« 米国サイバー軍の紋章の暗号を解読せよ! | トップページ | 画像スパム、難読化が進む »

2010年7月14日 (水)

クラウドのセキュリティ対策、「RAINアプローチ」

COMPUTER WORLDの記事「6人の専門家が指南する「SaaS/クラウドのセキュリティ対策」」からです。

この記事では、6人の専門家がSaaS/クラウドのセキュリティ対策について指南していますが、個人的に特に興味をもったものがあります。
クラウドのセキュリティ対策の計画/分析アプローチとして「RAINアプローチ」というのが紹介されています。
「RAIN」とは、「Requirement(要件)」「Analysis(分析)」「Interface(インタフェース)」「eNsure(検証確認)」のことで、それぞれ詳細は以下の通りです。

Requirement(要件)
 ビジネス要件を理解し、技術的要件、非技術的要件、規制要件、セキュリティ要件を導き出す。

Analysis(分析)
 要件から、どのようなタスクやサービスをアウトソーシングしたいか、あるいはアウトソーシングできるかを分析し、どの組織がどのタスクに責任を持つかを定義して、混乱や衝突を未然に軽減する。さらに、特にクラウドの接続、マルチテナント性、ローカル・データに関するプライバシー規制(プロバイダーに対する)、ビジネス・コンティニュイティについてリスク分析を行う。

Interface(インタフェース)
 システム・インタフェースとヒューマン・インタフェースを明確に定義する。例えば、「サービスやトラブルについて誰がどのようにプロバイダーに連絡するか」、「どのようなAPI(Application Programming Interface)やWebページを使って、どのような処理結果をどのように表示するか」などを定義する。インタフェース/接点が多いほど、障害やトラブルのリスクが高まる。

eNsure(検証確認)
 サービスが契約に従って実行されることを検証しする。プロバイダーから送られてきた結果を検査し、それらのフォーマットが正しく、内容が期待どおりであることを確認すする。そして、テスト・サービスの監査やチェックを行い、プロバイダーと予行演習を行う。

とても分かりやすく、かつ効果的なアプローチだと思います。
このアプローチをもとに、具体的な手順やリストを作ってみたい。(作って欲しい)

|

« 米国サイバー軍の紋章の暗号を解読せよ! | トップページ | 画像スパム、難読化が進む »

ニュース」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/35730155

この記事へのトラックバック一覧です: クラウドのセキュリティ対策、「RAINアプローチ」:

« 米国サイバー軍の紋章の暗号を解読せよ! | トップページ | 画像スパム、難読化が進む »