諸角昌宏事務局長に、活動内容などを伺いました。

CSA成果物や活動を日本で実践

角田優剛(弊社代表・以下、角田)
CSAジャパンの特徴や事業内容を教えてください。

CSAジャパン諸角昌宏事務局長(以下、諸角)

CSAジャパン諸角昌宏事務局長

私たちはCSAが開発したセキュリティに関するガイドラインやツールを日本で展開、活用するための取り組みを中心に活動しています。

また、CSAジャパンとして独自にワーキンググループの活動を行い、クラウドセキュリティに対する日本での調査・研究活動を行っています。クラウドベンダーやユーザーのよるセキュリティについての情報収集や共有で、ベストプラクティス形成に向けたイベントの企画や活動する場を提供しているのです。

具体的な事業内容としては、Webによる情報発信やホワイトペーパー、レポート、プレゼンテーションの作成と提供。セミナーやシンポジウム、勉強会の開催などです。

角田
どういった企業が会員となっているのでしょう?

諸角
IT企業からセキュリティベンダー、監査法人、認証機関等などです。また、利用者の観点からグローバルな情報をいち早く入手したいという意図などから、クラウドの利用者側からの企業も参加しています。

会員数としてはCSA全体でいうと約300社。80以上の国と地域の企業が会員です。CSAジャパンの会員数は、発足当初10社。個人会員21名でした。年々増加し、今では24社、個人会員約70人で構成されています。

角田
企業にとってはどういったことがメリットになりますか?

諸角
Webページへの社名とロゴ掲載。CSAジャパンの翻訳やレポートといった活動における社名の掲載。発表機会でのスポンサープログラム参加資格付与。イベントなどにより、露出機会が増えることがメリットになります。また、ワーキンググループ等の活動に参加していただき、クラウドセキュリティの普及・啓蒙に貢献していただいています。

毎月の勉強会に100人、年2回のイベントも予約殺到

角田
イベントによる情報発信とは、どのようなものがありますか?

諸角
まず毎月実施しているのがCSA勉強会です。これは毎回40人から100人程度の人が集まりますし、比率としては非会員の方が多いです。

角田
それはすごいですね。どうやって告知しているのですか?

諸角
Web、メーリングリスト、フェイスブック、および関連団体による告知です。我々が開催するイベントで最も大きなものが「CSA Japan Summit」と「CSA Japan Congress」。これは年に1度ずつ、計2回開催されます。今年5月に実施したCSA Japan Summit 2017では、350人定員のところ、予約は2、3日で埋まってしまうほど盛況です。

「CSA Japan Summit」は有識者を招いた新しい情報提供を中心とした企画。一方「CSAJapan Congress」はCSAジャパンの活動報告などが主な内容になっています。

角田
その他の特徴的な活動はありますか?

諸角
CSAジャパン独自のワーキンググループを編成して、日本支部として研究調査を実施しています。今、IoTやビッグデータなどの10のワーキンググループを立ち上げ、活動内容や資料をWebで公開しています。

認証制度「STAR」、日本では3社が取得

角田
CSAにおける認証制度はありますか?

諸角
はい。Security, Trust & Assurance Registry 、通称STARというものがあります。

3段階に分かれており、簡単にいうとSTARレベル1はセルフアセスメント、レベル2は第3者認証、レベル3は継続的モニタリングが必要になります。

CCMは、クラウドのセキュリティを16のドメインに分け、133の管理策を提供しています。CCMの各コントロールの内容をブレークダウンし、チェックリスト化させたものをCAIQと呼びますが、この解答形式を用いて事業者が自己チェックを行い、内容を公開することがSTARレベル1になります。

以前はこの登録に際して英語で評価レポートを作成し、英語での手続きが必要でした。これでは日本のクラウドプロバイダにとって負担が大きく、利用者も英語の内容を確認しなければならないというハードルがありました。そこで2015年7月から私たちがこの手続きを仲介し、日本語で評価レポートや登録手続きを行えるようになりました。

角田
現在の取得状況は?

諸角
日本ではレベル2を3社が取得しています。全世界で見るとレベル1を271社、レベル2を72社が取得している状況です。レベル3は、認証取得後もその対応状況を継続的にモニタリングし、保証する制度です。アメリカ政府などでハイレベルな情報を扱うときに要求されるので、レベル3についての枠組みの検討をしているところです。

STAR認証のレベル1/レベル2は、排他的なものではなく補完関係にあります。レベル2の第三者認証だけでなく、レベル1によりプロバイダのセキュリティ・レベルやセキュリティ対策の状況を公開しています。これにより、クラウドの利用者が、プロバイダのセキュリティ・レベルを自ら判断できるようにしています。したがって、世界的には、レベル1とレベル2の両方を取得しているプロバイダがかなりあります。

角田
最後に今後の課題や展望お教えください。

諸角
STARレベル3のように、今後はより高いレベルの保証を要求されます。また、ほとんどすべての分野で、クラウドが利用されていくことになります。このような状況に対応できるように、調査、研究、情報発信活動を進めていきます。

これからも私たちはクラウドの本丸を追求し、クラウドセキュリティとしてどこまでの対策が可能かを検討していきます。グローバルな視点とネットワークを活かして活動していきたいと思っています。

角田
ありがとうございました!

最後に

クラウドセキュリティにおける世界との架け橋のような存在であるCSAジャパン。世界規模の問題を日本に置き換えて最適化する活動は、非常に意義があるものです。同団体が企画するイベントに多くの人が集まるのもうなずけます。

団体概要

社名 一般社団法人 日本クラウドセキュリティアライアンス (CSAジャパン)
Cloud Security Alliance Japan Chapter, Incorporated (CSA- JC)
所在地 〒102-0082 東京都千代田区一番町10番8号 一番町ウェストビル5F
Ichibancho West Building 5F 10-8
Ichibancho Chiyoda-ku Tokyo 102-0082 Japan
設立 2010年6月:   任意団体として発足
2013年12月: 一般社団法人として発足
事業内容
  1. 情報発信活動
  2. 調査研究活動
  3. CSA事業の日本における展開
  4. 日本の事業環境におけるクラウドセキュリティの実践に関する調査研究
  5. その他当法人の目的を達するために必要な事業
【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。