SP 800-144とは
NIST SP 800-144「Guidelines on Security and Privacy in Public Cloud Computing」(2011年公開)は、パブリッククラウドを利用する際のセキュリティとプライバシーに関するガイドラインです。クラウド移行を検討する組織が事前に理解すべきリスクと推奨事項を示しています。
公開から年数が経っていますが、クラウドセキュリティの基本的な考え方と考慮事項は現在も有効です。SP 800-145(クラウドの定義)と併せて参照されます。
クラウドのセキュリティ課題
| 課題 | 内容 |
|---|---|
| ガバナンス | クラウド環境の管理権限が制限される。オンプレミスと同レベルの統制が困難 |
| コンプライアンス | データの所在地(国・リージョン)による法規制の違い。越境データ移転の問題 |
| データの信頼性 | マルチテナント環境での他テナントからの論理的分離の担保 |
| インシデント対応 | CSP環境でのフォレンジック調査の困難さ。ログへのアクセス制限 |
| 可用性 | CSPの障害がサービス全体に影響。マルチクラウド戦略の必要性 |
主な推奨事項
- セキュリティ/プライバシー要件の明確化:クラウド移行前に、規制要件とセキュリティ要件を文書化
- CSPの評価:セキュリティ認証(SOC 2、ISO 27001、ISMAP等)の取得状況を確認
- データの暗号化:保管時(at rest)と転送時(in transit)の両方で暗号化を実施
- アクセス制御:最小権限の原則に基づくIAM設定。MFAの必須化
- 出口戦略:CSPからのデータ移行(ポータビリティ)と解約時のデータ削除手順を事前に確認
- SLAの確認:稼働率保証、障害復旧時間、データバックアップの責任分界を契約で明確化
責任共有モデル
SP 800-144が強調する最も重要な概念が責任共有モデルです。クラウドのセキュリティはCSPだけの責任ではなく、利用者との間で責任が分担されます。
| 層 | IaaS | PaaS | SaaS |
|---|---|---|---|
| データ | 利用者 | 利用者 | 利用者 |
| アプリケーション | 利用者 | 利用者 | CSP |
| OS・ミドルウェア | 利用者 | CSP | CSP |
| 仮想化・物理 | CSP | CSP | CSP |
SaaSであってもデータの管理(アクセス制御、バックアップ、暗号化設定)は利用者の責任です。
まとめ
SP 800-144はパブリッククラウド利用時の基本的なセキュリティ考慮事項を整理したガイドラインです。責任共有モデルの理解が最も重要であり、SaaSでもデータのセキュリティは利用者の責任である点を認識しましょう。