5月13日の羽田発夜行便で早朝にシンガポールに到着。それから、CSA APACリージョンのリーダーシップミーティングに参加しました。これは、Congressの前日に、CSA APACの各支部の代表が集まったもので、各支部の活動紹介や今後のAPACの活動の方向などの議論がありました。
現在、CSAとしては、OCF(Open Certification Framework)というクラウド事業者のセキュリティ・ITガバナンスに関する業界主導の認証制度の確立に向けて活動を進めています。これは、CSAがリリースしているCCM(Cloud Control Matrix)をベースとしたもので、現在、事業者の自己評価を公開登録する制度として機能しているSTARをさらに進めて、第三者監査と認証の制度にし(STAR Level2)さらに、それを継続的にモニタリングしていくという三段階の階層からなります。CCM自体は、クラウド事業者に必要なセキュリティ上の要求事項をISO/IEC27001やPCIDSS, FISMAといった様々な国際、業界、政府標準とのクロスリファレンスとして定義し、さらにクラウド固有の問題を追加した形となっています。従って、既にこうした既存の認証を取得済みの場合、STAR Level2認証はその差分についてのチェックのみでよくなるという利点があります。
現在、アジアでも一部の国の行政機関や地方政府などで、クラウド利用者側からの要求事項としてこれを採用する検討が行われており、CSA APACとしても、今後、プロモーションを強化していく方向にあるようです。
ただ、世界的に見ても、この動きはまだ始まったばかりで、今後、CSA全体としての認知度向上や、現在、クラウドを意識して策定されているISO/IEC 27017やサプライチェイン管理でのクラウド固有の問題を規定するISO/IEC 27036 Part4、その他 ITU-Tなどの国際標準化活動との折り合いをどうつけていくかなど、まだまだ課題が多いのが現状と言えそうです。特に、日本に置いては、ISO/IEC 27017を重視する動きが強く、これとうまく統合できていくことが、普及の条件と言えるでしょう。ただ、CSAもそのあたりは十分意識していて、これらの標準化の場にキーパーソンを送り込んでいます。そのため、遠からず、こうした国際標準との整合は取れていくだろうと思います。あとは、各国で立ち上げられようとしている同種の認証制度との競合が大きなもんだとなりそうですが、このあたりは、うまく相互認証とか互換性の確保ができればいいのですけどね。こうした部分は、各国の支部や地域の努力だけでなく、CSA全体として大きな枠組みを作っていかなければいけないでしょう。
翌日のCongressでは、日本のセキュリティ監査協会から永宮事務局長が登壇し、現在日本で考えているクラウド監査制度の枠組みについて紹介されていました。それを最前列で聞いていたのが、CSAのOCFを統括している Daniele Cattedduでしたので、彼らもこのあたりは多いに関心を持っているということでしょう。講演終了後、Dannieleと永宮さんを引き会わせて少し議論をしてもらいました。今後、CSA日本支部とJASAで、あれこれ調整を進めていく上で有意義な議論だったのではないかと思います。
その翌日に、今度は DanieleがOCFのプロジェクト紹介をやったのですが、以下がCSAが関与している国際標準化活動のスライドです。
その他のトピックとしては、Trend MicroのKen Low(CSA APAC Exective CouncilのChair)のプレゼンで、こんなスライドが出てきたことなど。
いわく、ウイルス対策ソフトを正しく運用していても、実際90%の組織が、内部にマルウエア感染したPCを持っているという話。対策ソフトベンダ自身からこうした話が出てくるというのは時代が変わったなという印象です。それだけ、脅威が複合化し、単一のソリューションではもはや対応が難しくなっているということなのでしょう。
Cloud ASIAの最後のセッションでは、クラウド利用についてのパネルディスカッションがあり、ここにはCSAのFounderであるJim Reavisもパネリストとして参加しました。パネリストは、どちらかといえば、クラウド推進派ばかりでしたが、モデレーターがあれこれ鋭い質問を投げかけて、場を湧かせていたのが印象的です。会場からの質問なども総合して考えると、アジア各国でも、ITガバナンスとセキュリティ問題にユーザの関心が集中しているようです。ここにきちんとした答えを出し、それを保証していく枠組みが、やはりクラウド普及の鍵となっていくのでしょうね。
