第1回 議事録
第1回 日本OSS推進フォーラム クラウドセキュリティ部会 議事録
1. 日時
2011年6月24日(金)10:00-12:00
2. 場所
富士通株式会社 富士通ソリューションスクエア(蒲田) 応接室S-R226
3. 出席者
岩岡泰夫(日本電気),小池晋一(日本電気),谷川哲司(日本電気),川嶋一宏(日立製作所),望月貴史(日立製作所),油井秀人(富士通エフ・アイ・ピー),伊藤求(ニフティ),大田原忠雄(トレンドマイクロ),花舘蔵之(NTTデータ),勝見勉(IPA),河野省二(IPA),永宮直史(JASA),宮田義文(富士通),加藤智之(富士通),塩崎哲夫(富士通)鈴木拓也(富士通)服部真(富士通)
※順不同,敬称略
※順不同,敬称略
4. 資料
(1) 日本OSS推進フォーラム2011年度活動計画・目標(案)
(2) 日本OSS推進フォーラム組織図
(3) クラウドファクトリー構想 ~ご紹介~
(4) 平成23年度次世代高信頼・省エネ型IT基盤技術開発・実証事業(ソーシャルクラウド基盤技術に関する調査研究)事業内容(仕様書)
(5) OSSクラウドセキュリティ部会の活動テーマについて
(6) OSS推進フォーラム クラウドセキュリティ部会 運営規約(0.1版)
(7) OSS推進フォーラム セキュリティ部会Webコンテンツ設計書(0.1版)
(2) 日本OSS推進フォーラム組織図
(3) クラウドファクトリー構想 ~ご紹介~
(4) 平成23年度次世代高信頼・省エネ型IT基盤技術開発・実証事業(ソーシャルクラウド基盤技術に関する調査研究)事業内容(仕様書)
(5) OSSクラウドセキュリティ部会の活動テーマについて
(6) OSS推進フォーラム クラウドセキュリティ部会 運営規約(0.1版)
(7) OSS推進フォーラム セキュリティ部会Webコンテンツ設計書(0.1版)
5. 議題
(1) 日本OSS推進フォーラムについて
(2) 2010年度までの検討内容のご説明
(3) クラウドセキュリティ部会の活動テーマについて
(4) クラウドセキュリティ部会の運営方法(案)について
(5) 次回以降の活動予定について
(2) 2010年度までの検討内容のご説明
(3) クラウドセキュリティ部会の活動テーマについて
(4) クラウドセキュリティ部会の運営方法(案)について
(5) 次回以降の活動予定について
6. 議事録
(1) 日本OSS推進フォーラムについて
日本OSS推進フォーラムは、ジャパン・クラウド・コンソーシアムとも連携していく。ただし、成果等をフィードバックしていくことについて、特にルールは設けていない。
(2) 2010年度までの検討内容のご説明
経済産業省の公募への応募は、日本電気とMRIが主体となる。
(3) クラウドセキュリティ部会の活動テーマについて
日本OSS推進フォーラムは韓国や中国など海外との連携をしている。当部会としては、将来的には海外と連携することはあるかもしれないが、基本的には意識しなくてもよい。
活動報告書を出す場合のゴール、想定読者は各部会で決める。ウェブで不特定多数に公開する場合や、報告会等で会員だけに配布する場合もある。活動期間は決まっていない。
年に一回、報告会を開催したいと考えている。8月~9月に開催したいが時期を含めて検討中である。
当部会の活動テーマについて、以下の案が挙げられた。
" セキュリティに関するガイドラインの詳細版があると良い。
" 事件・事故が発生した際のログ抽出・保存・フォレンジックの手引き・基準があると良い。
" 監査基準よりも、テスト手順があると有効。
" お客様に見せるチェックリストで○と答えた時の証明になる判定基準があると良い。
" お客様側に立ったガイドラインが必要。
" 従来のセキュリティとクラウドのセキュリティで何が違うのかを示したい。
" 責任分担の観点も重要。具体的なターゲットを決めて議論をする必要がある。
" クラウドの格付けなどレベルの可視化。
" クラウドの利用を促進するプロモーション的な活動。
" データマネジメントの観点、運用マネジメントの観点でのガイドラインが必要。
" 技術的な背景として何を以ってセキュリティを担保できるかできないか、IaaS、PaaS、SaaSなどの利用形態に応じて、また利用者と提供者間とで整理することが必要。
" サービス提供者が定めたSLAを守っていることを第三者が担保するというモデル。
" 手続きの明確化というアプローチ。モニタリングの仕組みも必要。
" SaaSかIaaSか、どちらかにしないと議論が発散する。
" ユースケースのモデルを決めて、そのセキュリティを確保するためにどのような監視をして、インシデントに対しては何をすべきかなどを議論していくのが良い。
" クラウドは、誰がリスクを取るかが不明確。ガイドラインを作るのは避けた方が良い。
" 事故の分析から、どうしたら良いかをベストプラクティスとしてまとめるのが良い。それをもとに監査基準を定め、監査を行うというのが良い流れ。
" テスト手順が出来れば、責任分解点が決まり、あるインシデントを想定した時に必要となるログも定義できる。それを応用すれば共通的な基準が出来上がる。
" クラウド・セキュリティ・アライアンスが、ベストプラクティスも盛り込んだガイダンス3.0を今秋リリースする。技術論から、標準として通用するスタイルに変わる。
次回、ターゲットを明確にする。切り口は、IaaS、SaaS、パブリッククラウド、プライベートクラウド、ユーカリプタスなどのOSS、技術部会におけるソーシャルクラウドなど。
キーワードは、モニタリングやテスト手順。何をモニタリングするのか、監査基準のような上から目線ではなく、実態からのベキ論から入る方が良い。
活動報告書を出す場合のゴール、想定読者は各部会で決める。ウェブで不特定多数に公開する場合や、報告会等で会員だけに配布する場合もある。活動期間は決まっていない。
年に一回、報告会を開催したいと考えている。8月~9月に開催したいが時期を含めて検討中である。
当部会の活動テーマについて、以下の案が挙げられた。
" セキュリティに関するガイドラインの詳細版があると良い。
" 事件・事故が発生した際のログ抽出・保存・フォレンジックの手引き・基準があると良い。
" 監査基準よりも、テスト手順があると有効。
" お客様に見せるチェックリストで○と答えた時の証明になる判定基準があると良い。
" お客様側に立ったガイドラインが必要。
" 従来のセキュリティとクラウドのセキュリティで何が違うのかを示したい。
" 責任分担の観点も重要。具体的なターゲットを決めて議論をする必要がある。
" クラウドの格付けなどレベルの可視化。
" クラウドの利用を促進するプロモーション的な活動。
" データマネジメントの観点、運用マネジメントの観点でのガイドラインが必要。
" 技術的な背景として何を以ってセキュリティを担保できるかできないか、IaaS、PaaS、SaaSなどの利用形態に応じて、また利用者と提供者間とで整理することが必要。
" サービス提供者が定めたSLAを守っていることを第三者が担保するというモデル。
" 手続きの明確化というアプローチ。モニタリングの仕組みも必要。
" SaaSかIaaSか、どちらかにしないと議論が発散する。
" ユースケースのモデルを決めて、そのセキュリティを確保するためにどのような監視をして、インシデントに対しては何をすべきかなどを議論していくのが良い。
" クラウドは、誰がリスクを取るかが不明確。ガイドラインを作るのは避けた方が良い。
" 事故の分析から、どうしたら良いかをベストプラクティスとしてまとめるのが良い。それをもとに監査基準を定め、監査を行うというのが良い流れ。
" テスト手順が出来れば、責任分解点が決まり、あるインシデントを想定した時に必要となるログも定義できる。それを応用すれば共通的な基準が出来上がる。
" クラウド・セキュリティ・アライアンスが、ベストプラクティスも盛り込んだガイダンス3.0を今秋リリースする。技術論から、標準として通用するスタイルに変わる。
次回、ターゲットを明確にする。切り口は、IaaS、SaaS、パブリッククラウド、プライベートクラウド、ユーカリプタスなどのOSS、技術部会におけるソーシャルクラウドなど。
キーワードは、モニタリングやテスト手順。何をモニタリングするのか、監査基準のような上から目線ではなく、実態からのベキ論から入る方が良い。
(4) クラウドセキュリティ部会の運営方法(案)について
ファイルサーバとしてGoogle Appsの利用を検討する。会社としてGoogleのサービスを利用できないところは、別の方法で情報を共有する。
定例の会合は第3水曜の午前とし、都合に合わせて変更可能とする。また、会議室は参加者で持ち回りとする。
定例の会合は第3水曜の午前とし、都合に合わせて変更可能とする。また、会議室は参加者で持ち回りとする。
(5) 次回以降の活動予定について
次回日時・場所:7月21日(木)13:30‐15:30 日本電気本社ビル2階 241応接会議室(東京都港区芝5-7-1)
宿題:テーマの深堀について、参加者それぞれの立場で意見をまとめ持ち寄る(フォーマットフリー)
宿題:テーマの深堀について、参加者それぞれの立場で意見をまとめ持ち寄る(フォーマットフリー)
