研究紹介

今回は私の研究内容（修士論文）について紹介します。
情報セキュリティ大学院大学（IISEC）[1]では、「クラウドセキュリティマネジメント」をテーマとして、研究活動に取り組んでおりました。

修士論文題目は、「安全に配慮したSoftware as a Service （以下SaaS）を提供するために考慮すべきエンジニアの役割の提案」です。

研究背景

DX推進をはじめ、新たなテクノロジー（AI、ブロックチェーン、IoTなど）を取り入れたサービスのプラットフォームとして、クラウドサービスを導入・活用する動きが各企業で見受けられます。
一方で、最新テクノロジーの活用には、思わぬところにリスクや脅威が潜んでいるため、充分なセキュリティ対策が必要です。また、日を増して高度化、多様化するサイバー攻撃をはじめ、利用者の設定ミスによる情報漏洩、不正アクセスによる被害が後を絶ちません。こうした背景から「クラウドサービスを安全に利用するにはどうすれば良いか」をリサーチクエスチョンとして研究を進めました。

当社では企業やその先のお客様へさまざまなシステムを提案し、提供しています。
そこで「安全なクラウドサービスを利用者へ届けるため、当社のようなサービス提供者側（ベンダー企業*1）でセキュリティを高めることが、より重要になる」と考え、研究フォーカスを定めました。

*1 本研究における「ベンダー企業」とは、システムインテグレータ（SI）を含めたソフトウェアの受託開発を行う企業を指します。また、昨今のビジネスモデルとして、サービス開発を行いSaaS形態でサービス提供する企業も含むこととします。

なお、研究を進めるにあたり、クラウドサービスとそれを利活用する企業を取り巻く状況について以下の通り整理しました。

・ユーザー企業は、クラウドサービスの登場によって、以前であれば受託開発で依頼していたシステムを、SaaSという形態で容易に利用が可能となった。
・ベンダー企業は、自社の強みや価値となる領域を内製する一方で、それ以外の領域では、世の中のあらゆるサービスを活用し、提供するスタイル（サービス開発型）へシフトしつつある。
・ユーザー企業はクラウドサービスの活用に課題を抱えている。（ベンダー企業にIT人材が集中しているため、ユーザー企業は自社内に情報・セキュリティに精通している人材が不足している）

研究目的および研究仮説

上記の様な整理も踏まえ、本研究の目的を、以下の通りとしました。

今後、ベンダー企業が「サービス開発」に転換した場合でも、所属するエンジニアが従来の役割を果たすことで「安全に配慮したSaaS提供が可能である」ことを明らかにする。

そこから、以下の研究仮説をたてました。

「ベンダー企業においては、セキュリティに特化したエンジニアがいなくても、各エンジニア（アプリケーションエンジニア、インフラエンジニア、オペレーションエンジニア）の通常の業務範囲に含まれる役割と機能によって、セキュリティ確保は可能である」

検証方法

検証方法ですが、サーベイした先行研究の中から、「権威のある団体や組織が発表しているクラウドサービスに対する特定された脅威」、および「クラウドセキュリティに関するガイドライン」を評価対象に用いて、分析・議論し検証することにしました。
私が検証に利用したドキュメントは以下2つです。

１、クラウドの重大セキュリティ脅威11の悪質な脅威 [2]
　　※セキュリティ要件が記載されている
２、クラウドコンピューティングのためのセキュリティガイダンス v4.0[3]
　　※セキュリティに関する指示事項が記載されている

2つのドキュメントに記載されたセキュリティ要件や指示事項が、各エンジニアの業務範囲とスキルによって対処・対策が可能であることを立証するには、各エンジニアの機能役割とスキルを予め定義し、具体的なエンジニア像を築く必要があります。また、エンジニアの業務内容やスキルの定義は企業によって、さまざまなため、業界標準の指標を用いる必要があります。
そこで、情報処理推進機構(IPA)が公開しているiコンピテンシディクショナリ（iCD）[4]より、「タスクディクショナリ」、「スキルディクショナリ」を活用することにしました。
iCDとは、企業においてITを利活用するビジネスに求められる業務（タスク）と、それを支えるIT人材の能力や素養（スキル）を「タスクディクショナリ」、「スキルディクショナリ」として体系化したもので、企業は経営戦略などの目的に応じた人材育成に利用することができます。
このツールを活用し、アプリケーション、インフラ、オペレーションの各エンジニアの業務における機能役割は「タスクディクショナリ」から抽出、また保有するスキルは「スキルディクショナリ」から抽出し、それぞれ一覧化しました。
そして、この一覧化したもの（各エンジニアの具体的な人材像）をベースに、先の2つのドキュメントに記載されたさまざまなセキュリティ要件や指示事項について、対策・実装できることが分かれば、研究仮説は立証できます。

検証結果と結論

一つ一つのセキュリティ要件や指示事項を読み解き、各エンジニアが業務上の担当範囲として適切な役割を果たすことで、結果的にセキュリティ確保も実現できる（安全に配慮したSaaS提供が可能となる）ことを議論・検証した結果、ほぼ全ての要件や指示事項に対処・対策可能であることが分かりました。
ここで「ほぼ全て」と記載した理由ですが、予め定義したオペレーションエンジニアの人材像にはクラウドセキュリティで求められる機能や役割が十分でないことが分かったためです。

特に「インシデントレスポンス」という点に関して、従来の役割では不足していることが明らかになりました。その主な要因は、オペレーションエンジニアとして定義される従来の人材像は、ITIL[5]で定義されている機能役割やスキルがベースとなるためです。具体的には、ITILにおける「インシデント対応」は、サービスデリバリーにおける弊害（障害）にフォーカスされており、ユーザーにおけるIT利用の可用性を高めることが目的となっているということが挙げられます。一方、検証に用いた２つの文書で求めている「インシデント対応」は、主にサイバー攻撃を含めた事象に対し、適切な手順による対応、被害の最小化、システム・データの保護、再発防止などであり、目的が異なります。
これらは米国国立標準技術研究所 (National Institute of Standards and Technology：NIST) のコンピュータセキュリティインシデント対応ガイド(NIST SP800-61, 2012年8月改訂第 2 版)に記載されているインシデントレスポンスライフサイクルに沿った対応です。この目的の違いを認識し、後者の「インシデント対応」を取り入れることが、これまでのセキュリティと同等以上にクラウドセキュリティでは重要となります。
昨今の役割で言えば、CSIRT[6]やPSIRT[7]のような役割が「サービス開発」においても必要であると考えます。

したがって、今回の検証から、ベンダー企業などの「サービス開発組織」がクラウドを活用し、安全にサービス提供するためには、「サービス開発におけるインシデントレスポンス」を担う役割や機能が欠けることが無いように、既存エンジニアの役割への考慮や教育、またはアウトソースなど、なんらかの手段を用いて補完すべきであると言えます。

最後に

今回のコラムでは研究活動（修士論文）の大まかな内容を紹介しました。
私の研究に関連する国内の動向に注目すると、改正個人情報保護法（2022年4月施行予定）[8]による個人情報保護の厳格化や、政府情報システムのためのセキュリティ評価制度[9]の開始など、将来、サービス提供を予定している企業は、今以上にセキュリティ対策における「説明責任」を厳しく問われることが明らかな状況です。

今後は当社が提供するサービスがいかに安全で安心であるか、利用する企業やお客様へこれまで以上の説明が果たせるよう、研究内容を活かして業務に従事して参ります。

[1]情報セキュリティ大学院大学(IISEC) セキュリティの「技術」と「社会システム」を統合的に学び、深い専門知識と実務者能力の獲得を目指す情報セキュリティ専門の大学院大学　https://www.iisec.ac.jp/
[2]CSA, クラウドの重大セキュリティ脅威 11の悪質な脅威,　https://www.cloudsecurityalliance.jp/site/wp-content/uploads/2019/10/top-threats-to-cloud-computing-egregious-eleven_J_20191031.pdf
[3]CSA, クラウドコンピューティングのためのセキュリティガイダンス v4.0,　https://cloudsecurityalliance.jp/j-docs/CSA_Guidance_V4.0_J_V1.1_20180724.pdf
[4]IPA, iコンピテンシディクショナリ（iCD）,　https://www.ipa.go.jp/jinzai/hrd/i_competency_dictionary/icd.html
[5]Information Technology Infrastructure Library（ITIL）　ITサービスマネジメントにおけるベストプラクティスを体系化したガイドライン
[6]Computer Security Incident Response Team（CSIRT）　主に企業や行政機関などの組織内に設置され、コンピュータシステムやインターネットなど、ネットワークに保安上の問題や事故（インシデント）が生じた際に対応する組織体制（または機能）、対象は、自組織の管理するシステムである。
[7]Product Security Incident Response Team（PSIRT）　CSIRTと同様の組織体制（または機能）であるが、対象が自社で製造・開発する製品となる。
[8]令和２年 改正個人情報保護法について　https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/
[9]政府情報システムのためのセキュリティ評価制度：ISMAP（Information system Security Management and Assessment Program）　政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度　https://www.ismap.go.jp/csm