移行期にあるネットワークサービスのセキュリティWG 活動計画
活動方針
会員機関における、教育、研究、組織業務は、情報システムへの依存度をますます増している。一方、情報システムが、オンプレミスからクラウドへと移行しつつある。便利で安価な個人向けクラウドサービスも増えている。また、IPv4アドレスの枯渇により、IPv6の導入は避けられない。このようなシステム基盤技術の変化へ、基幹的業務システムをどのように対応させるかの検討が急務である。
本WGでは、セキュリティの観点から、こうした基盤技術の変化への対応を考える。パブリッククラウドサービスを活用するためのチェックポイント、個人用サービス利用の上での問題点、IPv6導入の手順などを機密性、可用性、完全性というセキュリティの観点から検討し、会員をはじめとする情報基盤管理者へ有用な情報を提供する。
活動内容
活動期間を前半と後半に分け、前半ではパブリッククラウド活用を、後半ではIPv6導入をテーマとする。メンバーも若干の入れ替えを行う。各期間中もメンバーを二つの班に分け、より深い調査検討を行う。毎回のミーティングでは、二つの班は合同でディスカッションを行う。
- 前半:パブリッククラウド利用のセキュリティ上のポイント
- パブリッククラウドを活用した情報システム発注にあたって、セキュリティ上の留意事項の整理を行う。預けてはいけないデータ、サービス終了時の対応、事故への対応、内部情報システム側の対応などを、セキュリティを中心に整理する。技術的課題の整理と並行して、委託時のチェックリスト作成を目指す。
- 多様な便利なクラウドサービスが、安価で、あるいは無償で、提供されている。ファイル共有などのサービスの場合、不用意な利用は、内部機密情報の漏えいになりかねない。こうしたクラウドサービスの利用のリスクを整理し、ガイドライン作成を目指す。
- 後半:IPv6導入のセキュリティ上のポイント
- 2011年4月に、国内で配布できるIPv4アドレスが枯渇した。IPv6の導入が急務となっている。クライアント機器のIPv6対応は進んでいるが、サービスはIPv4のままのところが多い。既存のIPv4の基盤を使い続けながら、IPv6を導入する方法論が必要となっている。クライアント側、サービス側、それぞれに必要なセキュリティ上のチェックポイントを整理する。
進め方
- 活動期間:2年(2012/8-2014/7)
- 会合開催:年4回、計8回程度