第5回 議事録
第5回 日本OSS推進フォーラム クラウドセキュリティ部会 議事録
1. 日時
10月18日(火)16:00 - 18:00
2. 場所
株式会社ディアイティ(東陽町 プレミア東陽町ビル)
3. 出席者:
谷川哲司(日本電気),森徳行(NECシステムテクノロジー),望月貴史(日立製作所),大田原忠雄(トレンドマイクロ),花舘蔵之(NTTデータ),河野省二(IPA),勝見勉(IPA),永宮直史(JASA),加藤智之(富士通),塩崎哲夫(富士通),鈴木拓也(富士通),服部真(富士通)※順不同,敬称略
4. 資料
(1) 第5回日本OSS推進フォーラム クラウドセキュリティ部会議事次第
(2) 第4回日本OSS推進フォーラム クラウドセキュリティ部会議事録
(3) 前回宿題(バックアップ)のまとめ
(4) 10.10.1「監査ログ」に関する実施例(富士通)
(5) NEC事例資料(NEC)
(2) 第4回日本OSS推進フォーラム クラウドセキュリティ部会議事録
(3) 前回宿題(バックアップ)のまとめ
(4) 10.10.1「監査ログ」に関する実施例(富士通)
(5) NEC事例資料(NEC)
5. 議題
(1) 前回の議事録の確認
(2) 前回の宿題について
(3) 次回の活動について
(2) 前回の宿題について
(3) 次回の活動について
6. 議事録
(1) 前回の議事録の確認
前回の議事録(資料2)を確認した。特に異議がなかったので、日本OSS推進フォーラムのホームページで公開する。
前回の議事録(資料2)を確認した。特に異議がなかったので、日本OSS推進フォーラムのホームページで公開する。
(2) 前回の宿題について
資料3「前回宿題(バックアップ)のまとめ」について富士通の鈴木氏から説明を頂き、参加者で議論を行った。主な意見は以下の通り。
"ハードウェアが冗長化されていればデータのバックアップが不要だという誤解があり得る。データのバックアップはクラウドでもオンプレミスでも同様に利用者の責任で行うことが必要だと訴える必要がある。"
"クラウド事業者の垣根を超えてマシンイメージやデータをバックアップできる仕組みが必要になる。NISTのSP800-291,292ではCloud Brokerが定義されているが、そのような事業者がバックアップやデータ連携をサービスとして提供するかもしれない。"
"現行のEucalyptus, Open Stackではバックアップ機能が十分でないため、利用者側での考慮が必要とされる。"
資料3「前回宿題(バックアップ)のまとめ」について富士通の鈴木氏から説明を頂き、参加者で議論を行った。主な意見は以下の通り。
"ハードウェアが冗長化されていればデータのバックアップが不要だという誤解があり得る。データのバックアップはクラウドでもオンプレミスでも同様に利用者の責任で行うことが必要だと訴える必要がある。"
"クラウド事業者の垣根を超えてマシンイメージやデータをバックアップできる仕組みが必要になる。NISTのSP800-291,292ではCloud Brokerが定義されているが、そのような事業者がバックアップやデータ連携をサービスとして提供するかもしれない。"
"現行のEucalyptus, Open Stackではバックアップ機能が十分でないため、利用者側での考慮が必要とされる。"
資料4について富士通の鈴木氏から、資料5についてNECシステムテクノロジーの森氏から説明を頂き、参加者で議論を行った。主な意見は以下の通り。
"マルチテナントの場合、ログが集約されて保管されるため、テナント毎にログを抽出するのに時間・コストがかかる場合がある。"
"保管すべきログの種類や期間は一概に決められないので、法令や各業界のガイドラインに準じて対応するしかないのでは。"
"マルチテナントの場合、ログが集約されて保管されるため、テナント毎にログを抽出するのに時間・コストがかかる場合がある。"
"保管すべきログの種類や期間は一概に決められないので、法令や各業界のガイドラインに準じて対応するしかないのでは。"
(3) その他
クラウドのセキュリティに関する国際標準化の動向について、IPAの河野氏から説明を頂いた。
(4) 次回の活動について
日時:11月24日(木)13:30~ 富士通株式会社(浜松町 世界貿易センタービル)
引き続き10.10.1「監査ログ取得」について、各社の実装例または実装案を持ち寄る。ポイントは以下の通り(第4回で挙がったご意見)。
"事業者は、利用者がシステムの状況を判断できる情報を提供できているか?"
"利用者が監査ログを取得できるタイミング(リアルタイム性)や、APIやWebの仕様はどうなっているか?"
"EucalyptusやOpen Stackでは、どのような機能を標準で備えているか?"
"AmazonEC2などの情報も欲しい。"
15:00~15:30:富士通トラステッドクラウドスクエアの施設見学を予定
引き続き10.10.1「監査ログ取得」について、各社の実装例または実装案を持ち寄る。ポイントは以下の通り(第4回で挙がったご意見)。
"事業者は、利用者がシステムの状況を判断できる情報を提供できているか?"
"利用者が監査ログを取得できるタイミング(リアルタイム性)や、APIやWebの仕様はどうなっているか?"
"EucalyptusやOpen Stackでは、どのような機能を標準で備えているか?"
"AmazonEC2などの情報も欲しい。"
15:00~15:30:富士通トラステッドクラウドスクエアの施設見学を予定
※次々回:2012年1月17日(火)16:00~ 富士通(浜松町 世界貿易センタービル)
※次々回の会合後に懇親会を予定
※次々回の会合後に懇親会を予定
