無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

クラウドサービスは、情報の利活用を促すインフラとして社会的情報基盤となっています。それに伴い、セキュリティ面では国際的な議論が交わされる中、2008年にアメリカでクラウドセキュリティアライアンス（以下、CSA）が設立されました。

日本クラウドセキュリティアライアンス（以下、CSAジャパン）は世界で2番目の公認支部として2010年6月に任意団体として発足し、2013年12月には一般社団法人として設立された団体。

本体であるクラウドセキュリティアライアンスが発表した「クラウド・セキュリティ・ガイダンス」やクラウドセキュリティ要件集である「クラウド・コントロール・マトリクス（以下、CCM）」日本語版の提供などを行っています。同団体の諸角昌宏事務局長に、活動内容などを伺いました。

CSA成果物や活動を日本で実践

角田優剛（弊社代表・以下、角田）
CSAジャパンの特徴や事業内容を教えてください。

CSAジャパン諸角昌宏事務局長（以下、諸角）

CSAジャパン諸角昌宏事務局長

私たちはCSAが開発したセキュリティに関するガイドラインやツールを日本で展開、活用するための取り組みを中心に活動しています。

また、CSAジャパンとして独自にワーキンググループの活動を行い、クラウドセキュリティに対する日本での調査・研究活動を行っています。クラウドベンダーやユーザーのよるセキュリティについての情報収集や共有で、ベストプラクティス形成に向けたイベントの企画や活動する場を提供しているのです。

具体的な事業内容としては、Webによる情報発信やホワイトペーパー、レポート、プレゼンテーションの作成と提供。セミナーやシンポジウム、勉強会の開催などです。

角田
どういった企業が会員となっているのでしょう？

諸角
IT企業からセキュリティベンダー、監査法人、認証機関等などです。また、利用者の観点からグローバルな情報をいち早く入手したいという意図などから、クラウドの利用者側からの企業も参加しています。

会員数としてはCSA全体でいうと約300社。80以上の国と地域の企業が会員です。CSAジャパンの会員数は、発足当初10社。個人会員21名でした。年々増加し、今では24社、個人会員約70人で構成されています。

角田
企業にとってはどういったことがメリットになりますか？

諸角
Webページへの社名とロゴ掲載。CSAジャパンの翻訳やレポートといった活動における社名の掲載。発表機会でのスポンサープログラム参加資格付与。イベントなどにより、露出機会が増えることがメリットになります。また、ワーキンググループ等の活動に参加していただき、クラウドセキュリティの普及・啓蒙に貢献していただいています。

毎月の勉強会に100人、年2回のイベントも予約殺到

角田
イベントによる情報発信とは、どのようなものがありますか？

諸角
まず毎月実施しているのがCSA勉強会です。これは毎回40人から100人程度の人が集まりますし、比率としては非会員の方が多いです。

角田
それはすごいですね。どうやって告知しているのですか？

諸角
Web、メーリングリスト、フェイスブック、および関連団体による告知です。我々が開催するイベントで最も大きなものが「CSA Japan Summit」と「CSA Japan Congress」。これは年に１度ずつ、計2回開催されます。今年5月に実施したCSA Japan Summit 2017では、350人定員のところ、予約は2、3日で埋まってしまうほど盛況です。

「CSA Japan Summit」は有識者を招いた新しい情報提供を中心とした企画。一方「CSAJapan Congress」はCSAジャパンの活動報告などが主な内容になっています。

角田
その他の特徴的な活動はありますか？

諸角
CSAジャパン独自のワーキンググループを編成して、日本支部として研究調査を実施しています。今、IoTやビッグデータなどの10のワーキンググループを立ち上げ、活動内容や資料をWebで公開しています。

認証制度「STAR」、日本では3社が取得

角田
CSAにおける認証制度はありますか？

諸角
はい。Security, Trust ＆ Assurance Registry 、通称STARというものがあります。

3段階に分かれており、簡単にいうとSTARレベル1はセルフアセスメント、レベル2は第3者認証、レベル3は継続的モニタリングが必要になります。

CCMは、クラウドのセキュリティを16のドメインに分け、133の管理策を提供しています。CCMの各コントロールの内容をブレークダウンし、チェックリスト化させたものをCAIQと呼びますが、この解答形式を用いて事業者が自己チェックを行い、内容を公開することがSTARレベル1になります。

以前はこの登録に際して英語で評価レポートを作成し、英語での手続きが必要でした。これでは日本のクラウドプロバイダにとって負担が大きく、利用者も英語の内容を確認しなければならないというハードルがありました。そこで2015年7月から私たちがこの手続きを仲介し、日本語で評価レポートや登録手続きを行えるようになりました。

角田
現在の取得状況は？

諸角
日本ではレベル2を3社が取得しています。全世界で見るとレベル1を271社、レベル2を72社が取得している状況です。レベル3は、認証取得後もその対応状況を継続的にモニタリングし、保証する制度です。アメリカ政府などでハイレベルな情報を扱うときに要求されるので、レベル3についての枠組みの検討をしているところです。

STAR認証のレベル1／レベル2は、排他的なものではなく補完関係にあります。レベル2の第三者認証だけでなく、レベル1によりプロバイダのセキュリティ・レベルやセキュリティ対策の状況を公開しています。これにより、クラウドの利用者が、プロバイダのセキュリティ・レベルを自ら判断できるようにしています。したがって、世界的には、レベル1とレベル2の両方を取得しているプロバイダがかなりあります。

角田
最後に今後の課題や展望お教えください。

諸角
STARレベル3のように、今後はより高いレベルの保証を要求されます。また、ほとんどすべての分野で、クラウドが利用されていくことになります。このような状況に対応できるように、調査、研究、情報発信活動を進めていきます。

これからも私たちはクラウドの本丸を追求し、クラウドセキュリティとしてどこまでの対策が可能かを検討していきます。グローバルな視点とネットワークを活かして活動していきたいと思っています。

角田
ありがとうございました！

最後に

クラウドセキュリティにおける世界との架け橋のような存在であるCSAジャパン。世界規模の問題を日本に置き換えて最適化する活動は、非常に意義があるものです。同団体が企画するイベントに多くの人が集まるのもうなずけます。

団体概要