オープンクラウドセキュリティフレームワークの構築をマイクロソフトやグーグル、IBMらが支持
今回は「オープンクラウドセキュリティフレームワークの構築をマイクロソフトやグーグル、IBMらが支持」についてご紹介します。
関連ワード (Cloud Security Notification Framework(CSNF)、Google、IBM、Microsoft、オープンソース等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
大規模なクラウドプラットフォームにはそれぞれ、セキュリティ情報をログプラットフォームやセキュリティプラットフォームに渡すための独自の方法論があり、ベンダーは、その情報を自社のツールに適した形式に変換する独自の方法を見つける必要がある。そこで、MicrosoftやGoogle、IBMなどの新しいワーキンググループであるCloud Security Notification Framework(CSNF)では、こうした情報を配信するための新しいオープンで標準的な方法の作成が試みられている。
CSNFを推進しているオープンエンタープライズクラウドコミュニティONUGの共同創設者兼共同議長であるNick Lippi(ニック・リッピ)氏は、作り上げたものは一部が標準で一部がオープンソースだという。「私たちが注目しているのは、クラウドのガバナンスを自動化する方法です。そのためには、コミュニティにすぐに価値を提供できるセキュリティが最適だったのです」という。
CSNFに引っ張り込んだのは主に大手のクラウドベンダーだが、FedExやPfizer、Goldman Sachsなどクラウドサービスのユーザーである大企業も仲間に入れた。しかしクラウドインフラストラクチャ市場の最大手であるAWSがなぜかいない。しかしリッピ氏によると、今後このプロジェクトが成熟すればAWSなどその他の企業も入ってくるだろう、という。
「セキュリティ関連の事業やプロジェクトは業界にいろいろあり、いずれも企業の参加を勧誘しているため、様子見の態度を取る企業も少なくない」とリッピ氏はいう。彼はいずれAmazonも入ってくると期待しているが、現在のところは、グループの全員が納得して見返りを得るようなCSNFの運営が最優先の課題だ。
最初に取り組むのはセキュリティアラートだ。クラウドのセキュリティアラートを追跡するために各社がデータセンターに備えているのと同じ種類のシステムを企業に与えるような、共通の形式を作る方法を見つけなければならない。そのために彼らが望む方法は、クラウドベンダーたちとグループの企業との間のオープンな対話を活発にすることだ。
「そのための構造はまず、クラウドのユーザーである大企業のCISOらとクラウドベンダーから成る運営委員会があり、彼らが票決を行い方針を決める。そして、それに従ってワーキンググループが仕事をする。ありがたいことに、クラウドのユーザー企業とクラウドプロバイダーの協調関係は今とても良い」とリッピ氏はいう。
関連記事:FIDOアライアンスおよびW3C「パスワード」無用の仕組みを提案
ONUGのメンバーでありConcourse LabsのCEOで共同創業者のDon Duet(ドン・デュエット)氏も、CSNFの創設に関与した。彼によると、プロジェクトへの強い関心を維持するためには、これをデータ管理の問題と見なした方が良い。そしてグループの中の共通語を育てて、誰もがCSNFの仕事をできるようにする、という。
「まず、使用する用語について全員の同意を取り付けなければならない。それによって考え方の基礎ができるため、リソースプロバイダー、この場合クラウドサービスプロバイダーが、彼らのデータを共通のスタンダードに接続できるようになる」とデュエット氏は説明する。
彼のいう特別の問題とは、技術的な問題よりも組織の問題の方が大きいことだ。いろいろな利害関係者が寄ってたかっているような状態で、コンセンサスを構築しなければならない。現時点では、そのプロセスはすでにあるので、次のステップは、向こう数カ月、各社をこのテストに参加させ、実証を得ていく。
テストの段階が終わったら、2021年10月に、セキュリティ情報のスタンダードとそれを収める標準フレームワークの、使用前と使用後でデモンステレーションを行う。グループがその目標に進むにつれてフレームワークがよりしっかりと確立し、関心を持つ企業やベンダーが増えて、セキュリティアラートを共有するスタンダード「らしさ」が増す。すべてがうまく行けば、今度は他のセキュリティ情報もこのフレームワークに入れていきたいという。
画像クレジット:Yuichiro Chino/Getty Images
【原文】
Each of the big cloud platforms has its own methodology for passing on security information to logging and security platforms, leaving it to the vendors to find proprietary ways to translate that into a format that works for their tool. The Cloud Security Notification Framework (CSNF), a new working group that includes Microsoft, Google and IBM is trying to create a new open and standard way of delivering this information.
Nick Lippis, who is co-founder and co-chairman of ONUG, an open enterprise cloud community, which is the primary driver of CSNF, says that what they’ve created is part standard and part open source. “What we’ve been really focusing on is how do we automate governance on the cloud. And so security was the place that was ripe for that where we can actually provide some value right away for the community,” he said.
While they’ve pulled in some of the big cloud vendors, they’ve also got large companies who consume cloud services like FedEx, Pfizer and Goldman Sachs. Conspicuously missing from the group is AWS, the biggest player in the cloud infrastructure market by far. But Lippis says that he hopes, as the project matures, other companies including AWS will join.
“There’s lots of security programs and industry programs that get out there and that people are asking them to join, and so some companies want to wait to see how well this pans out [before making a commitment to it],” Lippis said. His hope is, that over time, Amazon will come around and join the group, but in the meantime they are working to get to the point where everyone in the community will feel good about what they’re doing.
The idea is to start with security alerts and find a way to build a common format to give companies the same kind of system they have in the data center to track security alerts in the cloud. The way they hope to do that is with this open dialogue between the cloud vendors and the companies involved with the group.
“So the structure of that is that there’s a steering committee that is chaired by CISOs from these large cloud consumer brands, and also the cloud providers, and they provide voting and direction. And then there’s the working group where all the work is done. The beauty of what we do is that we have now consumers and also providers working together and collaborating,” he said.
Don Duet, a member of ONUG, who is CEO and co-founder of Concourse Labs, has been involved in the formation of the CSNF. He says to keep the project focused they are looking at this as a data management problem and they are establishing a common vocabulary for everyone to work within the group.
“How do you build a consensus on what are the types of terms that everybody can agree on and then you build the underlying basis so that the experts in your resource providers in this case, Cloud Service Providers, can bless how their data [connects] to those common standards,” Duet explained.
He says that particular problem is more of an organizational problem than a technical one, getting the various stakeholders together and just building consensus around this. At this point, they have that process in place and the next step is proving it by having the various companies involved in this test it out in the coming months.
After they get past the testing phase, in October they plan to actually demonstrate what this looks like in a before and after scenario, with the new framework and without it. As the group works toward these goals, the hope is that eventually the framework will become more established and other companies and vendors will come on board and make this a more standard way of sharing security alerts. If all goes well, they hope to build in other security information into this framework over time.
(文:Ron Miller、翻訳:Hiroshi Iwatani)
