クラウド

今日の5限目は情報セキュリティ輪講。M2の研究発表の場です。

今回の発表は、「セキュリティ要求分析の研究〜システムライフサイクルの視点より〜」「セッション管理によるスパムメールフィルタリング」「現代における情報社会が概念の再検討」の3テーマ。

最後の「現代における〜」は、社会学の視点から「情報化社会」と「情報社会」の違いを整理してます　というような話で、正直、それをやって何に役立てるのかなぁと疑問のわいた論文でした。（その場で言うのはKYな気がしたので、事後に提出するレポートにその旨を書きましたｗ）

だって、内容を読むと、昔の人が言ったことを単に整理しているだけで、何も新規性が無いように見受けられたもので。そういうものでも論文として成立するのか。

まぁ、まだ途中らしいので、これから面白いことを書かれるのかもしれません…。

6限目はISMS。

面白かったのがISMSの「適用範囲」の話。ある組織にA事業部、B事業部、C事業部という3つの部署があって、それぞれの部署が共通の顧客データベースを利用していますと。データベースは共通だから、Aの客のデータもBの客のデータもCの客のデータも、一つのDBに入っちゃってますと。そうすると、A事業部がISMSをやる場合に、Aの資産（顧客データベース）って、明確に定められますか？と。

そんな話を聞いていると、あぁと思ったのが、「クラウド・コンピューティング」のセキュリティについて。上記と同じような悩み（？）がクラウドにも言えますよね。お客様から見たら、よく分からない共通の雲の中にデータを預けているわけで、実際うちのデータってどこにあるの？よその人がアクセスできないって本当に言えるの？ってのは心配事だと思います。ISMSの適用範囲なんて、どうやって定めるのだろう…。

と考えると、クラウドベンダーとしては、そういうお客様の悩みを解決しなくてはならないと。AがBのデータにアクセスできないことや、AのデータはここまででBのデータはここまでですというのを客観的に担保・証明できなくてはならないのかなと。

＃会社の資料にもそのようなことが書いてありましたが、なんとなく自分の言葉で理解出来てきた気がします

そうすると、クラウド時代におけるセキュリティってのは、CIAで言えば、C：機密性ってのが特に重要になってくるのかなぁと。

そこで、前に先生が、クラウド時代のセキュリティはA：可用性が重要になる！なぜならこれまでクライアントである程度の作業が出来ていたものが、クラウド化が進むと出来なくなる、だからクラウドは止められない・可用性が重要！と言っていたので、自分の感想として、Aも重要ですけど、Cも重要なんじゃ…と言いました。

そしたら、概ね同意を頂きました、が、やっぱりAが重要！的なニュアンスのことを言われました（ーー

まぁ、そうなのですかね。

でもですね、クラウドを「サービス」として考えた場合、可用性の維持ってのはやって当たり前のことで、基本料金に含まれる機能でしょうと。そう考えると、お客様に追加の投資をして貰って、＋αの機能として提供できるところは、機密性の強化のところなのではと。

GoogleやAmazonの言う（世間一般の認識としての）クラウドは、なんだかモヤッとしていて、不透明である　と。それを（なるべく）カチッとした、透明なものにします　と。

そういう意味で言えば、やっぱり機密性ってのがクラウド時代のセキュリティとしてフューチャーされるべきなのでは……と、会社の資料を思い出しながら帰りの電車で考えました。

今度機会があったら先生に話してみようっと。

ISMSそっちのけでそういうこと考えてました。