オープンクラウドセキュリティフレームワークの構築をマイクロソフトやグーグル、IBMらが支持

大規模なクラウドプラットフォームにはそれぞれ、セキュリティ情報をログプラットフォームやセキュリティプラットフォームに渡すための独自の方法論があり、ベンダーは、その情報を自社のツールに適した形式に変換する独自の方法を見つける必要がある。そこで、MicrosoftやGoogle、IBMなどの新しいワーキンググループであるCloud Security Notification Framework（CSNF）では、こうした情報を配信するための新しいオープンで標準的な方法の作成が試みられている。

CSNFを推進しているオープンエンタープライズクラウドコミュニティONUGの共同創設者兼共同議長であるNick Lippi（ニック・リッピ）氏は、作り上げたものは一部が標準で一部がオープンソースだという。「私たちが注目しているのは、クラウドのガバナンスを自動化する方法です。そのためには、コミュニティにすぐに価値を提供できるセキュリティが最適だったのです」という。

CSNFに引っ張り込んだのは主に大手のクラウドベンダーだが、FedExやPfizer、Goldman Sachsなどクラウドサービスのユーザーである大企業も仲間に入れた。しかしクラウドインフラストラクチャ市場の最大手であるAWSがなぜかいない。しかしリッピ氏によると、今後このプロジェクトが成熟すればAWSなどその他の企業も入ってくるだろう、という。

「セキュリティ関連の事業やプロジェクトは業界にいろいろあり、いずれも企業の参加を勧誘しているため、様子見の態度を取る企業も少なくない」とリッピ氏はいう。彼はいずれAmazonも入ってくると期待しているが、現在のところは、グループの全員が納得して見返りを得るようなCSNFの運営が最優先の課題だ。

最初に取り組むのはセキュリティアラートだ。クラウドのセキュリティアラートを追跡するために各社がデータセンターに備えているのと同じ種類のシステムを企業に与えるような、共通の形式を作る方法を見つけなければならない。そのために彼らが望む方法は、クラウドベンダーたちとグループの企業との間のオープンな対話を活発にすることだ。

「そのための構造はまず、クラウドのユーザーである大企業のCISOらとクラウドベンダーから成る運営委員会があり、彼らが票決を行い方針を決める。そして、それに従ってワーキンググループが仕事をする。ありがたいことに、クラウドのユーザー企業とクラウドプロバイダーの協調関係は今とても良い」とリッピ氏はいう。

関連記事：FIDOアライアンスおよびW3C「パスワード」無用の仕組みを提案

ONUGのメンバーでありConcourse LabsのCEOで共同創業者のDon Duet（ドン・デュエット）氏も、CSNFの創設に関与した。彼によると、プロジェクトへの強い関心を維持するためには、これをデータ管理の問題と見なした方が良い。そしてグループの中の共通語を育てて、誰もがCSNFの仕事をできるようにする、という。

「まず、使用する用語について全員の同意を取り付けなければならない。それによって考え方の基礎ができるため、リソースプロバイダー、この場合クラウドサービスプロバイダーが、彼らのデータを共通のスタンダードに接続できるようになる」とデュエット氏は説明する。

彼のいう特別の問題とは、技術的な問題よりも組織の問題の方が大きいことだ。いろいろな利害関係者が寄ってたかっているような状態で、コンセンサスを構築しなければならない。現時点では、そのプロセスはすでにあるので、次のステップは、向こう数カ月、各社をこのテストに参加させ、実証を得ていく。

テストの段階が終わったら、2021年10月に、セキュリティ情報のスタンダードとそれを収める標準フレームワークの、使用前と使用後でデモンステレーションを行う。グループがその目標に進むにつれてフレームワークがよりしっかりと確立し、関心を持つ企業やベンダーが増えて、セキュリティアラートを共有するスタンダード「らしさ」が増す。すべてがうまく行けば、今度は他のセキュリティ情報もこのフレームワークに入れていきたいという。

カテゴリー：セキュリティ

タグ：Microsoft、Google、IBM、オープンソース、Cloud Security Notification Framework（CSNF）

画像クレジット：Yuichiro Chino/Getty Images

［原文へ］

（文：Ron Miller、翻訳：Hiroshi Iwatani）