Comments
Description
Transcript
クラウドコンピューティングのセキュリティに関連する国際動向
IPA テクニカルウォッチ クラウドコンピューティングのセキュリティ に関連する国際動向 2013 年 3 月 28 日 IPA テクニカルウォッチ クラウドコンピューティングのセキュリティに関連する国際動向 目次 はじめに ................................................................................................................................................ 1 1.米国政府におけるクラウド活用への取組み .................................................................................. 1 1-1.米国政府におけるクラウド関連戦略の展開 ....................................................................... 1 1-2.政府調達枠組み FedRAMP に関連する動向 ...................................................................... 2 1-3.NIST におけるクラウドコンピューティングへの取組み .................................................. 4 2.米国を中心とした民間の標準開発の動向 ...................................................................................... 8 3.ヨーロッパにおけるクラウド活用戦略.......................................................................................... 9 3-1.デジタルアジェンダとクラウドパートナーシップ ............................................................ 9 3-2.ENISA におけるクラウドのセキュリティに関連する調査研究活動 ............................... 10 3-3.ETSI におけるクラウドの標準の調査 .............................................................................. 11 3-4.クラウドに関連する FP7 プロジェクト ........................................................................... 12 3-5.欧州におけるその他のクラウド関連の協同プロジェクト ............................................... 14 4.日本における標準化その他のクラウド関係の活動 ..................................................................... 15 4-1.ISO/IEC JTC1 SC27 におけるクラウドセキュリティ標準の開発............................. 15 4-2.クラウドのセキュリティに関する監査の枠組みの開発 ................................................... 16 4-3.日本におけるクラウド関連の団体等 ................................................................................ 17 まとめ .................................................................................................................................................. 19 【改訂履歴】 日付 改訂内容 2013 年 3 月 28 日 初版発行 2013 年 6 月 13 日 誤字脱字修正 はじめに クラウドコンピューティングの活用が広まっている。実用レベルで多くのサービスが提供され、利 用側も基幹的業務までパブリッククラウドに移行するようなユーザが登場するなど、コンピューティ ングの利用形態として定着した感がある。 クラウドに関してはセキュリティに関する懸念が関心事として依然大きいが、Big Data の取り扱 い基盤という位置付けも含めて、活用面の研究も活発化している。また相互運用性や移植可能性など、 より自由な活用を視野に入れた標準化への取組みも多方面で進められている。 本稿では、このようなクラウドに関する内外の動向について、最近の特徴的なトピックを紹介し、 利用者、提供者の参考に供するとともに、日米欧の比較における日本の課題について触れてみたい。 1. 米国政府におけるクラウド活用への取組み 1-1.米国政府におけるクラウド関連戦略の展開 オバマ政権はIT戦略に注力している。就任早々に連邦CIO 1という職位を新設し、ワシントンDCの CIOとしてクラウドの活用に実績を上げたVivek Kundraを起用した。同氏はクラウドの活用とデー タのオープン化を力強く推進した。関連する一連の政策等を表 1 に示す。 表 1 時期 米国連邦政府の IT 関連戦略等の推移 連邦政府のアクション (報道資料等から IPA 作成) 内容・意味 Washington DCでクラウド導入実績がある Kundraの連邦CIOへの起用 政府保有データの公開ポリシーに基づく公開 Data.govを開設 サイト。 2 011年5月にクラウドに移行 Open Government Directiveを発表 政府の情報公開の基本方針 経済回復施策予算の実施状況の公開・トレー Re covery.govをアマゾンのクラウドに移行 スのためのサイト Cloud First Policy発表 クラウド優先使用方針の確認 2 5 Point Implementation Plan to Reform Fe deral Information Technology クラウド優先使用方針の具体化のための施策 Management 2 009年3月 Vivek Kundar 連邦CIO(初設置)に就任 2 009年5月 2 009年12月 2 010年5月 2 010年11月 2 010年12月 2 011年2月 Fe dral Cloud Computing Strategy発表 クラウド活用戦略を具体化 2 011年6月 Vivek Kundar 連邦CIOを辞任 2 011年8月 Steven VanRoekel 第2 代連邦CIOに就任 実務畑からの昇格起用で戦略を継承 Fe deral Information Technology Shared クラウド活用戦略の再確認。 2 012年5月 連邦政府による活用の指令 Se rvice Strategy発表 Vivek Kundraは就任後ただちに政府保有データの公開のためのサイトData.gov 2(後述)を立ち上 げ、2009 年 6 月にはFederal Cloud Computing Initiativeを発表してクラウド採用戦略を明確にし ている。ほぼ時を同じくして、後述するようにNISTにおけるクラウドセキュリティの研究が開始さ 1 2 Chief Information Officer http://www.data.gov/ 1 れ、またFedRAMP(Federal Risk and Authorization Management Program)という調達プログ ラムの検討が始まっている。 さらに、2010 年 12 月に連邦CIOが発行した戦略“25 Point Implementation Plan to Reform Federal Information Technology Management”により「Cloud First」ポリシーを改めて明 示した。そして、2011 年 2 月には、Federal Cloud Computing Strategy を発表し、確立した戦略 としてクラウドの活用を改めて明示している。その狙いとするところは、膨張を続ける連邦IT予算 の削減と、ITの活用、データのオープン化を同時に達成するところにある。例えば 2011 年 2 月のCSA Summit 2011 3における基調講演では、増え続ける連邦政府のデータセンター数を圧縮することや連 邦IT予算の削減、その 4 分の 1 はクラウド化できることを訴え、すでに実現したクラウドによるコ スト圧縮の事例を紹介している。 同氏は 2011 年 6 月に退任したが、後任は連邦政府の実務畑出身のSteve VanRoekel氏が昇格し、 路線を引き継いでいる。翌年には新たな戦略も示され、また以下に見るようにFedRAMPもようやく 日の目を見るところまで来ている。米国政府におけるクラウドの戦略的活用の方針は、Data.gov 4、 IT Dashboard 5、Recovery.gov 6などに見るようにオープンデータ、開かれた政府の政策とも相まっ て、より強力に推進されているようである。 1-2.政府調達枠組み FedRAMP に関連する動向 「Cloud First」ポリシーのもと、 “25 Point Implementation Plan to Reform Federal Information Technology Management”により各省庁各々が、少なくとも 3 つのサービスを早期にクラウドに移行 することが要求された。 これに対応して、連邦政府のクラウドサービスの調達枠組みとして FedRAMP と呼ぶ仕組みが開 発され、2012 年から運用を開始している。FedRAMP は、クラウドサービスの利用に伴うリスクを 管理し、連邦政府として利用可能なサービスを認証する枠組みである。このプログラムで認証され登 録されれば、省庁毎に新たに調達評価の手続きを経ることなく、提供/調達が可能となる。共通調達 基準を整備することで個別手続きによる重複を排除し、積極的にクラウドを活用しようという意思の 表れである。 FedRAMPは、当初GSA 7とNIST 8が開発の中心であったが、最終的には図 1 に示すようにGSA, DOD 9, DHS 10, NIST, OMB 11, CIO 12 Councilの 6 機関が関係する複雑な仕組みとなっている。プロ ジェクトの運営はFedRAMP Project Management Officeが行うが、この機能はGSAが所管している。 調達対象のクラウドサービスを承認するのはJAB (Joint Authorization Board)で、GSA、DOD、DHS により構成される。NISTは評価基準や技術要件を提供し、技術を所管する。これにOMBが参加し、 3 https://cloudsecurityalliance.org/events/presentation-material/の「Cloud Security Alliance Summit 2011 – February 14, 2011」見出し下にある「download」ボタンから zip ファイルをダウンロード可能 4 連邦政府保有のデータを web で公開する仕組みおよびそのサイト http:www.data.gov 5 連邦政府の IT 政策及び予算の執行状況を公開するポータルサイト http://www.itdashboard.gov/ 6 連邦政府の経済復興政策について可視化とトレーサビリティを提供する情報公開サイト http://www.recovery.gov/Pages/default.aspx 7 General Services Administration 連邦政府一般調達局 8 National Institute of Standards and Technology 国立標準技術研究所 9 Department of Defense 国防総省 10 Department of Homeland Security 国家安全保障省 11 Office of Management and Budget 行政管理予算局 12 Chief Information Officer 最高情報責任者 2 省庁CIOの連絡機関であるCIO Councilが戦略統括と省庁間調整を行う。クラウドサービス事業者が FedRAMPの認定を受けるには、FedRAMPですでに認定されている第三者の評価機関(3PAO)による 評価レポートをFedRAMPに提出し、JABによる承認を受けるという手続きを踏むことになる。評価 基準はSP800-53 13をベースに”FedRAMP Security Controls”が定められている。 図 1 米国FedRAMPの構成 (FedRAMP CONOPS 14より) FedRAMPに関する年譜を表 2 に示す。このうち薄グリーン色の欄はFedRAMP以外のクラウド活 用施策である。FedRAMPは、2010 年 5 月のNISTの第 1 回ワークショップ(後述)ですでにブログ ラムの枠組みや機能が紹介されていたが、結局、最終的なプログラム開始のアナウンスまで、検討開 始から 24 ヵ月 15を要している。これは、すべての省庁の調達枠組みに影響することから、その利害 調整等に時間を要したためと考えられる。 FedRAMPは 2013 年 3 月現在、 認定サービスとして登録されているのは 2 件に過ぎない。 ただし、 連邦政府がそれだけしかクラウドを使っていないということではない。既にFedRAMP以前から個別 には多くのクラウドサービスが活用されている。2009 年 9 月には、GSAによりApps.gov 16というサ イトがオープンした。これは連邦政府がパブリッククラウドサービスを調達して利用するに際しての ポータルサイトで、GSAの審査と統一書式による契約受入を通過したクラウドサービスベンダ 12 社 が登録され、目的に応じてそのサービスが調達できる仕組みとなっていた。現在は http://info.apps.gov/というサイトに衣替えし、クラウドコンピューティング活用に関するオリエン テーションと、FedRAMPへの誘導を行う機能に変更されている。オープンデータの先駆的取組みで もあるData.govやRecovery.govも、 Apps.govにもFedRAMPにも登録されていないパブリッククラウ ドで運営されており、GoogleやAmazonも政府にサービスを提供している 17。 13 14 15 16 17 「連邦政府情報システムにおける推奨セキュリティ管理策」 NIST が定めるセキュリティ基準の一つ Concept of Operations http://www.gsa.gov/portal/getMediaData?mediaId=154239 2011 年 12 月 8 日の連邦 CIO による FedRAMP アナウンスメントによる言及。現実にはさらに 6 か月前の 2009 年 5 月には検討は開始されている。https://cio.gov/wp-content/uploads/2012/09/fedrampmemo.pdf 実際の運用開始宣言は上記アナウンスメントの 6 か月後の 2012 年 6 月。体制整備まで結局 3 年かかっている。 https://www.fbo.gov/index?s=opportunity&mode=form&tab=core&id=16bb843b947c3586d25407ca0e599507 現在は http://info.apps.gov/となっている。 http://techcrunch.com/2012/05/01/google-wins-35-million-u-s-government-contract-over-microsoft/ http://www.eweek.com/c/a/Cloud-Computing/Amazon-Helps-US-Government-Move-to-the-Cloud-883856/ 3 表 2 FedRAMP の開発推移 (報道資料等から IPA 作成) 時期 事象 内容・意味 2009年5月 FedRAMP検討開始 2009年9月 GSA、Apps.gov開始 連邦政府機関向けパブリッククラウド調 達のポータルサイト Proposed Sessuirty Assessment & Authorization for U.S. Governemnt Cloud Computing発表 FedRAMP構想のアナウンスメント Data.govのクラウド移行 Recovery.govのクラウド移行 オープンデータ政策 2011年12月 Security Authorization of InformationSystems in Cloud Computing Environments発表 FedRAMPの正式アナウンスメント 2011年12月 FedRAMPのクラウド業界向け説明会 第三者評価機関(3PAO)の説明・募集 2010年11月 2011年5月 2012年2月 FedRAMP Concept of Operations (CONOPS)発表 2012年6月 FedRAMP運用開始のGSAによるアナウンスメント クラウド事業者の募集開始通知 2012年10月 FedRAMPへの事業者登録手続の説明会 クラウド事業者向け登録手続説明 2012年12月 FedRAMP認証事業者第1号の登録 FedRAMP Webに公開 1-3.NIST におけるクラウドコンピューティングへの取組み NISTのクラウドコンピューティング研究は、遅くとも 2009 年には開始されている。当初の活動 は、クラウドのセキュリティに関する調査とクラウドの活用のメリットデメリットに関する情報の整 理で、 「Effectively and Securely Using the Cloud Computing Paradigm」と題するパワーポイント 18 と「The NIST Definition of Cloud Computing」と題するwordファイル 19は、初期のクラウドセキ ュリティ関係の研究者に頻繁に参照された。この二つはいずれも 2009 年 10 月に確定バージョンと なっている。 また 2010 年 5 月からはNIST Cloud Computing Forum and Workshopと題する会議が約半年のイ ンターバルで開始され、2013 年 1 月で 6 回 20を数えている。NISTのクラウド研究は、この会議を 区切りとし、そこに研究者や産業界からのスピーカー(最近は海外の政府・民間からも参加)を集め て情報交換しつつ研究を進めるマネジメントをとっているようである。議題も、第 1 回は進捗報告、 産業界と政府の各パネルの他、FedRAMPとSAJACC(後述)の報告のみであった。2 回目以降は Standards, Reference Architectue/Taxonomy, Security, Technology Roadmapといったテーマが一 貫して登場している。 NIST のクラウドコンピューティングチームは、現在いくつかのワーキンググループを編成してク ラ ウ ド の 体 系 的 定 義 や 整 理 に 取 り 組 ん で い る 。 ワ ー キ ン グ グ ル ー プ と し て は 、 Reference Architecture、Taxonomy、Security、Standards、Forensics、Business Use Cases、SAJACC な どがある。Forum and Workshop のテーマと一致しており、NIST の関心領域を示している。 これらのチームが分担して、技術文書であるSPシリーズを作成している(一部はドラフト段階)。 現在、公表されているものを表 3 に示す。SP800 はセキュリティ関連、SP500 はIT一般である。セ キュリティ関連はSP800-144, 145, 146 21までで、その後はSP500 シリーズの展開が続いている。 18 19 20 21 http://csrc.nist.gov/organizations/fissea/2009-conference/presentations/fissea09-pmell-day3_cloud-computing.pdf www.nist.gov/itl/cloud/upload/cloud-def-v15.pdf 6 回目に初めて”Cloud Computing and Big Data”というタイトルとなり、Big Data をも視野に入れだしている。 この 3 つの文書については邦訳を IPA の Web サイトで公開している。 (一部はドラフト段階) http://www.ipa.go.jp/security/publications/nist/index.html 4 表 3 番号 SP800144 SP800145 SP800146 SP500291 SP500292 SP500293 Vol.1 SP500293 Vol.2 SP500293 Vol.3 SP500296 NIST のクラウド関係 SP シリーズ (NIST の情報より IPA 作成) タイトル(英文) タイトル(和訳) ドラフト 正式版 パブリッククラウドコンピューティングのセ Guidelines on Security and Privacy in キュリティとプライバシーに関するガイドラ 2011年1月 2011年12月 Public Cloud Computing イン NISTによるクラウドコンピューティングの The NIST Definition of Cloud Computing 2011年1月 2011年9月 定義 DRADT Cloud Computing Synopsis クラウドコンピューティングの概要と推奨 2011年5月 2012年5月 事項 and Recommendations NIST Cloud Computing Standards NISTによるクラウドコンピューティング標 2011年7月 Roadmap 準の作業計画 NIST Cloud Computing Reference NISTにおけるクラウドコンピューティング 2011年9月 Architecture の参照アーキテクチャ US Government Cloud Computing 連邦政府のクラウドコンピューティング技 Technology Roadmap Vol. 1 術の道程標 第1部 2011年11月 High Priority Requirements to Further 連邦政府によるクラウドコンピューティン USG Agency Cloud Computing グ導入促進のための優先要求事項 Adoption US Government Cloud Computing 連邦政府のクラウドコンピューティング技 Technology Roadmap Vol. 2 術の道程標 第2部 2011年11月 Useful Information for Cloud Adopters クラウド活用者のための参考事項 US Government Cloud Computing 連邦政府のクラウドコンピューティング技 Technology Roadmap Vol. 3 術の道程標 第3部 2011年11月 Technical Considerations for USG 連邦政府によるクラウドコンピューティン Cloud Computing Deployment グ採用判断のための技術的検討事項 Decisions Challenging Security Requirements for 連邦政府によるクラウドコンピューティン US Government Cloud Computing グ採用に際して課題となるセキュリティ要 2012年5月 Adoption 件 このうち SP500-293 Vol.I では、優先度の高い 10 の取組み課題(High-Priority Requirements) を設定し、クラウドの実利用への道筋を開こうとしている。そのリストを表 4 に示す。実用を意識 した具体的課題を設定していることが読み取れる。これらは現在、テーマごとに産官学協同のチーム が編成され取組みが進められている。結論に達した段階で文書に反映するものと考えられる。 表 4 NIST クラウドにおける優先度の高い 10 の取組み課題(High-Priority Requirements) 1. 国際的自主的合意に基づく相互運用性、移転可能性、セキュリティ標準 2. 重要なセキュリティ要求条件に対するソリューション 3. 一貫性のある質の高い SLA を実現する技術仕様 4. クラウドサービスの明確で一貫性のあるカテゴリ分け 5. コミュニティクラウド環境の連携のシームレスな実装をサポートするフレームワーク 6. 組織のポリシー判断に依存しない技術的セキュリティソリューション 7. 政府に固有の規律要件、技術ギャップ、ソリューションを明確に定めること 8. 協働・同時進行・戦略的「未来のクラウド」開発イニシアティブ 9. 信頼性設計を明確に定義し実装すること 10. クラウドサービスの計測評価体系を明確に定義し実装すること また SP500-292 で示された Reference Architecture では、クラウドの内部構造だけでなく、その 5 活用も視野に入れたアーキテクチャの定義に取り組んでいる。その中で概念参照モデルとして示され ているのが図 2 である。 ここで特徴的なことは、 「クラウドプロバイダ」の内部に、クラウドサービスを生み出す仕組みと しての Cloud Orchestration、その管理要素(Cloud Service Management)、セキュリティ、および プライバシーの 4 要素を位置付け、その外に「クラウドブローカー」 「クラウドキャリア」 「クラウ ド利用者」 「クラウドオーディター」を配置していることである。特に、「クラウドブローカー」 「ク ラウドオーディター」という機能を、クラウドの利用に伴って必要となる要素として明示している点 は注目される。 このうち「クラウドブローカー」はクラウド事業者とクラウド利用者の間を仲介する機能の事業者 で、単なる取引や導入の仲介から、複数クラウドを組合せてユーザに提供するインテグレーションや、 その組合せを動的に最適化するような機能まで提供 22する。 クラウドの高度な利用やカスタマイズ要 求への対応を可能にする第三者サービスと言える。 また「クラウドオーディター」はクラウドのセキュリティ、プライバシー保護、パフォーマンスな どに関する監査を実施する第三者で、クラウド利用者の要求をクラウド事業者がどのように、どの程 度満たしているかを第三者の中立的立場で評価したり証明したりする機能を提供する。利用者側のコ ンプライアンスや管理要求に対して、クラウド事業者側が個別対応することによる負荷やコスト負担 の問題を、第三者が介在して 1 回の作業による中立的評価結果を複数利用者に提供することで軽減 し、双方のニーズを満たす構造が実現できる。 図 2 NIST によるクラウドの参照アーキテクチャ (SP500-292 より) NISTがクラウドの研究開始初期から継続的に取組んでいるプロジェクトがSAJACCである。 22 詳しくは「クラウドコンピューティングの社会インフラとしての特性と緊急時対応における課題に関する調査」報 告書 PP164-165 参照 http://www.ipa.go.jp/security/fy23/reports/cloud/index.html 6 SAJACCはStandards Acceleration to Jumpstart Adoption of Cloud Computing の頭文字をとった もので、その名の通り、連邦政府によるクラウド利用の促進のために基準作りを進めるプロジェクト である。実態としては、活用事例を積み上げてベストプラクティスを示すことに主眼が置かれている。 これにより、実務的なクラウドの活用基準が固まっていくものと考えられるが、プロジェクトリーダ ーのAlan Sillによれば 23、さらに海外も含めてユースケースを積み上げたいと考えているようであ る。 以上、米国連邦政府におけるクラウドへの取組みを、CIO 主導による戦略、FedRAMP、NIST の 動きに焦点を当てて見てきた。 NIST のクラウドへの取組みは、当初はセキュリティ課題を中心に 進められていたが、 FedRAMP の中心が GSA に移り、 SAJACC への取組みを強めた 2011 年頃から、 より総合的な研究に軸足が移ってきている。それが SP800 シリーズから移行した SP500 シリーズの 展開にも表れており、標準・基準の整備、参考アーキテクチャの整備を経て、高優先取組み課題とい った具体的テーマを展開して実運用への準備を進めるなど、連邦政府によるクラウド利用のための具 体的環境整備に進んできている。 連邦政府は、FedRAMP という省庁横断プログラムにより環境を整えつつ、クラウドへの移行を 半ば強制的に推進している。FedRAMP は、途中 Apps.gov による調達ポータルや個別プロジェクト ごとのスポットでのクラウド採用といった経緯を経つつ、連邦政府共通枠組みとして運用を開始した。 このように多大な労力と時間をかけて、政府によるクラウド活用の枠組みの整備に取り組んでいる 実態からは、米国連邦政府の、クラウド活用のメリットを戦略的に評価して推進する強い姿勢が読み 取れる。また1-1.で触れたオープンガバメントポリシーも含め、IT 戦略の一貫性と力強さを示 すものと感じられた。 2.米国を中心とした民間の標準開発の動向 表 5 に、クラウドに関係のある標準開発団体や機関の主なものをまとめた。 このうち国際標準化機関 3 団体はいずれも欧州を本拠としているが、 Eurocloud 24 (欧州)、 GICTF 25 (日本)と政府機関を除けば、その他の標準化団体の本拠地はアメリカであり、アメリカが情報の集 散の中心となっている例が多い。IEEE 26やDMTF 27といった、クラウド以前から標準開発を担って いた多くの団体が、クラウドにも関係する、あるいはクラウドに固有の技術要素に関する標準化を推 進している。また、クラウドがコンピュータの利用モデルとして革新的であり、その影響範囲が大き いことから、Open Cloud Manifesto 28を始めとするクラウドに特化した団体や、更にはCSA 29のよう にそのセキュリティに特化した団体まで形成されている。 23 24 25 26 27 28 29 2013 年 2 月に直接聴取。 Alan Sill: Texas Tech University Senior Scientist SAJACC WG リーダ http://www.eurocloud.org/ http://www.gictf.jp/ http://www.ieee.org/index.html http://www.dmtf.org/ http://www.opencloudmanifesto.org/ https://cloudsecurityalliance.org/ 7 表 5 国際標準化 機関 クラウドの標準に関連する機関・団体 (各種情報から IPA 作成) ISO (International Standard Organization) IEC (International Electrotechnical Commission) ITU-T (International Telecommunication Union Telecommunication Standardization Sector) IEEE (Institute of Electrical and Electronics Engineers) OASIS (Organization for the Advancement of Structured Information Standards) 技術開発の 中で標準化を OIDF (Open ID Foundation) DMTF (Distributed Management Task Force) 進める団体 SNIA CSI (Storage Networking Industry Association Cloud Storage Initiative) クラウドのた めの団体 クラウドのセ キュリティの ための団体 政府機関 Open Cloud Manifesto Cloud-Standards.org OMG(Object management Group)/CSCC(Cloud Standards Customer Council) ODCA (Open Data Center Alliance) Eurocloud CSA (Cloud Security Alliance) GICTF (Global Inter-Cloud Task Force) NIST (National institute of Standards and Technology) ETSI (European Telecommunications Standards Institute) ENISA (European Network and Information Security Agency) NISC (National Information Security Center) クラウドにおける関心事の一つは、複数のクラウドベンダー間でアプリケーションやデータの移 転・移行ができるか、という問題である。クラウド事業者が提供する環境と、自社内(オンプレミス) 環境との間についても同様のニーズがある。その目的とするところは、特定のクラウド事業者への依 存度を下げてユーザの自由度・選択肢を確保することにある。また、特に東日本大震災以降は、別の 環境への移転による事業継続、サービス継続の視点からも関心が高まっている。インターオペラビリ ティ(相互運用性)やポータビリティ(移植可能性)を実現するための取組みや技術開発が、多方面 で行われている。 その例としてはDMTFによるCIMI(Cloud Infrastructure Management Interface )やOVF (Open Virtualization Format)、OGF 30によるOCCI(Open Cloud Computing Interface)、SNIA 31による CDMI(Cloud Data management Interface)、Open ID Foundation 32 によるOpenID Connect、 SCIM(Simple Cloud Identity Management)などがある。 IPAは、 「クラウドコンピューティングの社会インフラとしての特性と緊急時対応における課題に 関する調査」報告書 33やテクニカルウォッチ「社会インフラとしてのクラウドに求められる信頼性と サービス継続のための条件について」34で述べたように、社会インフラとして浸透するクラウドの停 止リスクについて対応を考えておく必要があることを訴えている。クラウドを支えるデータセンター が停止したときに、他のプラットフォームにその機能を移転してサービスを継続することが重要課題 となる。そのためには、相互運用性や移植可能性、更には移転可能性が必要な特質となる。 上で述べた、各団体において開発された技術標準は、相互運用性や移植可能性の実現を容易にする 30 31 32 33 34 http://www.gridforum.org/ http://www.snia.org/ http://openid.net/foundation/ http://www.ipa.go.jp/security/fy23/reports/cloud/index.html http://www.ipa.go.jp/about/technicalwatch/20130131.html 8 ものとして、あるいはそれを支える機能として期待される。またクラウドの移転可能性については、 グローバルクラウド基盤連携技術フォーラム(GICTF)が、緊急時に複数データセンター間でクラ ウドを移転するための技術標準の開発を提唱している。 多数の組織による技術標準の開発が進み、クラウド間での機能・サービスの移動が容易になること は歓迎すべき動きとして注目できる。また、今後、これら複数の標準の間で、互換性や不整合の解消 等がされ、相互の連携が可能とされていくことが期待される。 3.ヨーロッパにおけるクラウド活用戦略 3-1.デジタルアジェンダとクラウドパートナーシップ 欧州委員会(European Commission, EC)が推進するデジタルアジェンダ(正確にはThe Digital Agenda for Europe, DAE 35 )は、ヨーロッパ経済を再生することを目指し、欧州の市民や企業がデ ジタル技術を最適に活用できるよう支援する取組みで、2010 年に発動された「欧州 2020」と題する 成長戦略に基づく7つの取組み課題の第1に位置づけられている。 この戦略に基づき、2012 年 1 月のダボス会議 36でデジタルアジェンダ責任者である欧州委員会の Neelie Kroes副委員長が提唱 37したのがEuropean Cloud Partnershipである。4 月には説明会が開 催され、その狙いはEU参加国の公的部門におけるクラウド活用のための要件整備にあるとの説明が なされた。それは、①調達要件の整備、②要件の妥当性の検証、③要件に基づく調達実践モデルの構 築という 3 段階を経て実現するものとされた。その後、2012 年 9 月には、声明“Unleashing the Potential of Cloud Computing in Europe 38”が発表され、クラウドとは何であるか、European Cloud Partnershipとは何であるか、クラウドにおけるセキュリティとデータ保護、などの説明が示され、 EUにおけるクラウドの戦略的重要性が強調された。 同声明ではまた、European Cloud Partnership推進当局の任務が改めて強調された。これを受け てEuropean Cloud Partnershipの運営理事会は同年 11 月に初会合を開き、その議事要旨 39を公開し た。その内容は、EU加盟国間での法的文化的不均一が欧州全域で同一のサービスを提供する形での クラウドの進展を妨げていることを指摘しつつ、データセキュリティ、ベストプラクティスの共有、 標準化開発等に取組む、としている。 一方、以下に見るようにENISA 40はここ 5 年ほど精力的に活動していくつかのレポートを公表し ている。またETSI 41ではクラウドの標準化に関する調査プロジェクトが 2012 年 12 月に始動した。 またそれと機を一にするように、 2012 年後半にはFP7 資金によるプロジェクトも複数始動するなど、 実務をになう公的機関や民間は活発な動きを見せている。 35 36 37 38 39 40 41 http://ec.europa.eu/digital-agenda/ World Economics Forum が主催する世界の政治経済指導者を一堂に会する会議 http://europa.eu/rapid/press-release_SPEECH-12-38_en.htm http://europa.eu/rapid/press-release_MEMO-12-713_en.htm https://ec.europa.eu/digital-agenda/en/european-cloud-partnership European Network and Information Security Agency http://www.enisa.europa.eu/ European Telecommunications Standards Institute 9 3-2.ENISA におけるクラウドのセキュリティに関連する調査研究活動 ENISAはEuropean Network and Information Security Agencyの略で、IPAでは欧州ネットワー ク情報セキュリティ庁と訳している。ENISAは以下のように継続的にクラウドセキュリティに関連 する調査レポートを発表し続けている。表 6 にその一覧を示す。なお、IPAではその一部について日 本語訳を公開 42している。 表 6 時期 ENISA によるクラウドのセキュリティに関連するレポート レポート名(原文) Cloud Computing 2009年11月 Benefits, risks and recommendations for information security An SME perspective on Cloud Computing 2009年11月 Survey Cloud Computing 2009年11月 Information Assurance Framework Security & Resilience in Governmental 2011年1月 Clouds Making an informed decision Procure Secure 2012年4月 A guide to monitoring of security service levels in cloud contracts Critical Cloud Computing 2012年12月 A CIIP perspective on cloud computing services 内容 備考 クラウドコンピューティングのリスク評価。発生 IPAから日本語訳 確立とインパクトによる重み付け・重要度評価 を提供 が特徴 中小企業によるクラウド利用に関する実態調 査 中小企業によるクラウド利用上のセキュリティ IPAから日本語訳 課題解説 を提供 政府におけるクラウド調達において留意すべ IPAから調査執筆 き事項の解説 に参画 クラウドのサービスレベルを継続的計測に IPAから調査執筆 よって評価するための指標や方法論の提供 に参画 東日本大震災に 重要インフラとしてのクラウドのセキュリティと 言及。自然災害リ 災害対応、事業継続に関する問題提起 スクを視野に このうち、2009 年 11 月に発表された最初の報告書“Cloud Computing: Benefits, risks and recommendations for information security”は、クラウドにおけるリスク要素を、その発生頻度、イ ンパクトの大きさ、クラウドに固有なリスクの度合いによって数値化することで擬似的な定量評価を 実現し、またリスク度を大中小の 3 領域にプロットして示すなど、そのアプローチのユニークさと 判り易さで高い評価を得ている。 また、“Security & Resilience in Governmental Clouds: Making an informed decision”は政府調 達における留意事項をシナリオライティング手法も取り入れて判りやすく解説するとともに、日本で 実験的に取組まれたJ-Cloud 43について紹介し、政府支援の下に中小企業に事業機会の拡大とIT活用 機会の提供を実現する一挙両得の施策にも言及している。これに続く“Procure Secure”ではSLAと Continuous Monitoringという新しい課題を取り入れてレポートにまとめている。 更に、2012 年 12 月に発表された“Critical Cloud Computing: A CIIP 44 perspective on cloud computing services”では、クラウドを重要情報インフラと位置付け、その自然災害による停止リス クに、東日本大震災に触れつつ言及し、クラウドが止まらないようにする対策の必要性を指摘してい る。これはIPAの報告書やテクニカルウォッチで主張するところと一致しており、ENISAが東日本大 震災を教訓として、日本と同様の視点に立って警告を発したレポートとして、注目に値する。 42 43 44 http://www.ipa.go.jp/security/publications/enisa/index.html 経済産業省の資金によりクラウド基盤を用意し、中小パッケージソフトウェアベンダがクラウド型サービスを提供 できる環境を提供するとともに、IT 投資負担が軽い中で IT 活用を促進させるためのプロジェクト。現在は富士通 が運用を行っている。 Critical Information Infrastructure Protection 重要情報インフラ防御 10 3-3.ETSI におけるクラウドの標準の調査 ETSI は European Telecommunications Standards Institute の略で、欧州連合における電気通信 の標準の開発・制定機関である。2012 年 9 月に出した声明(3-1.参照)に基づいて、欧州委員 会は ETSI にクラウドの標準に関する整備の取組みを依頼し、それに対応して Cloud Standards Coordination(CSC)という活動が編成された。これは、欧州委員会における、クラウドの標準化の推 進が必要であるいう問題意識と、にも拘らず適用すべき標準が見えない現状に対する懸念とに基づい たものである。 CSC は 2012 年 12 月のカンヌでのキックオフ会合で参加者(125 名)の顔合わせが行われて動き 出したところであり、具体的成果はこれからの活動にかかっている。現在、図 3 のようなチーム編 成を行い、各チームごとに情報の収集と整理に取組んでいるところである。現時点でそのゴールやタ イムスケジュールは明らかでないが、作業が完成すれば、クラウドをめぐる各種標準の整理や体系付 けが得られ、EU としてのクラウドの活用と管理の方向性が見えてくるものと思われる。 図 3 ETSI における CSC のチーム構成 3-4.クラウドに関連する FP7 プロジェクト FP7 は 7th Framework Program の略で、 欧州委員会による研究開発資金提供プログラムである。 EU 参加国の個人や企業や機関が複数集まって団体を形成し、研究開発テーマの提案を行って FP7 事務局の審査に合格すれば開発資金の供給が受けられる上に、その成果を自分たちの活動に使用する ことができる枠組みである。団体は複数国からの参加が条件で、EU 外からのメンバーが含まれるこ とが推奨されている。以下、クラウド関連のプロジェクトを、IPA が情報を入手している範囲で紹介 する。 3-4-1.CIRRUS CIRRUS は Certification, InteRnationalisation and standaRdisation in cloUd Security の略で、 クラウドのセキュリティに関する標準・基準についての国際的調査と整理を行うことを目指したプロ ジェクトである。2012 年から 2 年間の予定で活動中で、参加メンバーは以下の通りである。 ATOS(スペイン) :プロジェクトリーダー Cloud Security Alliance EMEA 本部(国際団体、英国拠点) Grant Thornton(オランダ) 11 Austrian Standards Institute(オーストリア) Portakal Teknoloji(トルコ) IPA(日本) 活動内容としては、世界各国におけるクラウドのセキュリティに関する取組みや標準等の調査、ク ラウド事業者、クラウドユーザ、監督当局からの意見聴取、データ保護、プライバシー、フォレンジ ツクスに関する標準化動向の整理、これらをテーマにした有識者会議の開催、報告書の作成、等とな っている。 表 7 CIRRUS Workshop のプログラム (CIRRUS Web サイトより) 第 1 回有識者会議(ワークショップ)は、2013 年 2 月 28 日にベルギー・ブリュッセルにおいて 開催された 45。そのプログラムは表 7 に示すとおりで、“Standardisation and Certification,” “Data Protection and Privacy,” “Cloud Forensics,” “ICT Industry View”の 4 セッションに、IPAからの参 加も含め延べ 16 人のセッションチェアとスピーカーが登場し、約 40 名の一般参加者とともに討論 を行った。 3-4-2.OCEAN OCEANはOpen Cloud for Europe, JApan and beyoNdの略で、オープンソースソフトウェアベー スのクラウド環境に関する調査プロジェクト 46である。参加メンバーは以下の通りで、このプロジェ クトにもIPAが参画している。 Fraunhofer FOKUS(ドイツ) 45 46 http://www.cirrus-project.eu/content/first-cirrus-event http://www.ocean-project.eu 12 Engineering S.P.A.(イタリア) OW2(フランス) IPA(日本) その活動内容は図 4 に示すポートフォリオとなっており、 オープンソースクラウドのマッピング、 インターオペラビリティのフレームワーク作り、オープンソースクラウドの品質保証とその証明枠組 みなどを開発目標としている。 図 4 OCEAN プロジェクトの活動ポートフォリオ (OCEAN 資料より) 3-4-3.CUMULLUS CUMULUSはCertification infrastrUcture for MUlti-Layer cloUd Servicesの略で、クラウドの認 証に関連する調査プロジェクト 47である。その参加メンバーは以下の通り。 Fondazione Ugo Bordoni (イタリア) Atos (スペイン) The City University of London (イギリス) Universidad de Málaga (スペイン) Università degli Studi di Milano (イタリア) Infineon Technologies AG (ドイツ) Wellness Telecom (スペイン) Cloud Security Alliance (Europe) (国際団体、英国拠点) このプロジェクトの目的は、ユーザとベンダの間で温度差のあるクラウドのセキュリティと信頼に 関する保証についての枠組みを整理し、IaaS、PaaS、SaaS といったレイヤーの違いを超えて、認 証と証明の一貫した体系を整備し、単一の証明体系を構築しようとするところにある。 このように、FP7 プログラムの下でも、クラウドのセキュリティに関する標準化や保証について 調査プロジェクトが複数進行している。 47 http://www.cumulus-project.eu/ 13 3-5.欧州におけるその他のクラウド関連の協同プロジェクト 2013 年 2 月 27, 28 日、ベルギーのブリュッセルにおいて、Cloudscape V と題するクラウドに関 する国際会議が行われ、IPA からも招待講演を行った。その中で、欧州における各種のクラウド関連 のプロジェクトに関する発表講演やポスターセッションが行われた。参加した団体・グループで資料 を入手できたもののうち、主なものを紹介する。 (1) EGI EGI は European Grid Infrastructure の略で、ドイツに拠点を置いている。その機能は、欧州各 国および EU 共同のグリッド研究組織間の連携・調整と、それら組織のコンピューティングインフラ を連結したサービスを提供することにある。これを基盤として、関連する研究機関との協同・連携や、 各種開発プロジェクトへの支援、クラウド間連携の提供を行っている。 (2) mOSAIC mOSAIC は Open Source API and Platform for multiple Cloud の略で、フランス、イタリア、ス ペイン、スロベニア、チェコ、ハンガリーの連合である。開発対象はオープンソースのプラットフォ ームおよび API で、複数の異なるプラットフォーム上で動作可能なアプリケーションの開発を支援 する開発環境である。mOSAIC プロジェクトも FP7 の資金支援を受けて進められている。 (3) Cloud Plugfest Cloud Plugfest は、クラウドにおける相互運用性実現のための協力の枠組みで、OGF、SNIA、 ETSI、OCEAN などと連携している。 (4) OPTIMIS OPITMIS はクラウドサービスを最適化するためにフレームワークアーキテクチャや開発用ツー ルキットを開発することを目的とした、クラウドのためのプロジェクトで、SAP、BT、Atos、 Fraunhofer-SCAI など 14 の組織が参加する FP7 プロジェクトである。 (5) SIENA SIENA は Standards and Interoperability for eInfrastructure implemeNtation initiAtive の略で、 相互運用可能な分散コンピューティング環境の発展と活用促進のためのプロジェクトである。 SIENA も FP7 の資金提供を受けており、企業、標準開発団体、その他の関係諸機関と連携して活動 を進めている。特に NIST、OGF、IEEE、ETSI、SNIA、ITU-T と密接な連携を図っている。 欧州においては、クラウド戦略を発表した欧州委員会によるイニシアティブは、3-1.に見たよ うに必ずしも順調に進んでいるようには見えない。その中心を担う European Cloud Partnership (2012 年1月発表)の運営理事会の初会合は同年 11 月にやっと開催され、その議事要旨は「いろい ろ難しさを抱える中で、とにかく前進する、 」というメッセージングにとどまった感がある。欧州全 体として、特に国の政策や主権が関係する場合には、この種の戦略を具体的成果を伴って推進してい くことの難しさを示しているように見える。それに対して、民間のプロジェクトは多数活発に活動し ている。その多くは FP7 の資金を活用するものであり、FP7 の民間開発への誘発効果は大きいと感 じられる。 14 4.日本における標準化その他のクラウド関係の活動 4-1.ISO/IEC JTC1 SC27 48におけるクラウドセキュリティ標準の開発 経済産業省は 2011 年 4 月にクラウドサービス利用のための情報セキュリティマネジメントガイド ラインを策定・発表 49した。これはJISQ27001/27002 に基づく情報セキュリティマネジメントシス テムの要求事項をクラウドに適用した場合の要求事項や推奨事項をまとめたものである。同省は、こ のガイドラインに基づく、クラウドのためのセキュリティ管理の標準をISO/IEC27000 シリーズの一 つとして策定することをISO/IEC JTC1 に提案し、現在策定作業が進められている。この標準は、 特定領域における基準/ガイドラインの位置付けで、ISO/IEC27017 として、2013 年にも標準化さ れる見通しである。 図 5 に ISO/IEC における委員会や規格の体系を示す。 Joint Technical Committee International Organization for Standards Terminology Requirements JTC1 SCn SCn SCn International Electrotechnical Commission SC27 SC38 Attributed to: Mr. Shin Yamashita, from presentation at NSF2013 図 5 ISO/IEC27000 ISO/IEC27001 ISO/IEC27006 Guidelines ISO/IEC27003 ISO/IEC27002 ISO/IEC27004 ISO/IEC27016..... Sector Specific Standards /Guidelines ISO/IEC27011 ISO/IEC27017 ISO/IEC27012 ISO/IEC27015..... IT Security Techniques Distributed Application Platforms and Services Cloud Computing Security Cloud Computing/SOA ISO/IEC における委員会編成とクラウドセキュリティ関係の標準の体系 (Network Security Forum における山下真氏発表資料を基に IPA 作成) 4-2.クラウドのセキュリティに関する監査の枠組みの開発 日本セキュリティ監査協会 50(JASA)は、経済産業省のガイドライン(上述)に基づき、クラウ ドのセキュリティに関して,以下に述べる監査の仕組みを開発した。 情報セキュリティマネジメントシステムや個人情報保護法は、委託先における情報保護や情報セキ ュリティ管理に関して、委託元が管理や確認をすることを要求している。パブリッククラウドの利用 は委託関係に該当するが、クラウドの場合、サービス提供側の内部におけるセキュリティ管理システ ムをユーザが直接確認することはきわめて難しいという問題がある。これに対して、情報セキュリテ 48 49 50 ISO: International Organization for Standards IEC: International Electrotechnical Commission Joint Technical Committee 1 SC27: SubCommittee 27 http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html http://www.jasa.jp/ 15 JTC1: ィ監査を行う第三者が、一定の基準に基づいて、クラウド事業者が実施している情報セキュリティ対 策について監査し、その結果を報告することで、委託側の管理・確認責任を補完するというのが、ク ラウドの情報セキュリティ監査の考え方である。 JASAは、この仕組みのために、クラウド情報セキュリティ管理基準(クラウドサービス提供者が 遵守すべきセキュリティ管理項目の体系。情報セキュリティ管理基準 51のクラウド版)およびその利 用ガイドを開発し公表 52している。 この監査の枠組みでは,クラウドの構造を参照モデルとして簡略化し、それに対して、クラウド事 業者が宣言すべきセキュリティ管理の典型的モデルを作成し、その遵守・実施状況を監査するという 仕組みを開発して、監査手続きの煩雑さやコスト増を回避する工夫がなされている。また、リスク要 素として ENISA のモデルを援用する等、客観性もしくは既に広く世界的に受け入れられている概念 を採り入れて、他の標準との親和性を高めるよう工夫している。その構成イメージを図 6 に示す。 定義済みリスク要素 簡略化クラウドモデル No 【Cloud Computing Layer Model】 H01 User layer High RIsk Service layer (SaaS /PaaS /IaaS / etc.) Service Management System Virtualized Layer r Virtual Resource Layer ( Virtual Machine /Virtual Storage /Virtual Network /etc.) ( Orchestration /BCP/ DR/ Monitoring/ Operation/ Security) Virtualizing Function (Hypervisor /Host OS) Hardware (Server/ Storage/ Network/ etc.) Physical Layer Facility (HVAC/Power/Communication/ etc.) Area of Standardized IS Management Layer Model to define technical controls clearly Copyright 2012 Japan Information Security Audit Association. All rights reserved. 15 H03 H04 H05 H06 M07 Medium Risk Physical Layer H02 www.jasa.jp M08 M09 M10 M11 Name of risk Increasing Impacts of highly aggregated computing resources and infrastructures Mismatch between virtual and physical systems on design and operation phase Loss of business reputation due to co-tenant activities Resource exhaustion (under or over provisioning) Isolation failure Compromise service engine Cloud provider malicious insider - abuse of high privilege rolls) Management interface compromise (manipulation, availability of infrastructure) Intercepting data in transit Data leakage on up/download, intra-cloud Insecure or ineffective deletion of data Distributed denial of service (DDoS) 標準言明書 監査システム クラウド事業者 図 6 監査人 クラウド利用者 クラウドのセキュリティ監査の枠組み (JASA 資料より IPA 作成) 4-3.日本におけるクラウド関連の団体等 日本では、アマゾン、グーグル、マイクロソフト、セールスフォースなど、アメリカを本拠とする クラウドサービスが多く提供されるとともに、富士通、日立製作所、日本電気をはじめ国産のクラウ ドサービスも数多く提供され、様々な企業によるクラウド活用が多様に進められている。そうした中 で、クラウドの提供事業者やセキュリティ関係者等による、クラウド関係の団体が形成され、活動し ている。以下、その主なものを紹介する。 51 52 http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard.pdf http://www.jasa.jp/information/result.html 16 4-3-1.ジャパン・クラウド・コンソーシアム(JCC) ジャパン・クラウド・コンソーシアム(JCC)53は、わが国におけるクラウドサービスの普及・発 展を産学官が連携して推進することを目的として設立され、総務省及び経済産業省の支援の下、クラ ウドサービス関連企業・団体等におけるクラウドサービスの普及・発展に向けた様々な取組みについ て、横断的な情報の共有、新たな課題の抽出、解決に向けた提言活動等を行っている。以下の 9 つ のワーキンググループが編成され、クラウドの可能性の開発や産業活性化のための活用を研究してい る。特に、教育、農業、健康・医療、水産業、観光といった、従来ITの活用が余り浸透していなか った分野で、クラウドの利用の容易さを生かしてITを活用できるようにするための用途開発等が進 められている。 1. クラウドマイグレーション検討 WG 2. 業務連携クラウド検討 WG 3. 教育クラウド WG 4. 次世代クラウドサービス検討 WG 5. 農業クラウド WG 6. 健康・医療クラウド WG 7. 水産業クラウド WG 8. 観光クラウド WG 9.M2M・ビッグデータ WG 4-3-2.ASP・SaaS・クラウド コンソーシアム(ASPIC) ASP・SaaS・クラウド コンソーシアム(ASPIC)54は、ASP、SaaS、クラウド事業者による活 動機関で、特定非営利活動法人(NPO)である。ASP・SaaS・クラウドの市場拡大のための共同開 発事業や、クラウド事業者の情報開示制度の開発・運営などを行っている。 クラウド事業者の情報開示に関しては、ASPIC が開発し総務省が告示している情報開示指針に基 づき、事業者の情報開示について公的認定を付与する「クラウドサービス安全・信頼性に係る情報開 示認定制度」 (認定機関は一般財団法人マルチメディア振興センター)を運営している。この制度は、 クラウドの利用者が、事業者のサービスやセキュリティの管理について知りたいというニーズに応え るためのもので、基準に基づく申告とその審査を経て認定を与え、その情報を開示することで、客観 的評価が確認できる仕組みを提供している。 4-3-3.日本データセンター協会(JDCC) 日本データセンター協会(JDCC)55は、クラウド以前から、データセンター事業者の団体として 活動している。その主たるアウトプットは、データセンターファシリティスタンダードで、データセ ンターの設備およびその運用に関しての基準を体系化したものである。同基準は、データセンターの 重要度、取り扱うデータやシステムの重要度に応じて4段階のグレードを定義し、グレードごとにデ ータセンター事業者が満たすべき基準を定めている。 この基準があったため、東日本大震災に際しても、同協会傘下のデータセンターで、地震を直接の 原因として機能停止したデータセンターはなかった 56。同協会はそれでも、同震災を踏まえて必要な 53 54 55 56 http://www.japan-cloud.org/index.html http://www.aspicjapan.org/ http://www.jdcc.or.jp/ 同協会理事の江崎浩東大教授の講演による 17 見直しを行い、その結果を公表 57している。 4-3-4.クラウドセキュリティアライアンス日本支部 58 クラウドセキュリティアライアンス(CSA)は、世界各地で、その地域の有志による任意設立の 形で支部を設立している。日本においても、2010 年 6 月に支部が形成され、活動を行っている。現 在、同支部は任意団体で、特定の代表者や事務所を持たない状態で活動 している。その活動内容の 主なものは、セミナーの開催、CSAの成果物の日本語化や、日本において適用する場合の解釈等の 提供などとなっている。 このように、日本におけるクラウド関係の動きは、ISO の標準開発を除けば比較的国内に閉じた 活動になっているように見える。クラウドは国境をまたがる利用やデータ移動が一般的になる傾向が あることを考えると、より国際に開いた活動や、標準化への取組みが必要ではないだろうか。 まとめ 以上、米国、欧州、日本における、クラウドに対する政府の取組みの動向や、標準化に関する動向 を中心に見てきた。 米国は、IT コスト削減を主たる目的として、連邦政府が全面的にクラウドを活用することが戦略 的課題として打ち出されているが、FedRAMP に登録されたクラウドサービスがまだ 2 件にとどま る等、その具体化には手間取っている印象を受ける。 一方、民間による標準開発の動きは活発である。 欧州は、欧州委員会の IT 活用戦略の中でクラウドも戦略テーマに位置づけられているが、現状は 複数の断片的プロジェクトが平行して進められているように見える。これらが全て成果に結びつき、 かつ統合されて大きな力となることができればその効果は大きいかもしれないが、現状ではそのよう な未来図は見えていない。 日本では、政府が主導してクラウドを積極的に活用するような戦略は、それほどはっきりと見えて いるわけではない、という印象である。その中で、民間による用途開発が企業個別に、あるいは共同 して進められているように見える。その成果が世界をリードするようなものになり、そのパワーによ りリーダーシップを発揮する形になることが望ましいが、現時点で成果が見えているわけではない。 その一方で、2.で見た民間主導の標準開発団体(DMTF など)に参加して活躍する日本人研究者 も増加している。が、ISO/IEC27017 を除けば国際的標準化活動を日本が主導性する形は余り多く見 られない。欧米主導で技術標準の多くが決められていくことになるとすれば、日本が競争上不利にな る恐れもある。 クラウドという国際性の強い、世界一律の技術標準が支配しやすい環境において、国際標準化活動 で主導性を発揮することは、競争優位性の確保や国益の確保の上で大事な要素であると考えられる。 その面での日本勢の活動がより活発化し、国際標準化への取組みがより積極化することが望まれる。 57 58 http://www.jdcc.or.jp/news/article.php?nid=eccbc87e4b5ce2fe28308fd9f2a7baf3&sid=81 https://chapters.cloudsecurityalliance.org/japan/ 18