クラウドセキュリティの標準化動向

下記では、日本のお客様が快適かつ健全にクラウドコンピューティングをご利用いただけるように、その指針としての標準化の動きや各種ガイドラインについてご紹介いたします。
なお、下記の情報は2011年6月時点での情報になりますので、最新の情報は情報元にてご確認ください。なお、下記の件についてご不明な点等ございましたらお気軽にお問い合わせフォームよりお申し付けください。

CSA（Cloud Security Alliance）

URL	http://www.cloudsecurityalliance.org/
設立	2009年3月（設立ミーティングは2008年12月）
団体概要	CSAは、クラウドコンピューティングのセキュリティを確保するためのベストプラクティスの普及活動と教育プログラムを提供するNPO団体です。
会員構成	個人：LinkedInの「Cloud Security Alliance」に個人会員が約8300人賛助会員： Jericho Forumをはじめとする業界団体など12会員企業会員：43法人 ※最新の会員構成についてはこちらを参照ください。
ガイドライン名	「Security Guidance for Critical Areas of Focus in Cloud Computing」ガイドライン概要概要：ガバナンス、法律、ネットワーク・セキュリティ、監査、アプリケーション・セキュリティ、ストレージ、暗号化、仮想化、リスク管理といった各分野の課題に総合的に取り組んでいる ※補足：パブリック・クラウドについて重点的に記載しています。基本的に米国連邦法、州法に準拠して記載されています。日本国法を想定していませんので予めご注意下さい。
ガイドライン・ダウンロードサイト	http://www.cloudsecurityalliance.org/guidance/
日本での活動	LinkedInにグループ「Cloud Security Alliance」があり、そのサブグループに「Cloud Security Alliance, Japan Chapter」があり、日本における活動が議論されています。
補足	2009年5月にJericho Forumとクラウド・コンピューティング環境におけるセキュリティ対策のベスト・プラクティス確立に向けて、共同で取り組んでいくことを発表しています。 IPAがCSAと 2010年6月7日にクラウドコンピューティングのセキュリティに関する調査研究、普及啓発、教育、対策・指針策定等を目的とする相互協力協定を締結しました。詳しくはこちらネクスト・イットのセミナーでご紹介しています。セミナーレポートについてはこちらを参照ください。

Jericho Forum

URL	http://www.opengroup.org/jericho/
発足	2009年1月（基本的なビジョンは2004年）
フォーラム概要	ビジネス・ポテンシャル拡大をもたらすWeb 2.0環境でのセキュリティ問題に対し、企業が対策を講じるための設計原則をとりまとめています。
会員構成	企業会員：45法人 ※ベンダーからユーザ企業まで幅広く参加しています。日本企業ではNECが参加しています。 ※最新の会員構成についてはこちらを参照ください
ガイドライン名	「Cloud Cube Model」
ガイドライン・ダウンロードサイト	http://www.opengroup.org/jericho/cloud_cube_model_v1.0.pdf ※補足：基本的に米国連邦法、州法に準拠して記載されています。日本国法を想定していませんので予めご注意下さい。
補足	2009年5月にCSAとクラウド・コンピューティング環境におけるセキュリティ対策のベスト・プラクティス確立に向けて、共同で取り組んでいくことを発表しています。

Open Cloud Manifesto

URL	http://www.opencloudmanifesto.org/
公開	2009年3月
概要	オープンなクラウドコンピューティングを目指すマニフェスト（宣言文）です。 ※補足：基本的に米国連邦法、州法に準拠して記載されています。日本国法を想定していませんので予めご注意下さい。
賛同者	IBMが宣言し、米Cisco Systems、米Sun Microsystemsなど300社が賛同しています。 ※最新の賛同者リストについてはこちらを参照ください。

DMTF Open Cloud Standards Incubator

URL	http://www.dmtf.org/about/cloud-incubator
グループ設立	2009年4月
グループ概要	IT管理の標準化を推進する業界団体「DMTF（Distributed Management Task Force）」内で活動している仮想化技術を利用したクラウド・コンピューティング環境で発生する管理や相互運用性の問題に取り組むグループです。
会員構成	企業会員：19法人 ※最新の会員構成についてはこちらを参照ください。 ※日本企業では富士通と日立製作所が参加しています。 ※主要メンバーのエンドースメントについてはこちらを参照ください。

日本における標準化の動き

日本でも2011年4月に経済産業省から「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」が公開されました。今後他の省庁からも多く発表されると思います。是非ご注目ください。

経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」

URL	http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html
公開	2011年4月
概要	クラウドサービスを安全に安心して利用するために策定した「クラウドサービス利用のための情報セキュリティマネジメントガイドラインです。本ガイドラインは、クラウド利用者が、クラウドサービス利用の際に、情報セキュリティ対策の観点から活用することを企図して策定しています。

総務省「ASP・SaaS における情報セキュリティ対策ガイドライン」

URL	http://www.soumu.go.jp/menu_news/s-news/2008/pdf/080130_3_bt3.pdf
公開	2008年1月
概要	ASP・SaaS事業者がASP・SaaSサービスを提供するにあたり実施すべき情報セキュリティ対策を記載しています。

経済産業省「SaaS向けSLAガイドライン」

URL	http://www.meti.go.jp/press/20080121004/20080121004.html
公開	2008年1月
概要	ＳａａＳにおいて、サービス利用者が安心して利用するために利用者とＳａａＳ提供者間で認識すべきサービスレベル項目や確認事項等についてのガイドラインです。