日本セキュリティ監査協会（JASA）は、主要クラウドサービス事業者や監査事業者25社とともに「JASA-クラウドセキュリティ推進協議会」を、この4月に発足させた。協議会は、来年度をめどにクラウド情報セキュリティ監査制度を開始する準備を進める方針だ。すでに日常的に使われるようになったクラウドサービスのどこにセキュリティの落とし穴があるのか──。

　情報セキュリティの最前線で仕事をする技術者らは、従来のクライアント/サーバー（クラサバ）型に比べて、「クラウドサービスは解決すべき点が多い」という。情報セキュリティの観点からみて課題が少なくないという声が依然として根強いのが実情だ。例えば、サイバー攻撃の記録解析や、パソコンなどデジタル機器のなかから不正行為の証拠を探し当てるデジタルフォレンジック（電子証跡）の分野では、日進月歩で進化するクラウドサービスへの対応や運用ルールの整備が強く求められている。

　セキュリティぜい弱性診断やデジタルフォレンジックで実績豊富なサイバーディフェンス研究所の杉山一郎・フォレンジックエバンジェリストは、「証跡が物理的にどこにあるのかわかりにくいクラウドサービスに対しては、フォレンジックの手法も従来と異なる」と話す。クラサバ時代であれば、ハードディスクドライブ（HDD）さえ押さえれば犯罪や不正行為の証跡をつかむ手法はほぼ確立されているといっていい。HDDが壊されている場合でも、日本データ復旧協会などに所属するデータ復旧の職人らが機械語レベルから解析して可能な限りデータを復旧。その後、フォレンジック専門家が再検証が可能なかたちで証跡をあぶり出す。

　ところが、クラウドサービスはデータの主体がデータセンター（DC）に格納され、さらに仮想化によって特定のハードウェアから切り離された状態で運用されている。事業者によってはDCの場所すら非公開であったり、海外のDCで運用されているケースもある。あまり想像したくはないが、組織的なサイバー攻撃や、不正行為を行った人物による故意のデータ消去による証拠隠滅は今後も発生し続けるだろう。クラウド全盛の時代だからこそ、データ復旧やフォレンジックの手法を早期に確立する必要がある。

　技術的にはクラウド側から再検証可能な形でデータをダウンロードしたり、攻撃や不正行為をリアルタイムで観測して、手口を記録に残すことで証拠化するなどの手法も確立されつつある。だが、実際に運用するには、クラウドサービス事業者を中心とする業界全体が納得する国際的なルールや監査の仕組みを決めていかなければならない。今回、発足した「JASA-クラウドセキュリティ推進協議会」には、こうした運用面でのルールや監査制度の早期整備を期待したい。（安藤章司）