第21回ニッポンクラウド ワーキンググループ会合報告
「クラウドセキュリティの潮流」をテーマに第21回ニッポンクラウドワーキンググループ会合を開催致しました。
ビットアイル様に会場をご提供頂き、会合の前にデータセンター見学会を実施頂きました。今回も40名を超えるメンバーが参加する活気ある会合となりました。
「クラウドセキュリティの潮流」をテーマにセキュリティ教育及びセキュリティインシデントの調査研究・対策の現場で活動されている講師の方にリアルな話を発表頂く貴重な場となりました。
ご参加いただいた皆様、ありがとうございました。
【日時】
ニッポンクラウドワーキンググループ第21回会合
2014年3月6日(木)17:00~19:00
同時開催イベント
・ビットアイル社データセンター見学会
・2014年3月6日(木)15:00~16:00
【場所】
株式会社ビットアイル
【参加者】
メンバー、協賛各社および関係者の方々を含めて約40名
【発表概要】
1.副会長からのご挨拶
藤田 浩之(株式会社オレガ)
今回の会合のテーマは「クラウドセキュリティの潮流」です。
サムライクラウドサポーターの武藤先生(情報科学専門学校)、後藤先生(情報セキュリティ大学院大学)より、『情報科学専門学校におけるクラウドに関する人材育成の取り組みについて』、『情報技術人材育成のための実践教育ネットワーク形成事業であるenPiTにおける、セキュリティ分野での取り組みについて』及び『総務省 「クラウドサービス提供における情報セキュリティ対策ガイドライン」(案)』についてご発表いただきます。
また、当ワーキンググループのメンバーであり国内セキュリティ業界の第一人者であるネットエージェント杉浦様より、昨今被害が相次ぐ「パスワードリスト攻撃」について、リスト漏えいの仕組み、およびリスト攻撃への対策とクラウド環境での課題についてご発表いただきます。
また、本日は会合の前にビットアイル様よりデータセンター見学会を実施頂きました。私も参加させて頂きましたが、災害対策用の蓄電池や発電設備など最新鋭の素晴らしい設備をご紹介頂きました。
2.新規メンバーのご紹介
■北陸通信ネットワーク株式会社
北陸通信ネットワーク株式会社では金沢を中心に北陸エリアにおいてクラウドコンピューティングサービスや、各種通信ネットワークサービスを提供されています。
■株式会社ドヴァ 上田 哲氏
株式会社ドヴァではサーバ構築やネットワーク構築を中心に事業を行ってきましたが、2年前より沖縄にてデータセンター事業を開始、今後はクラウド事業の推進を進めていく方針とのことで、今回当ワーキンググループに入会頂きました。
3.メンバー発表(各社紹介)
■情報科学専門学校 川上 隆先生(写真左)、武藤 幸一先生(写真右) (サムライクラウドサポーター)
情報科学専門学校はITの専門学校です。昨年度から始めた文部科学省の事業で情報セキュリティ(クラウドセキュリティ)をテーマに教材を作成しましたが、その際にニッポンクラウドワーキンググループにご協力頂きました。
情報科学専門学校では、一昨年から学生にクラウドコンピューティングに関する授業を開始し、80名の生徒に対して120時間の講義を行っています。講義の特徴としては、VMware/IaaS/PaaS/SaaS/Hadoopなど実際の環境を使って授業を行っている事です。また、学習のポイントとしては「何のため」や「原理」といった基本を理解することで「応用」が出来るように留意しています。
クラウドのセキュリティを知るためには、まず基本となるOSやミドルウェアの仕組みから知る必要があるとの考えから、実際に各生徒がサーバを作ってセキュアな設定にする、DBのSQLインジェクション対策を行う、といった基本事項からスタートし、CUI/APIを使ったアクセスまでを授業で行います。最終的には各生徒がロードバランスを使った負荷分散構成まで出来るようにすることが目標です。
「ビッグデータ」に関しては、アマゾンを利用して10台程度のクラスタを作り「分散処理」を行う授業をしています。また、外部講師として当ワーキンググループのメンバーでもあるサーバーワークス社に協力してもらい、ケーススタディを実施致しました。具体的にはディザスタリカバリ構成のRFP等を事例としています。各生徒が構成図の作成や費用計算をして提案書を作成し、「何故」その構成にしたのかを発表、議論します。
本来は国内サービスを使いたいが、なかなか学生を支援してもらえないため、アマゾンをインフラとして利用しています。アマゾンには学生向けに年間100ドルまで無償で利用できる支援プログラムがあり、それを利用しています。
当校では人材を育成しているので、何等かの方法でニッポンクラウドワーキンググループに貢献できればと考えています。また、ニッポンクラウドワーキンググループの活動から得た情報をカリキュラムの改善に活かしたいと考えています。企業との連携という意味では、インターンシップや企業講演も歓迎ですので、是非ご相談ください。
※発表資料はこちら
■情報セキュリティ大学院大学 後藤 厚宏先生(サムライクラウドサポーター)
情報セキュリティ大学院大学は情報科学専門学校と同じく学校法人岩崎学園が運営する学校です。
本日は情報セキュリティ大学院大学でのセキュリティ教育に関する取り組みをご紹介するとともに、
作成に関与している総務省のクラウドセキュリティに関するガイドラインに関してご紹介し、ニッポンクラウドワーキンググループの場で是非ご意見をお伺いできればと思っています。
●情報セキュリティ大学院大学でのセキュリティ教育に関する取り組み
学生はIT企業に所属する30代の社会人が多く、昨年実績では226名の修士と21名の博士を排出しています。セキュリティの分野としては、クラウドでは特に大事な法律、マネジメントのほか、暗号化、システムの4つを対象としています。
総務省の調査では、日本のセキュリティ分野における人材は、16万人が質的に不足、8万人が量的に不足していると発表されており、総務省ではクラウドとセキュリティのリーダーを育てたいと考えています。情報セキュリティ大学院大学では、慶応、東北大、奈良先端大、北陸先端大、及び企業とも連携して講義を行っています。
クラスについては実習が多いことが特徴です。暗号化、セルサーバ、ネットワークセキュリティ、法制度の全体を演習で取り込んでいます。ラスベガスCTFに日本から出場したテッシー様、ビッグデータのプライバシー問題に詳しい高木博光様、法律に詳しい鈴木先生といった業界において活躍されている方々にご協力頂き、遠隔授業を含めた形で授業を行っています。
また、演習が多いことも特徴で、夏休みを中心に技術、マネジメント中心など学生が選んで実施しています。講義や実習の例としては以下の様なものがあります。
例)ネットワークセキュリティ検査演習;実際にセキュリティ検査を実施する。Unix2台、Windows2台を一人一人でチェックして脆弱性を見つける。
例)デジタルフォレンジック:警察の科学捜査に相当するデジタルセキュリティ版。現役のフォレンジックアナリストに実際の作業を説明してもらう。その後実際のケーススタディとして、例えばある製薬会社でファイルが漏えいしたので原因調査を行うといった想定で、割り当てられたディスクイメージを実際に解析し、分析内容を発表する。
また、「目指せDEFCON」としてミニCTFを実施します。スコアボードで点数がリアルタイムに見える。セキュリティの問題。暗号、ハッキングの原因調査など。
例)インシデント対応マネジメント:グループワーク中心。実際の対応方法を学ぶ。
例)先進科目:岩井客員研究員(セキュリティ業界の有名人)やIBMのSOC(セキュリティオペレーションセンター)の現役アナリストによる講義と演習。実例を講義して演習。NTT-CERTのメンバーによる講義と演習。問題が起きた場合の対策。レスキュー活動等。
今後の人材育成に向けて、以下の様な目標を持っています。
1)セキュリティのわかるクラウド事業者、セキュリティのわかる経営者などを育てたいと考えています。
2)各技術分野におけるセキュリティ技術の深さ(高さ)を追求したいと考えており、その実現のために各分野の専門企業との協業をしたいと考えています。
3)クラウドの演習:これまで1年かけて演習のベースとなるハードの組立てを各生徒が実施してきました。今後はクラウド部分の演習に取り組む予定です。
Q&A:
質問①:学生として現場(実践している)の方も学んでいるとのことですが、企業派遣、個人参加のいずれが多いですか?
回答:8割は社会人。夕方、土曜に授業を開催している。その内6割くらいは企業派遣。2~3割は自費受講。
質問②:企業連携の仕方について、講師として迎えたい。金銭的支援欲しいなど、どのような形態を希望しているか具体的に教えてほしい。
回答:様々な観点での連携を希望しています。例えば受託研究で共同テーマで研究、共同プロジェクトとしてトップで活躍している人に講師をして頂く、社内の人材育成のため共同で授業をやりたいという依頼、コンソーシアム的な形での協業等、特に制約はありません
●クラウドサービス提供における情報セキュリティガイドライン(案)の紹介
クラウドサービス提供における情報セキュリティガイドラインは、主に以下の5点に関する指針です。
-役割と責任を分担。
-ICTサプライチェーン
-マスサービス提供
-お客様とのコミュニケーション
-利用者接点の実務
ガイドラインの対象としては、インフラを借り受けてアプリケーションサービスを中心にサービスを提供するクラウド事業者を対象としており、ニッポンクラウドワーキンググループのメンバー企業の皆様に当てはまると思います。2014年3月16日までパブコメを募集中です。
Q&A:
質問①:当社に対して事業者、利用者からのセキュリティの依頼がありますが、ガイドラインには利用者側の視点が盛り込まれているでしょうか?
回答:エンドユーザ視点は今回のガイドラインの対象ではありません。利用者視点でのガイドラインは既に出ている2011年版をご参照ください。また、今後改訂版が出るものと思います。利用者視点の場合には全般、分野ごと(医療、自治体等)の2種類のガイドラインがあります。
質問②:ガイドラインはいつ公表されますか?
回答:2015年度にガイドラインが実際に公表される予定です。
※発表資料はこちら
■ネットエージェント株式会社 杉浦 隆幸氏
本日は「今気をつけないといけない、クラウドセキュリティ」というテーマで主にクラウド事業者向けにクラウドのセキュリティについてお話しします。
ネットエージェントでは、最先端の情報セキュリティ分野を中心に研究、開発をしています。定番的なサービスとしては、①事件対応のフォレンジックとその後の対応方法(メディア、カード会社)の指導、②犯人を突き止めるといった事もしています。また、ネットワークにおける監視カメラ的な製品も提供しています。それ以外には、人財育成にも協力しており、一例として若者向けのセキュリティキャンプもしています。
個人としての技術専門分野はB2B、ネットワークのパケット解析です。
以下、データ保存、リスト型攻撃、プライバシー、脆弱性対応の4つの点についてお話しします。
●データ保存に関して:
クラウドへのデータ保存のリスクは以下の流れとなります。
データをクラウドに保存⇒データを盗まれる可能性⇒データを悪用される可能性。
データを盗む側からすると悪用が最終的な目的であり、換金できるデータを狙われるケースが多い。
事例1:2014/03/05 ビットコインのデータを盗まれた(フレックスコイン社)。896 BTC(6000万円相当)が盗まれた。
事例2:500億円相当が盗まれた(MT. Gox社)。表玄関から入り直接盗まれており、社長のPCを乗っ取られた事が原因と考えられる。結果として例えばMT. Goxのソースコードがインターネット上に流通してしまっている。PHPは比較的に脆弱性を作りやすい言語であり、本来であればプログラムの検査をしないといけない。他にMT. Goxの入居申し込み書が漏れていたり、みずほ銀行とのやり取りを録音した音声が漏れてしまったりしている。本事例からの教訓としては、サーバを守るだけでなく重要なデータを持っている従業員や社長のPCも守らなければいけないという事が言えます。
以下、一般的に守らなければいけないデータについてお話しします。
☆クレジットカード番号:番号、有効期限、名前、セキュリティコード。カード決済の入力画面が改ざんされて情報を転送されるケースもあります。データが漏れると決済停止になります。データを保存せずに実装したほうが良いともいわれます。漏れたのを知らないふりをしていても、クレジットカード会社から問い合わせがある場合もあるので注意が必要です。東ヨーロッパ系の犯罪会社等が多く、攻撃用のソフトウェアを作る人、カード番号を取ってくる人、売買業者等に分業されており、組織的になってきています。
☆個人情報:ID、名前、メールアドレスなど。漏れたら謝る必要があり、ユーザ数の減少につながることもあります。対策としては一回謝って終わりにする事が重要です。
☆パスワード:ハッシュ化していても弱い場合には高速に解読されてしまいます。リスト型攻撃されるケースもあります。Torを使えば足がつきません。
以下はデータ保存に関する対策の例です。
☆データを他のクラウド事業者のストレージに保存:Amazon S3(S3用の機密性セキュリティ対策が必要:アクセス制限、データ暗号化)。Amazon AWS上のシステム用のセキュリティ対策も必要です(リバースプロキシの弱点を突かれてAWSのコントロールを奪われたケースもあります)。
☆脆弱性診断が有効
– やられた後の事後対策では事業再開まで時間がかかるため、やられる前にWebサイトの脆弱性を調べておく事が重要です。
– 対応にはコストがかかりますが、多少の時間をかけて修正可能です。
●リスト型攻撃について:
危険なパターンは「メールアドレス(=ID)」+「パスワード」の運用です。
メールアドレスがIDとなっていると、パスワードは他のサイトでも使いまわしているケースが多いため、攻撃されやすいです。漏えいした他のサイトで入手したメールアドレス+パスワードでログインをトライされます。
☆攻撃の特徴:同じIPアドレスから何度も、もしくは一定回数ログイン試行しIPアドレスを変えてログイン試行されます。Torからアクセスされることも多いです。
☆攻撃者にとっての価値:Amazonギフト券に変換できる等、何かしらの現金化が可能なデータが狙われます。
☆容易なパスワードはハッシュ化してもあっという間に解読されてしまいます。一方、複雑なパスワードを要求しても桁数が多すぎて覚えてもらえない。パスワードの強度は10年で約1/100になると言われます。
リスト型攻撃の対処方法:
☆他社で漏れたリストの活用:リストの例(Adobe、2ちゃんねる)
⇒Evernoteがやった対策の事例:他社でパスワードが漏れたユーザーに対してパスワードをリセットして新規のパスワード設定を求めた。
☆リスト型攻撃の緩和策としてはWAFも有効。
☆OAuthに対応することで、認証は自前で持たない。期待効果としてユーザー数増、工数減が考えられます。。
●プライバシー:
昔は個人識別方法はID、パスワードでしたが、スマホの登場によりID、電話番号、アカウント等、複雑となっています。
プライバシーポリシーはWebアクセス程度を想定して作成されていました。スマホの場合はアプリ毎にポリシーが必要と言われています。。
プライバシーポリシー作成支援ツール(KDDi)や、総務省が作成した資料などが提供されています。
●脆弱性に関する対応:
IPAからの脆弱性報告をどうするか?
-誰が脆弱性報告をしているのか:セキュリティ専門事業者等であり、報告には信憑性があります。
-対応:①無視する事も可能ですが報告には信憑性があり危険です。②積極的に対策する。(報奨金制度を設けるなどして脆弱性の報告を募るなど、より積極的に対策する事も可能です。)
Q&A
質問:企業(経営層)はセキュリティそのものでお金を稼げるという感覚が無い。実際に御社にセキュリティ関連の相談があるのは、事前に防ぐ、やけどした後、どちらが多いか?
回答:やけどした後が多いです。
※発表資料はこちら
4.各部会からの活動報告
■サムライクラウド部会 部会長 野元 恒志(有限会社 ディアイピィ)
当部会では組織間連携についてクラウド・ビジネス・アライアンス(CBA)との共同研究/調査を実施しています。今年はさらなるフロント連携技術の研究として、個人でもガジェットを書くだけでクラウドサービスを開始できる「Cluoud Applicattion Desktop」や研究成果のドキュメントの公開を進めています。
最近の活動及び今後の予定です。
●2/24開催のCBAイベント(CBAクラウドバレンタイン)において成果発表の報告を行いました。クラウドアプリケーションデスクトップ、オープンソーシャルを進化させたクラウド事業者間連携、さらに発展させたクラウドアプリケーションデスクトップ(PaaS化)についての話をしました。
●オープンソーシャルについては、igoogleが終了したことでオープンソーシャルへの取り組みが減っていることもあり、5月にハッカソンの開催を予定している。
●次回の部会は3月24日開催を予定しています。
※発表資料はこちら
■クラウドアプリケーション部会 部会長 前本 知志(株式会社 システムフレンド)
クラウドアプリケーション部会では「写真見つかるプロジェクト」への支援として、震災時の写真を複製したイメージ画像を検索するシステムの開発を進めています。テレ朝のNEWSによると石巻市では現物の写真の劣化がすすんでいるため、現物を処分されることが報道されました。今後は「写真見つかるプロジェクト」とクラウドアプリケーション部会で開発する写真検索システムが、画像にアクセスする唯一の手段となる事が想定されるため、本プロジェクトの重要性を感じております。
最近の活動及び今後の予定をご報告します。
●2/5 cake PHPスタディMTGを実施。参加者の佐々木様より、ITメディアのオルタナティブブログに部会の様子を掲載頂きました。
●3/8(土)10時~次回の部会を開催予定です。
※発表資料はこちら
■クラウドビジネス推進部会 部会長 藤田 浩之(株式会社 オレガ)
2/20にソフトバンクテレコム社に会場を提供頂き、第15回の部会を開催しました。部会報告としてホームページに詳細を掲載していますので是非ご覧下さい。
●マキシマイズより日本版UForgeオンラインの提供に関するスリーハンズ社との協業事例の発表と、パートナー募集の告知がありました。
●オレガよりTDIグループ(カゴヤジャパン社)との協業事例発表がありました。良い製品/サービスがあってもそれだけではビジネスにならないことから、営業・エンドユーザーへのアプローチが重要というのが主なポイントです。
●ソフトバンクテレコム社よりホワイトクラウドファイルサーバの紹介がありました。主な特徴は、Windowsベースで導入しやすいこと、専用環境であること、データ複製機能があることの3つです。ソフトバンクグループにて運用しているものを同じ手法で外部顧客に提供することで安定したサービスを実現している点が特徴的です。
※発表資料はこちら
5.ビットアイル社からの各種ご紹介
■AXLBIT 長谷川 章博氏
AXLBITは2008年に設立され、昨年ビットアイルグループに入りました。ビットアイルグループ内の位置付けとして、AXLBITにてSaaSプラットフォームとクラウドインテグレーションのサービス提供を担っています。
AXLBITでは以下の3つのソリューションを提供しています。
1) Public SaaS:SaaSのマーケットプレイス事業。課金、収納代行。
2) Private SaaS:ISVと協業してOn PremiseやPbulic Cloudのアプリをホスティング。
3) Scalr/Piston Cloudの紹介。
●Scalr:マルチクラウド管理ツール。Scalr.jpを米Scalr、クリエーションラインと共同で立ち上げました。SclrにはSaaSとオンプレミス版があり、DB/APをマルチクラウドで使ったり、スケールイン、スケールアウトができます。対象顧客は、パブリッククラウドを簡単に使いたい、或いはハイブリッドクラウドを一元管理したいといったニーズを持つ顧客です。
●Piston OpenStack:ホスティッドのプライベートクラウドを提供しています。安価にホスティッド型で提供する点が特徴です。ビットアイルはawsとダイレクト接続していますので、awsとの連携もできます。活用シーンとしては以下の2つがあります。
活用シーン①ハイブリッドクラウド
活用シーン②AWSに置きたくない。法的問題。セキュリティ問題。
価格はスモールインスタンス8500円/年~です。
※発表資料はこちら
■ビットアイル 鈴木 大昌氏
ビットアイルは2000年に設立、2001年よりサービス開始しました。ビットアイルの特徴は、①独立系、②都心特化型、③自社建設、自社運営の4点です。昨年7月に東証1部上場し、総合ITアウトソーシング事業を提供しています。以下、当社の最近の取り組みをご紹介いたします。
1)データセンター展開:第5センターを2014年秋に7500ラック規模で開設予定にしており、都心特化型では最大規模となります。他に、大阪、北京、ソウルに提携先を間借りしてサービス提供しています。
2)サービスのタイプは、バーチャルサーバ(パブリッククラウド型)、プラットフォームサーバ(プライベートクラウド型)、物理サーバの3タイプがあり、以下の様な特徴があります。
– プラットフォームサーバ:V(VMware)、W(Windows)があり、VではVcenterをユーザに解放、WではSC2012をユーザに解放している点が特徴です。実質的に専用ホストマシンを貸し出しています。
– バーチャルサーバ:小規模サービスや、バースト対応したいお客様に好評頂いています。
– 物理サーバ:ホスティング的なサービスです。
3)ハイブリッドクラウド:当社ではハイブリッドクラウドを強く訴求しています。具体的には他社DC/他社クラウドとの連携及び、自社サービス内連係でのハイブリッドクラウドを推奨しています。当社の差別化要素としては、独立系で都心に立地しているのでNW遅延起きにくく、かつ低コストである点があります。また、キャリアニュートラル、マルチベンダである点も特徴です。他社クラウドとの連携としてはawsに直結しています。Windows Azureについては現状VPN接続ですが、マイクロソフト側で直接接続を開始次第に接続する予定です。
Q&A
質問①:ハイブリッドクラウドを訴求されているとのことですが、ハイブリッドクラウドが有効となる事例を紹介してほしい。
回答:面白い例としてSONET事例があります。当社の想定とは逆で、アマゾンで解析してデータはビットアイルに蓄積する形でなく、逆の事をしています。この様に当社の想定と異なる形で利用されるケースもあり、当社としてもハイブリッドクラウドでどのようにビジネスをしていくかについては是非アイデアがほしいと思っています。協業として進められるとも思っていますので良いアイデアをお持ちの方は是非ご相談ください。
質問②:中国データセンターと日本データセンター間の通信速度はどの程度か。また、現状接続していない場合には将来繋ぐ予定があるか
回答:現状、中国データセンターは日本と接続せずスタンドアロンで立っている。顧客からの要望で中国DCに間借りしているが当社においては日中間の接続要望はレアケースであるため現時点で接続予定はありません。
※発表資料はこちら
6.会長の総括
【概要のみ抜粋】
お話しいただいた皆さん、ありがとうございました。また会場をご提供いただいたビットアイルさんには、大変感謝しています。今年は是非とも当ワーキンググループ発のビジネスを発信していきたいと考えています。メンバー各社の皆様の積極的な関与を期待しています。
また、中高年プログラマー化計画や情報処理系の学生にどんどんクラウドを使ってもらおうという活動(『クラウド青田買い活動)』も今年の活動テーマに掲げています。学生の頃から利用しているIaaS環境は、就職した後も利用されやすいのではと考えています。そのため積極的に学生へ環境提供している一部のIaaSベンダーへ偏るのではないかとの危惧を感じているのも事実です。日本のクラウド事業者の皆さんと一緒に是非とも教育機関との連携をニッポンクラウドワーキンググループとしても進めて行きたいと考えています。
本日はセキュリティ教育、或いはセキュリティインシデントへの対策といった現場で活動されている講師の方にリアルな話を発表頂きました。お話しいただいた講師の方々も懇親会にも参加頂けるとのことなので、是非積極的に情報交換して頂ければと思います。
7.今後の活動等のご案内
●4/10 第22回会合(スリーハンズ様にて開催致します)
●3/12 インターネットプロバイダー協会イベント
●3/14 GMOクラウド新サービス説明会
【懇親会】
今回も前回同様ビットアイル様に会場をご提供頂きました。さらにグループ会社のレストランで提供している自家醸造ビールをご提供頂きました。
会合での発表内容に関する話題など活発な意見交換を行う有意義な場となりました。ご参加いただいた皆さん、ありがとうございました。
会合報告者 渡邊 哲(株式会社マキシマイズ)