IPA テクニカルウォッチ

クラウドコンピューティングのセキュリティ

に関連する国際動向

2013 年 3 月 28 日

IPA テクニカルウォッチ

クラウドコンピューティングのセキュリティに関連する国際動向

目次

はじめに ................................................................................................................................................ 1 １． 米国政府におけるクラウド活用への取組み .................................................................................. 1

１－１．米国政府におけるクラウド関連戦略の展開 ....................................................................... 1 １－２．政府調達枠組み FedRAMP に関連する動向 ...................................................................... 2 １－３．NIST におけるクラウドコンピューティングへの取組み .................................................. 4

２．米国を中心とした民間の標準開発の動向 ...................................................................................... 8 ３．ヨーロッパにおけるクラウド活用戦略 .......................................................................................... 9 ３－１．デジタルアジェンダとクラウドパートナーシップ ............................................................ 9 ３－２．ENISA におけるクラウドのセキュリティに関連する調査研究活動 ............................... 10 ３－３．ETSI におけるクラウドの標準の調査 .............................................................................. 11 ３－４．クラウドに関連する FP7 プロジェクト ........................................................................... 12 ３－５．欧州におけるその他のクラウド関連の協同プロジェクト ............................................... 14

４．日本における標準化その他のクラウド関係の活動 ..................................................................... 15 ４－１．ISO/IEC JTC1 SC27 におけるクラウドセキュリティ標準の開発 ............................. 15 ４－２．クラウドのセキュリティに関する監査の枠組みの開発 ................................................... 16 ４－３．日本におけるクラウド関連の団体等 ................................................................................ 17

まとめ .................................................................................................................................................. 19 【改訂履歴】

日付 改訂内容 2013 年 3 月 28 日 初版発行 2013 年 6 月 13 日 誤字脱字修正

1

はじめに クラウドコンピューティングの活用が広まっている。実用レベルで多くのサービスが提供され、利

用側も基幹的業務までパブリッククラウドに移行するようなユーザが登場するなど、コンピューティ

ングの利用形態として定着した感がある。 クラウドに関してはセキュリティに関する懸念が関心事として依然大きいが、Big Data の取り扱

い基盤という位置付けも含めて、活用面の研究も活発化している。また相互運用性や移植可能性など、

より自由な活用を視野に入れた標準化への取組みも多方面で進められている。 本稿では、このようなクラウドに関する内外の動向について、最近の特徴的なトピックを紹介し、

利用者、提供者の参考に供するとともに、日米欧の比較における日本の課題について触れてみたい。 １． 米国政府におけるクラウド活用への取組み １－１．米国政府におけるクラウド関連戦略の展開 オバマ政権はIT戦略に注力している。就任早々に連邦CIO1という職位を新設し、ワシントンDCの

CIOとしてクラウドの活用に実績を上げたVivek Kundraを起用した。同氏はクラウドの活用とデー

タのオープン化を力強く推進した。関連する一連の政策等を表 1 に示す。

表 1 米国連邦政府の IT 関連戦略等の推移 （報道資料等から IPA 作成）

Vivek Kundraは就任後ただちに政府保有データの公開のためのサイトData.gov2（後述）を立ち上

げ、2009 年 6 月にはFederal Cloud Computing Initiativeを発表してクラウド採用戦略を明確にし

ている。ほぼ時を同じくして、後述するようにNISTにおけるクラウドセキュリティの研究が開始さ

1 Chief Information Officer 2 http://www.data.gov/

時期 連邦政府のアクション 内容・意味

2009年3月 Vivek Kundar 連邦CIO（初設置）に就任Washington DCでクラウド導入実績があるKundraの連邦CIOへの起用

2009年5月 Data.govを開設政府保有データの公開ポリシーに基づく公開サイト。 2011年5月にクラウドに移行

2009年12月 Open Government Directiveを発表 政府の情報公開の基本方針

2010年5月 Recovery.govをアマゾンのクラウドに移行経済回復施策予算の実施状況の公開・トレースのためのサイト

2010年11月 Cloud First Policy発表 クラウド優先使用方針の確認

2010年12月25 Point Implementation Plan to Reform Federal Information Technology Management

クラウド優先使用方針の具体化のための施策

2011年2月 Fedral Cloud Computing Strategy発表 クラウド活用戦略を具体化

2011年6月 Vivek Kundar 連邦CIOを辞任

2011年8月 Steven VanRoekel 第2代連邦CIOに就任 実務畑からの昇格起用で戦略を継承

2012年5月Federal Information Technology Shared Service Strategy発表

クラウド活用戦略の再確認。連邦政府による活用の指令

2

れ、またFedRAMP（Federal Risk and Authorization Management Program）という調達プログ

ラムの検討が始まっている。 さらに、2010 年 12 月に連邦CIOが発行した戦略“25 Point Implementation Plan to Reform Federal Information Technology Management”により「Cloud First」ポリシーを改めて明

示した。そして、2011 年 2 月には、Federal Cloud Computing Strategy を発表し、確立した戦略

としてクラウドの活用を改めて明示している。その狙いとするところは、膨張を続ける連邦IT予算

の削減と、ITの活用、データのオープン化を同時に達成するところにある。例えば 2011 年 2 月のCSA Summit 20113における基調講演では、増え続ける連邦政府のデータセンター数を圧縮することや連

邦IT予算の削減、その 4 分の 1 はクラウド化できることを訴え、すでに実現したクラウドによるコ

スト圧縮の事例を紹介している。 同氏は 2011 年 6 月に退任したが、後任は連邦政府の実務畑出身のSteve VanRoekel氏が昇格し、

路線を引き継いでいる。翌年には新たな戦略も示され、また以下に見るようにFedRAMPもようやく

日の目を見るところまで来ている。米国政府におけるクラウドの戦略的活用の方針は、Data.gov4、

IT Dashboard5、Recovery.gov6などに見るようにオープンデータ、開かれた政府の政策とも相まっ

て、より強力に推進されているようである。 １－２．政府調達枠組み FedRAMP に関連する動向 「Cloud First」ポリシーのもと、“25 Point Implementation Plan to Reform Federal Information Technology Management”により各省庁各々が、少なくとも 3 つのサービスを早期にクラウドに移行

することが要求された。 これに対応して、連邦政府のクラウドサービスの調達枠組みとして FedRAMP と呼ぶ仕組みが開

発され、2012 年から運用を開始している。FedRAMP は、クラウドサービスの利用に伴うリスクを

管理し、連邦政府として利用可能なサービスを認証する枠組みである。このプログラムで認証され登

録されれば、省庁毎に新たに調達評価の手続きを経ることなく、提供／調達が可能となる。共通調達

基準を整備することで個別手続きによる重複を排除し、積極的にクラウドを活用しようという意思の

表れである。 FedRAMPは、当初GSA7とNIST8が開発の中心であったが、最終的には図 1 に示すようにGSA, DOD9, DHS10, NIST, OMB11, CIO12 Councilの 6 機関が関係する複雑な仕組みとなっている。プロ

ジェクトの運営はFedRAMP Project Management Officeが行うが、この機能はGSAが所管している。

調達対象のクラウドサービスを承認するのはJAB (Joint Authorization Board)で、GSA、DOD、DHSにより構成される。NISTは評価基準や技術要件を提供し、技術を所管する。これにOMBが参加し、

3 https://cloudsecurityalliance.org/events/presentation-material/の「Cloud Security Alliance Summit 2011 –

February 14, 2011」見出し下にある「download」ボタンから zip ファイルをダウンロード可能 4 連邦政府保有のデータを web で公開する仕組みおよびそのサイト http:www.data.gov 5 連邦政府の IT 政策及び予算の執行状況を公開するポータルサイト http://www.itdashboard.gov/ 6 連邦政府の経済復興政策について可視化とトレーサビリティを提供する情報公開サイト

http://www.recovery.gov/Pages/default.aspx 7 General Services Administration 連邦政府一般調達局 8 National Institute of Standards and Technology 国立標準技術研究所 9 Department of Defense 国防総省 10 Department of Homeland Security 国家安全保障省 11 Office of Management and Budget 行政管理予算局 12 Chief Information Officer 最高情報責任者

3

省庁CIOの連絡機関であるCIO Councilが戦略統括と省庁間調整を行う。クラウドサービス事業者が

FedRAMPの認定を受けるには、FedRAMPですでに認定されている第三者の評価機関(3PAO)による

評価レポートをFedRAMPに提出し、JABによる承認を受けるという手続きを踏むことになる。評価

基準はSP800-5313をベースに”FedRAMP Security Controls”が定められている。

図 1 米国FedRAMPの構成 （FedRAMP CONOPS14より）

FedRAMPに関する年譜を表 2 に示す。このうち薄グリーン色の欄はFedRAMP以外のクラウド活

用施策である。FedRAMPは、2010 年 5 月のNISTの第 1 回ワークショップ（後述）ですでにブログ

ラムの枠組みや機能が紹介されていたが、結局、最終的なプログラム開始のアナウンスまで、検討開

始から 24 ヵ月 15を要している。これは、すべての省庁の調達枠組みに影響することから、その利害

調整等に時間を要したためと考えられる。 FedRAMPは 2013 年 3 月現在、認定サービスとして登録されているのは 2 件に過ぎない。ただし、

連邦政府がそれだけしかクラウドを使っていないということではない。既にFedRAMP以前から個別

には多くのクラウドサービスが活用されている。2009 年 9 月には、GSAによりApps.gov16というサ

イトがオープンした。これは連邦政府がパブリッククラウドサービスを調達して利用するに際しての

ポータルサイトで、GSAの審査と統一書式による契約受入を通過したクラウドサービスベンダ 12 社

が登録され、目的に応じてそのサービスが調達できる仕組みとなっていた。現在は

http://info.apps.gov/というサイトに衣替えし、クラウドコンピューティング活用に関するオリエン

テーションと、FedRAMPへの誘導を行う機能に変更されている。オープンデータの先駆的取組みで

もあるData.govやRecovery.govも、Apps.govにもFedRAMPにも登録されていないパブリッククラウ

ドで運営されており、GoogleやAmazonも政府にサービスを提供している 17。

13 「連邦政府情報システムにおける推奨セキュリティ管理策」 NIST が定めるセキュリティ基準の一つ 14 Concept of Operations http://www.gsa.gov/portal/getMediaData?mediaId=154239 15 2011 年 12 月 8 日の連邦 CIO による FedRAMP アナウンスメントによる言及。現実にはさらに 6 か月前の 2009

年 5 月には検討は開始されている。https://cio.gov/wp-content/uploads/2012/09/fedrampmemo.pdf 実際の運用開始宣言は上記アナウンスメントの 6 か月後の 2012 年 6 月。体制整備まで結局 3 年かかっている。

https://www.fbo.gov/index?s=opportunity&mode=form&tab=core&id=16bb843b947c3586d25407ca0e599507 16 現在は http://info.apps.gov/となっている。 17 http://techcrunch.com/2012/05/01/google-wins-35-million-u-s-government-contract-over-microsoft/

http://www.eweek.com/c/a/Cloud-Computing/Amazon-Helps-US-Government-Move-to-the-Cloud-883856/

4

表 2 FedRAMP の開発推移 （報道資料等から IPA 作成）

１－３．NIST におけるクラウドコンピューティングへの取組み NISTのクラウドコンピューティング研究は、遅くとも 2009 年には開始されている。当初の活動

は、クラウドのセキュリティに関する調査とクラウドの活用のメリットデメリットに関する情報の整

理で、「Effectively and Securely Using the Cloud Computing Paradigm」と題するパワーポイント 18

と「The NIST Definition of Cloud Computing」と題するwordファイル 19は、初期のクラウドセキ

ュリティ関係の研究者に頻繁に参照された。この二つはいずれも 2009 年 10 月に確定バージョンと

なっている。 また2010年5月からはNIST Cloud Computing Forum and Workshopと題する会議が約半年のイ

ンターバルで開始され、2013 年 1 月で 6 回 20を数えている。NISTのクラウド研究は、この会議を

区切りとし、そこに研究者や産業界からのスピーカー（最近は海外の政府・民間からも参加）を集め

て情報交換しつつ研究を進めるマネジメントをとっているようである。議題も、第 1 回は進捗報告、

産業界と政府の各パネルの他、FedRAMPとSAJACC（後述）の報告のみであった。2 回目以降は

Standards, Reference Architectue/Taxonomy, Security, Technology Roadmapといったテーマが一

貫して登場している。 NIST のクラウドコンピューティングチームは、現在いくつかのワーキンググループを編成してク

ラウドの体系的定義や整理に取り組んでいる。ワーキンググループとしては、Reference Architecture、Taxonomy、Security、Standards、Forensics、Business Use Cases、SAJACC な

どがある。Forum and Workshop のテーマと一致しており、NIST の関心領域を示している。 これらのチームが分担して、技術文書であるSPシリーズを作成している（一部はドラフト段階）。

現在、公表されているものを表 3 に示す。SP800 はセキュリティ関連、SP500 はIT一般である。セ

キュリティ関連はSP800-144, 145, 14621までで、その後はSP500 シリーズの展開が続いている。 18 http://csrc.nist.gov/organizations/fissea/2009-conference/presentations/fissea09-pmell-day3_cloud-computing.pdf 19 www.nist.gov/itl/cloud/upload/cloud-def-v15.pdf 20 6 回目に初めて”Cloud Computing and Big Data”というタイトルとなり、Big Data をも視野に入れだしている。 21 この 3 つの文書については邦訳を IPA の Web サイトで公開している。（一部はドラフト段階）

http://www.ipa.go.jp/security/publications/nist/index.html

時期 事象 内容・意味

2009年5月 FedRAMP検討開始

2009年9月 GSA、Apps.gov開始連邦政府機関向けパブリッククラウド調達のポータルサイト

2010年11月Proposed Sessuirty Assessment & Authorization for U.S. Governemnt Cloud Computing発表

FedRAMP構想のアナウンスメント

2011年5月 Data.govのクラウド移行Recovery.govのクラウド移行

オープンデータ政策

2011年12月Security Authorization of InformationSystems in Cloud Computing Environments発表

FedRAMPの正式アナウンスメント

2011年12月 FedRAMPのクラウド業界向け説明会 第三者評価機関(3PAO)の説明・募集

2012年2月 FedRAMP Concept of Operations (CONOPS)発表

2012年6月 FedRAMP運用開始のGSAによるアナウンスメント クラウド事業者の募集開始通知

2012年10月 FedRAMPへの事業者登録手続の説明会 クラウド事業者向け登録手続説明

2012年12月 FedRAMP認証事業者第1号の登録 FedRAMP Webに公開

5

表 3 NIST のクラウド関係 SP シリーズ （NIST の情報より IPA 作成）

このうち SP500-293 Vol.I では、優先度の高い 10 の取組み課題（High-Priority Requirements）を設定し、クラウドの実利用への道筋を開こうとしている。そのリストを表 4 に示す。実用を意識

した具体的課題を設定していることが読み取れる。これらは現在、テーマごとに産官学協同のチーム

が編成され取組みが進められている。結論に達した段階で文書に反映するものと考えられる。

表 4 NIST クラウドにおける優先度の高い 10 の取組み課題（High-Priority Requirements）

また SP500-292 で示された Reference Architecture では、クラウドの内部構造だけでなく、その

番号 タイトル（英文） タイトル（和訳） ドラフト 正式版

SP800-144

Guidelines on Security and Privacy inPublic Cloud Computing

パブリッククラウドコンピューティングのセキュリティとプライバシーに関するガイドライン

2011年1月 2011年12月

SP800-145 The NIST Definition of Cloud Computing NISTによるクラウドコンピューティングの

定義2011年1月 2011年9月

SP800-146

DRADT Cloud Computing Synopsisand Recommendations

クラウドコンピューティングの概要と推奨事項

2011年5月 2012年5月

SP500-291

NIST Cloud Computing StandardsRoadmap

NISTによるクラウドコンピューティング標

準の作業計画- 2011年7月

SP500-292

NIST Cloud Computing ReferenceArchitecture

NISTにおけるクラウドコンピューティング

の参照アーキテクチャ- 2011年9月

SP500-293

US Government Cloud ComputingTechnology Roadmap Vol. 1

連邦政府のクラウドコンピューティング技術の道程標　第1部

Vol.1High Priority Requirements to FurtherUSG Agency Cloud ComputingAdoption

連邦政府によるクラウドコンピューティング導入促進のための優先要求事項

SP500-293

US Government Cloud ComputingTechnology Roadmap Vol. 2

連邦政府のクラウドコンピューティング技術の道程標　第2部

Vol.2 Useful Information for Cloud Adopters クラウド活用者のための参考事項

SP500-293

US Government Cloud ComputingTechnology Roadmap Vol. 3

連邦政府のクラウドコンピューティング技術の道程標　第3部

Vol.3Technical Considerations for USGCloud Computing DeploymentDecisions

連邦政府によるクラウドコンピューティング採用判断のための技術的検討事項

SP500-296

Challenging Security Requirements forUS Government Cloud ComputingAdoption

連邦政府によるクラウドコンピューティング採用に際して課題となるセキュリティ要件

2012年5月 -

2011年11月

2011年11月

2011年11月

-

-

-

1. 国際的自主的合意に基づく相互運用性、移転可能性、セキュリティ標準

2. 重要なセキュリティ要求条件に対するソリューション

3. 一貫性のある質の高い SLA を実現する技術仕様

4. クラウドサービスの明確で一貫性のあるカテゴリ分け

5. コミュニティクラウド環境の連携のシームレスな実装をサポートするフレームワーク

6. 組織のポリシー判断に依存しない技術的セキュリティソリューション

7. 政府に固有の規律要件、技術ギャップ、ソリューションを明確に定めること

8. 協働・同時進行・戦略的「未来のクラウド」開発イニシアティブ

9. 信頼性設計を明確に定義し実装すること

10. クラウドサービスの計測評価体系を明確に定義し実装すること

6

活用も視野に入れたアーキテクチャの定義に取り組んでいる。その中で概念参照モデルとして示され

ているのが図 2 である。 ここで特徴的なことは、「クラウドプロバイダ」の内部に、クラウドサービスを生み出す仕組みと

しての Cloud Orchestration、その管理要素(Cloud Service Management)、セキュリティ、および

プライバシーの 4 要素を位置付け、その外に「クラウドブローカー」「クラウドキャリア」「クラウ

ド利用者」「クラウドオーディター」を配置していることである。特に、「クラウドブローカー」「ク

ラウドオーディター」という機能を、クラウドの利用に伴って必要となる要素として明示している点

は注目される。 このうち「クラウドブローカー」はクラウド事業者とクラウド利用者の間を仲介する機能の事業者

で、単なる取引や導入の仲介から、複数クラウドを組合せてユーザに提供するインテグレーションや、

その組合せを動的に最適化するような機能まで提供 22する。クラウドの高度な利用やカスタマイズ要

求への対応を可能にする第三者サービスと言える。 また「クラウドオーディター」はクラウドのセキュリティ、プライバシー保護、パフォーマンスな

どに関する監査を実施する第三者で、クラウド利用者の要求をクラウド事業者がどのように、どの程

度満たしているかを第三者の中立的立場で評価したり証明したりする機能を提供する。利用者側のコ

ンプライアンスや管理要求に対して、クラウド事業者側が個別対応することによる負荷やコスト負担

の問題を、第三者が介在して 1 回の作業による中立的評価結果を複数利用者に提供することで軽減

し、双方のニーズを満たす構造が実現できる。

図 2 NIST によるクラウドの参照アーキテクチャ （SP500-292 より）

NISTがクラウドの研究開始初期から継続的に取組んでいるプロジェクトがSAJACCである。

22 詳しくは「クラウドコンピューティングの社会インフラとしての特性と緊急時対応における課題に関する調査」報

告書 PP164-165 参照 http://www.ipa.go.jp/security/fy23/reports/cloud/index.html

7

SAJACCはStandards Acceleration to Jumpstart Adoption of Cloud Computing の頭文字をとった

もので、その名の通り、連邦政府によるクラウド利用の促進のために基準作りを進めるプロジェクト

である。実態としては、活用事例を積み上げてベストプラクティスを示すことに主眼が置かれている。

これにより、実務的なクラウドの活用基準が固まっていくものと考えられるが、プロジェクトリーダ

ーのAlan Sillによれば 23、さらに海外も含めてユースケースを積み上げたいと考えているようであ

る。 以上、米国連邦政府におけるクラウドへの取組みを、CIO 主導による戦略、FedRAMP、NIST の

動きに焦点を当てて見てきた。 NIST のクラウドへの取組みは、当初はセキュリティ課題を中心に

進められていたが、FedRAMP の中心が GSA に移り、SAJACC への取組みを強めた 2011 年頃から、

より総合的な研究に軸足が移ってきている。それが SP800 シリーズから移行した SP500 シリーズの

展開にも表れており、標準・基準の整備、参考アーキテクチャの整備を経て、高優先取組み課題とい

った具体的テーマを展開して実運用への準備を進めるなど、連邦政府によるクラウド利用のための具

体的環境整備に進んできている。 連邦政府は、FedRAMP という省庁横断プログラムにより環境を整えつつ、クラウドへの移行を

半ば強制的に推進している。FedRAMP は、途中 Apps.gov による調達ポータルや個別プロジェクト

ごとのスポットでのクラウド採用といった経緯を経つつ、連邦政府共通枠組みとして運用を開始した。 このように多大な労力と時間をかけて、政府によるクラウド活用の枠組みの整備に取り組んでいる

実態からは、米国連邦政府の、クラウド活用のメリットを戦略的に評価して推進する強い姿勢が読み

取れる。また１－１．で触れたオープンガバメントポリシーも含め、IT 戦略の一貫性と力強さを示

すものと感じられた。 ２．米国を中心とした民間の標準開発の動向 表 5 に、クラウドに関係のある標準開発団体や機関の主なものをまとめた。

このうち国際標準化機関 3 団体はいずれも欧州を本拠としているが、Eurocloud24（欧州）、GICTF25

（日本）と政府機関を除けば、その他の標準化団体の本拠地はアメリカであり、アメリカが情報の集

散の中心となっている例が多い。IEEE26やDMTF27といった、クラウド以前から標準開発を担って

いた多くの団体が、クラウドにも関係する、あるいはクラウドに固有の技術要素に関する標準化を推

進している。また、クラウドがコンピュータの利用モデルとして革新的であり、その影響範囲が大き

いことから、Open Cloud Manifesto28を始めとするクラウドに特化した団体や、更にはCSA29のよう

にそのセキュリティに特化した団体まで形成されている。

23 2013 年 2 月に直接聴取。 Alan Sill: Texas Tech University Senior Scientist SAJACC WG リーダ 24 http://www.eurocloud.org/ 25 http://www.gictf.jp/ 26 http://www.ieee.org/index.html 27 http://www.dmtf.org/ 28 http://www.opencloudmanifesto.org/ 29 https://cloudsecurityalliance.org/

8

表 5 クラウドの標準に関連する機関・団体 （各種情報から IPA 作成）

クラウドにおける関心事の一つは、複数のクラウドベンダー間でアプリケーションやデータの移

転・移行ができるか、という問題である。クラウド事業者が提供する環境と、自社内（オンプレミス）

環境との間についても同様のニーズがある。その目的とするところは、特定のクラウド事業者への依

存度を下げてユーザの自由度・選択肢を確保することにある。また、特に東日本大震災以降は、別の

環境への移転による事業継続、サービス継続の視点からも関心が高まっている。インターオペラビリ

ティ（相互運用性）やポータビリティ（移植可能性）を実現するための取組みや技術開発が、多方面

で行われている。 その例としてはDMTFによるCIMI(Cloud Infrastructure Management Interface )やOVF (Open

Virtualization Format)、OGF30によるOCCI(Open Cloud Computing Interface)、SNIA31による

CDMI(Cloud Data management Interface)、Open ID Foundation32によるOpenID Connect、SCIM(Simple Cloud Identity Management)などがある。 IPAは、「クラウドコンピューティングの社会インフラとしての特性と緊急時対応における課題に

関する調査」報告書 33やテクニカルウォッチ「社会インフラとしてのクラウドに求められる信頼性と

サービス継続のための条件について」34で述べたように、社会インフラとして浸透するクラウドの停

止リスクについて対応を考えておく必要があることを訴えている。クラウドを支えるデータセンター

が停止したときに、他のプラットフォームにその機能を移転してサービスを継続することが重要課題

となる。そのためには、相互運用性や移植可能性、更には移転可能性が必要な特質となる。 上で述べた、各団体において開発された技術標準は、相互運用性や移植可能性の実現を容易にする

30 http://www.gridforum.org/ 31 http://www.snia.org/ 32 http://openid.net/foundation/ 33 http://www.ipa.go.jp/security/fy23/reports/cloud/index.html 34 http://www.ipa.go.jp/about/technicalwatch/20130131.html

国際標準化機関

ISO (International Standard Organization)IEC (International Electrotechnical Commission)ITU-T (International Telecommunication Union Telecommunication Standardization Sector)

技術開発の中で標準化を進める団体

IEEE (Institute of Electrical and Electronics Engineers)OASIS (Organization for the Advancement of Structured Information Standards) OIDF (Open ID Foundation)DMTF (Distributed Management Task Force)SNIA CSI (Storage Networking Industry Association Cloud Storage Initiative)

クラウドのための団体

Open Cloud Manifesto Cloud-Standards.orgOMG(Object management Group)/CSCC(Cloud Standards Customer Council)ODCA (Open Data Center Alliance)Eurocloud

クラウドのセキュリティのための団体

CSA (Cloud Security Alliance)GICTF (Global Inter-Cloud Task Force)

政府機関

NIST (National institute of Standards and Technology)ETSI (European Telecommunications Standards Institute)ENISA (European Network and Information Security Agency)NISC (National Information Security Center)

9

ものとして、あるいはそれを支える機能として期待される。またクラウドの移転可能性については、

グローバルクラウド基盤連携技術フォーラム（GICTF）が、緊急時に複数データセンター間でクラ

ウドを移転するための技術標準の開発を提唱している。 多数の組織による技術標準の開発が進み、クラウド間での機能・サービスの移動が容易になること

は歓迎すべき動きとして注目できる。また、今後、これら複数の標準の間で、互換性や不整合の解消

等がされ、相互の連携が可能とされていくことが期待される。

３．ヨーロッパにおけるクラウド活用戦略 ３－１．デジタルアジェンダとクラウドパートナーシップ 欧州委員会（European Commission, EC）が推進するデジタルアジェンダ（正確にはThe Digital Agenda for Europe, DAE35 ）は、ヨーロッパ経済を再生することを目指し、欧州の市民や企業がデ

ジタル技術を最適に活用できるよう支援する取組みで、2010 年に発動された「欧州 2020」と題する

成長戦略に基づく７つの取組み課題の第１に位置づけられている。 この戦略に基づき、2012 年 1 月のダボス会議 36でデジタルアジェンダ責任者である欧州委員会の

Neelie Kroes副委員長が提唱 37したのがEuropean Cloud Partnershipである。4 月には説明会が開

催され、その狙いはEU参加国の公的部門におけるクラウド活用のための要件整備にあるとの説明が

なされた。それは、①調達要件の整備、②要件の妥当性の検証、③要件に基づく調達実践モデルの構

築という 3 段階を経て実現するものとされた。その後、2012 年 9 月には、声明“Unleashing the Potential of Cloud Computing in Europe38”が発表され、クラウドとは何であるか、European Cloud Partnershipとは何であるか、クラウドにおけるセキュリティとデータ保護、などの説明が示され、

EUにおけるクラウドの戦略的重要性が強調された。 同声明ではまた、European Cloud Partnership推進当局の任務が改めて強調された。これを受け

てEuropean Cloud Partnershipの運営理事会は同年 11 月に初会合を開き、その議事要旨 39を公開し

た。その内容は、EU加盟国間での法的文化的不均一が欧州全域で同一のサービスを提供する形での

クラウドの進展を妨げていることを指摘しつつ、データセキュリティ、ベストプラクティスの共有、

標準化開発等に取組む、としている。 一方、以下に見るようにENISA40はここ 5 年ほど精力的に活動していくつかのレポートを公表し

ている。またETSI41ではクラウドの標準化に関する調査プロジェクトが 2012 年 12 月に始動した。

またそれと機を一にするように、2012 年後半にはFP7 資金によるプロジェクトも複数始動するなど、

実務をになう公的機関や民間は活発な動きを見せている。

35 http://ec.europa.eu/digital-agenda/ 36 World Economics Forum が主催する世界の政治経済指導者を一堂に会する会議 37 http://europa.eu/rapid/press-release_SPEECH-12-38_en.htm 38 http://europa.eu/rapid/press-release_MEMO-12-713_en.htm 39 https://ec.europa.eu/digital-agenda/en/european-cloud-partnership 40 European Network and Information Security Agency http://www.enisa.europa.eu/ 41 European Telecommunications Standards Institute

10

３－２．ENISA におけるクラウドのセキュリティに関連する調査研究活動 ENISAはEuropean Network and Information Security Agencyの略で、IPAでは欧州ネットワー

ク情報セキュリティ庁と訳している。ENISAは以下のように継続的にクラウドセキュリティに関連

する調査レポートを発表し続けている。表 6 にその一覧を示す。なお、IPAではその一部について日

本語訳を公開 42している。

表 6 ENISA によるクラウドのセキュリティに関連するレポート

このうち、2009 年 11 月に発表された最初の報告書“Cloud Computing: Benefits, risks and recommendations for information security”は、クラウドにおけるリスク要素を、その発生頻度、イ

ンパクトの大きさ、クラウドに固有なリスクの度合いによって数値化することで擬似的な定量評価を

実現し、またリスク度を大中小の 3 領域にプロットして示すなど、そのアプローチのユニークさと

判り易さで高い評価を得ている。 また、“Security & Resilience in Governmental Clouds: Making an informed decision”は政府調

達における留意事項をシナリオライティング手法も取り入れて判りやすく解説するとともに、日本で

実験的に取組まれたJ-Cloud43について紹介し、政府支援の下に中小企業に事業機会の拡大とIT活用

機会の提供を実現する一挙両得の施策にも言及している。これに続く“Procure Secure”ではSLAと

Continuous Monitoringという新しい課題を取り入れてレポートにまとめている。 更に、2012 年 12 月に発表された“Critical Cloud Computing: A CIIP44 perspective on cloud computing services”では、クラウドを重要情報インフラと位置付け、その自然災害による停止リス

クに、東日本大震災に触れつつ言及し、クラウドが止まらないようにする対策の必要性を指摘してい

る。これはIPAの報告書やテクニカルウォッチで主張するところと一致しており、ENISAが東日本大

震災を教訓として、日本と同様の視点に立って警告を発したレポートとして、注目に値する。

42 http://www.ipa.go.jp/security/publications/enisa/index.html 43 経済産業省の資金によりクラウド基盤を用意し、中小パッケージソフトウェアベンダがクラウド型サービスを提供

できる環境を提供するとともに、IT 投資負担が軽い中で IT 活用を促進させるためのプロジェクト。現在は富士通

が運用を行っている。 44 Critical Information Infrastructure Protection 重要情報インフラ防御

時期 レポート名（原文） 内容 備考

2009年11月Cloud ComputingBenefits, r isks and recommendations for information security

クラウドコンピューティングのリスク評価。発生確立とインパクトによる重み付け・重要度評価が特徴

IPAから日本語訳を提供

2009年11月An SME perspective on Cloud ComputingSurvey

中小企業によるクラウド利用に関する実態調査

2009年11月Cloud ComputingInformation Assurance Framework

中小企業によるクラウド利用上のセキュリティ課題解説

IPAから日本語訳を提供

2011年1月Security & Resilience in Governmental CloudsMaking an informed decision

政府におけるクラウド調達において留意すべき事項の解説

IPAから調査執筆に参画

2012年4月Procure SecureA guide to monitoring of security service levels in cloud contracts

クラウドのサービスレベルを継続的計測によって評価するための指標や方法論の提供

IPAから調査執筆に参画

2012年12月Critical Cloud ComputingA CIIP perspective on cloud computing services

重要インフラとしてのクラウドのセキュリティと災害対応、事業継続に関する問題提起

東日本大震災に言及。自然災害リスクを視野に

11

３－３．ETSI におけるクラウドの標準の調査 ETSI は European Telecommunications Standards Institute の略で、欧州連合における電気通信

の標準の開発・制定機関である。2012 年 9 月に出した声明（３－１．参照）に基づいて、欧州委員

会は ETSI にクラウドの標準に関する整備の取組みを依頼し、それに対応して Cloud Standards Coordination(CSC)という活動が編成された。これは、欧州委員会における、クラウドの標準化の推

進が必要であるいう問題意識と、にも拘らず適用すべき標準が見えない現状に対する懸念とに基づい

たものである。 CSC は 2012 年 12 月のカンヌでのキックオフ会合で参加者（125 名）の顔合わせが行われて動き

出したところであり、具体的成果はこれからの活動にかかっている。現在、図 3 のようなチーム編

成を行い、各チームごとに情報の収集と整理に取組んでいるところである。現時点でそのゴールやタ

イムスケジュールは明らかでないが、作業が完成すれば、クラウドをめぐる各種標準の整理や体系付

けが得られ、EU としてのクラウドの活用と管理の方向性が見えてくるものと思われる。

図 3 ETSI における CSC のチーム構成

３－４．クラウドに関連する FP7 プロジェクト FP7 は 7th Framework Program の略で、欧州委員会による研究開発資金提供プログラムである。

EU 参加国の個人や企業や機関が複数集まって団体を形成し、研究開発テーマの提案を行って FP7事務局の審査に合格すれば開発資金の供給が受けられる上に、その成果を自分たちの活動に使用する

ことができる枠組みである。団体は複数国からの参加が条件で、EU 外からのメンバーが含まれるこ

とが推奨されている。以下、クラウド関連のプロジェクトを、IPA が情報を入手している範囲で紹介

する。 ３－４－１．CIRRUS CIRRUS は Certification, InteRnationalisation and standaRdisation in cloUd Security の略で、

クラウドのセキュリティに関する標準・基準についての国際的調査と整理を行うことを目指したプロ

ジェクトである。2012 年から 2 年間の予定で活動中で、参加メンバーは以下の通りである。 ATOS（スペイン）：プロジェクトリーダー Cloud Security Alliance EMEA 本部（国際団体、英国拠点） Grant Thornton（オランダ）

12

Austrian Standards Institute（オーストリア） Portakal Teknoloji（トルコ） IPA（日本） 活動内容としては、世界各国におけるクラウドのセキュリティに関する取組みや標準等の調査、ク

ラウド事業者、クラウドユーザ、監督当局からの意見聴取、データ保護、プライバシー、フォレンジ

ツクスに関する標準化動向の整理、これらをテーマにした有識者会議の開催、報告書の作成、等とな

っている。

表 7 CIRRUS Workshop のプログラム （CIRRUS Web サイトより）

第 1 回有識者会議（ワークショップ）は、2013 年 2 月 28 日にベルギー・ブリュッセルにおいて

開催された 45。そのプログラムは表 7 に示すとおりで、“Standardisation and Certification,” “Data Protection and Privacy,” “Cloud Forensics,” “ICT Industry View”の 4 セッションに、IPAからの参

加も含め延べ 16 人のセッションチェアとスピーカーが登場し、約 40 名の一般参加者とともに討論

を行った。 ３－４－２．OCEAN OCEANはOpen Cloud for Europe, JApan and beyoNdの略で、オープンソースソフトウェアベー

スのクラウド環境に関する調査プロジェクト 46である。参加メンバーは以下の通りで、このプロジェ

クトにもIPAが参画している。 Fraunhofer FOKUS（ドイツ）

45 http://www.cirrus-project.eu/content/first-cirrus-event 46 http://www.ocean-project.eu

13

Engineering S.P.A.（イタリア） OW2（フランス） IPA（日本） その活動内容は図 4 に示すポートフォリオとなっており、オープンソースクラウドのマッピング、

インターオペラビリティのフレームワーク作り、オープンソースクラウドの品質保証とその証明枠組

みなどを開発目標としている。

図 4 OCEAN プロジェクトの活動ポートフォリオ （OCEAN 資料より）

３－４－３．CUMULLUS CUMULUSはCertification infrastrUcture for MUlti-Layer cloUd Servicesの略で、クラウドの認

証に関連する調査プロジェクト 47である。その参加メンバーは以下の通り。 Fondazione Ugo Bordoni （イタリア） Atos （スペイン） The City University of London （イギリス） Universidad de Málaga （スペイン） Università degli Studi di Milano （イタリア） Infineon Technologies AG （ドイツ） Wellness Telecom （スペイン） Cloud Security Alliance (Europe) （国際団体、英国拠点） このプロジェクトの目的は、ユーザとベンダの間で温度差のあるクラウドのセキュリティと信頼に

関する保証についての枠組みを整理し、IaaS、PaaS、SaaS といったレイヤーの違いを超えて、認

証と証明の一貫した体系を整備し、単一の証明体系を構築しようとするところにある。 このように、FP7 プログラムの下でも、クラウドのセキュリティに関する標準化や保証について

調査プロジェクトが複数進行している。

47 http://www.cumulus-project.eu/

14

３－５．欧州におけるその他のクラウド関連の協同プロジェクト 2013 年 2 月 27, 28 日、ベルギーのブリュッセルにおいて、Cloudscape V と題するクラウドに関

する国際会議が行われ、IPA からも招待講演を行った。その中で、欧州における各種のクラウド関連

のプロジェクトに関する発表講演やポスターセッションが行われた。参加した団体・グループで資料

を入手できたもののうち、主なものを紹介する。 (1) EGI EGI は European Grid Infrastructure の略で、ドイツに拠点を置いている。その機能は、欧州各

国および EU 共同のグリッド研究組織間の連携・調整と、それら組織のコンピューティングインフラ

を連結したサービスを提供することにある。これを基盤として、関連する研究機関との協同・連携や、

各種開発プロジェクトへの支援、クラウド間連携の提供を行っている。 (2) mOSAIC mOSAIC は Open Source API and Platform for multiple Cloud の略で、フランス、イタリア、ス

ペイン、スロベニア、チェコ、ハンガリーの連合である。開発対象はオープンソースのプラットフォ

ームおよび API で、複数の異なるプラットフォーム上で動作可能なアプリケーションの開発を支援

する開発環境である。mOSAIC プロジェクトも FP7 の資金支援を受けて進められている。 (3) Cloud Plugfest Cloud Plugfest は、クラウドにおける相互運用性実現のための協力の枠組みで、OGF、SNIA、

ETSI、OCEAN などと連携している。 (4) OPTIMIS OPITMIS はクラウドサービスを最適化するためにフレームワークアーキテクチャや開発用ツー

ルキットを開発することを目的とした、クラウドのためのプロジェクトで、SAP、BT、Atos、Fraunhofer-SCAI など 14 の組織が参加する FP7 プロジェクトである。 (5) SIENA SIENAはStandards and Interoperability for eInfrastructure implemeNtation initiAtiveの略で、

相互運用可能な分散コンピューティング環境の発展と活用促進のためのプロジェクトである。

SIENA も FP7 の資金提供を受けており、企業、標準開発団体、その他の関係諸機関と連携して活動

を進めている。特に NIST、OGF、IEEE、ETSI、SNIA、ITU-T と密接な連携を図っている。 欧州においては、クラウド戦略を発表した欧州委員会によるイニシアティブは、３－１．に見たよ

うに必ずしも順調に進んでいるようには見えない。その中心を担う European Cloud Partnership（2012 年１月発表）の運営理事会の初会合は同年 11 月にやっと開催され、その議事要旨は「いろい

ろ難しさを抱える中で、とにかく前進する、」というメッセージングにとどまった感がある。欧州全

体として、特に国の政策や主権が関係する場合には、この種の戦略を具体的成果を伴って推進してい

くことの難しさを示しているように見える。それに対して、民間のプロジェクトは多数活発に活動し

ている。その多くは FP7 の資金を活用するものであり、FP7 の民間開発への誘発効果は大きいと感

じられる。

15

４．日本における標準化その他のクラウド関係の活動 ４－１．ISO/IEC JTC1 SC2748におけるクラウドセキュリティ標準の開発 経済産業省は 2011 年 4月にクラウドサービス利用のための情報セキュリティマネジメントガイド

ラインを策定・発表 49した。これはJISQ27001/27002 に基づく情報セキュリティマネジメントシス

テムの要求事項をクラウドに適用した場合の要求事項や推奨事項をまとめたものである。同省は、こ

のガイドラインに基づく、クラウドのためのセキュリティ管理の標準をISO/IEC27000 シリーズの一

つとして策定することをISO/IEC JTC1 に提案し、現在策定作業が進められている。この標準は、

特定領域における基準／ガイドラインの位置付けで、ISO/IEC27017 として、2013 年にも標準化さ

れる見通しである。 図 5 に ISO/IEC における委員会や規格の体系を示す。

図 5 ISO/IEC における委員会編成とクラウドセキュリティ関係の標準の体系

（Network Security Forum における山下真氏発表資料を基に IPA 作成）

４－２．クラウドのセキュリティに関する監査の枠組みの開発 日本セキュリティ監査協会 50（JASA）は、経済産業省のガイドライン（上述）に基づき、クラウ

ドのセキュリティに関して，以下に述べる監査の仕組みを開発した。 情報セキュリティマネジメントシステムや個人情報保護法は、委託先における情報保護や情報セキ

ュリティ管理に関して、委託元が管理や確認をすることを要求している。パブリッククラウドの利用

は委託関係に該当するが、クラウドの場合、サービス提供側の内部におけるセキュリティ管理システ

ムをユーザが直接確認することはきわめて難しいという問題がある。これに対して、情報セキュリテ

48 ISO: International Organization for Standards IEC: International Electrotechnical Commission JTC1:

Joint Technical Committee 1 SC27: SubCommittee 27 49 http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html 50 http://www.jasa.jp/

SCnSCn

InternationalOrganization

for Standards

InternationalElectro-

technicalCommission

JTC1

JointTechnicalCommittee

SCn

SC27

SC38

IT SecurityTechniques

Distributed Application Platforms and Services

Cloud Computing/SOA

Cloud Computing Security

Attributed to: Mr. Shin Yamashita, from presentation at NSF2013

Terminology

Requirements

Guidelines

Sector Specific

Standards/Guidelines

ISO/IEC27000

ISO/IEC27001 ISO/IEC27006

ISO/IEC27002ISO/IEC27003ISO/IEC27004ISO/IEC27016.....

ISO/IEC27017ISO/IEC27011ISO/IEC27012ISO/IEC27015.....

16

ィ監査を行う第三者が、一定の基準に基づいて、クラウド事業者が実施している情報セキュリティ対

策について監査し、その結果を報告することで、委託側の管理・確認責任を補完するというのが、ク

ラウドの情報セキュリティ監査の考え方である。 JASAは、この仕組みのために、クラウド情報セキュリティ管理基準（クラウドサービス提供者が

遵守すべきセキュリティ管理項目の体系。情報セキュリティ管理基準 51のクラウド版）およびその利

用ガイドを開発し公表 52している。 この監査の枠組みでは，クラウドの構造を参照モデルとして簡略化し、それに対して、クラウド事

業者が宣言すべきセキュリティ管理の典型的モデルを作成し、その遵守・実施状況を監査するという

仕組みを開発して、監査手続きの煩雑さやコスト増を回避する工夫がなされている。また、リスク要

素として ENISA のモデルを援用する等、客観性もしくは既に広く世界的に受け入れられている概念

を採り入れて、他の標準との親和性を高めるよう工夫している。その構成イメージを図 6 に示す。

図 6 クラウドのセキュリティ監査の枠組み （JASA 資料より IPA 作成）

４－３．日本におけるクラウド関連の団体等 日本では、アマゾン、グーグル、マイクロソフト、セールスフォースなど、アメリカを本拠とする

クラウドサービスが多く提供されるとともに、富士通、日立製作所、日本電気をはじめ国産のクラウ

ドサービスも数多く提供され、様々な企業によるクラウド活用が多様に進められている。そうした中

で、クラウドの提供事業者やセキュリティ関係者等による、クラウド関係の団体が形成され、活動し

ている。以下、その主なものを紹介する。

51 http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard.pdf 52 http://www.jasa.jp/information/result.html

簡略化クラウドモデル

Copyright 2012 Japan Information Security Audit Association. All rights reserved. www.jasa.jp151515

PhysicalLayer

Virtualized Layer

r

Service layer（SaaS /PaaS /IaaS / etc.）

User layer

Virtual Resource Layer( Virtual Machine /Virtual Storage /Virtual Network /etc.)

Virtualizing Function（Hypervisor ／Host OS）

Hardware (Server/ Storage/ Network/ etc.)

Facility (HVAC／Power／Communication/ etc.)

ServiceManagement

System

( Orchestration /BCP/ DR/ Monitoring/ Operation/ Security)

【Cloud Computing Layer Model】

Area of Standardized IS Management

Physical Layer

Layer Model to define technical controls clearly

No Name of risk

High R

Isk

H01Increasing Impacts of highly aggregated computing resources and infrastructures

H02Mismatch between virtual and physical systems on design and operation phase

H03 Loss of business reputation due to co-tenant activities

H04 Resource exhaustion (under or over provisioning)

H05 Isolation failure

H06 Compromise service engine

Medium

Risk

M07Cloud provider malicious insider - abuse of high privilege rolls)

M08Management interface compromise (manipulation, availability of infrastructure)

M09Intercepting data in transitData leakage on up/download, intra-cloud

M10 Insecure or ineffective deletion of data

M11 Distributed denial of service (DDoS)

定義済みリスク要素

標準言明書

監査システム

監査人 クラウド利用者クラウド事業者

17

４－３－１．ジャパン・クラウド・コンソーシアム（JCC） ジャパン・クラウド・コンソーシアム（JCC）53は、わが国におけるクラウドサービスの普及・発

展を産学官が連携して推進することを目的として設立され、総務省及び経済産業省の支援の下、クラ

ウドサービス関連企業・団体等におけるクラウドサービスの普及・発展に向けた様々な取組みについ

て、横断的な情報の共有、新たな課題の抽出、解決に向けた提言活動等を行っている。以下の 9 つ

のワーキンググループが編成され、クラウドの可能性の開発や産業活性化のための活用を研究してい

る。特に、教育、農業、健康・医療、水産業、観光といった、従来ITの活用が余り浸透していなか

った分野で、クラウドの利用の容易さを生かしてITを活用できるようにするための用途開発等が進

められている。 1. クラウドマイグレーション検討 WG 2. 業務連携クラウド検討 WG 3. 教育クラウド WG 4. 次世代クラウドサービス検討 WG 5. 農業クラウド WG 6. 健康・医療クラウド WG 7. 水産業クラウド WG 8. 観光クラウド WG 9．M2M・ビッグデータ WG

４－３－２．ASP・SaaS・クラウド コンソーシアム（ASPIC） ASP・SaaS・クラウド コンソーシアム（ASPIC）54は、ASP、SaaS、クラウド事業者による活

動機関で、特定非営利活動法人（NPO）である。ASP・SaaS・クラウドの市場拡大のための共同開

発事業や、クラウド事業者の情報開示制度の開発・運営などを行っている。 クラウド事業者の情報開示に関しては、ASPIC が開発し総務省が告示している情報開示指針に基

づき、事業者の情報開示について公的認定を付与する「クラウドサービス安全・信頼性に係る情報開

示認定制度」（認定機関は一般財団法人マルチメディア振興センター）を運営している。この制度は、

クラウドの利用者が、事業者のサービスやセキュリティの管理について知りたいというニーズに応え

るためのもので、基準に基づく申告とその審査を経て認定を与え、その情報を開示することで、客観

的評価が確認できる仕組みを提供している。 ４－３－３．日本データセンター協会（JDCC） 日本データセンター協会（JDCC）55は、クラウド以前から、データセンター事業者の団体として

活動している。その主たるアウトプットは、データセンターファシリティスタンダードで、データセ

ンターの設備およびその運用に関しての基準を体系化したものである。同基準は、データセンターの

重要度、取り扱うデータやシステムの重要度に応じて４段階のグレードを定義し、グレードごとにデ

ータセンター事業者が満たすべき基準を定めている。 この基準があったため、東日本大震災に際しても、同協会傘下のデータセンターで、地震を直接の

原因として機能停止したデータセンターはなかった 56。同協会はそれでも、同震災を踏まえて必要な

53 http://www.japan-cloud.org/index.html 54 http://www.aspicjapan.org/ 55 http://www.jdcc.or.jp/ 56 同協会理事の江崎浩東大教授の講演による

18

見直しを行い、その結果を公表 57している。 ４－３－４．クラウドセキュリティアライアンス日本支部 58 クラウドセキュリティアライアンス（CSA）は、世界各地で、その地域の有志による任意設立の

形で支部を設立している。日本においても、2010 年 6 月に支部が形成され、活動を行っている。現

在、同支部は任意団体で、特定の代表者や事務所を持たない状態で活動 している。その活動内容の

主なものは、セミナーの開催、CSAの成果物の日本語化や、日本において適用する場合の解釈等の

提供などとなっている。 このように、日本におけるクラウド関係の動きは、ISO の標準開発を除けば比較的国内に閉じた

活動になっているように見える。クラウドは国境をまたがる利用やデータ移動が一般的になる傾向が

あることを考えると、より国際に開いた活動や、標準化への取組みが必要ではないだろうか。 まとめ 以上、米国、欧州、日本における、クラウドに対する政府の取組みの動向や、標準化に関する動向

を中心に見てきた。 米国は、IT コスト削減を主たる目的として、連邦政府が全面的にクラウドを活用することが戦略

的課題として打ち出されているが、FedRAMP に登録されたクラウドサービスがまだ 2 件にとどま

る等、その具体化には手間取っている印象を受ける。一方、民間による標準開発の動きは活発である。 欧州は、欧州委員会の IT 活用戦略の中でクラウドも戦略テーマに位置づけられているが、現状は

複数の断片的プロジェクトが平行して進められているように見える。これらが全て成果に結びつき、

かつ統合されて大きな力となることができればその効果は大きいかもしれないが、現状ではそのよう

な未来図は見えていない。 日本では、政府が主導してクラウドを積極的に活用するような戦略は、それほどはっきりと見えて

いるわけではない、という印象である。その中で、民間による用途開発が企業個別に、あるいは共同

して進められているように見える。その成果が世界をリードするようなものになり、そのパワーによ

りリーダーシップを発揮する形になることが望ましいが、現時点で成果が見えているわけではない。

その一方で、２．で見た民間主導の標準開発団体（DMTF など）に参加して活躍する日本人研究者

も増加している。が、ISO/IEC27017 を除けば国際的標準化活動を日本が主導性する形は余り多く見

られない。欧米主導で技術標準の多くが決められていくことになるとすれば、日本が競争上不利にな

る恐れもある。 クラウドという国際性の強い、世界一律の技術標準が支配しやすい環境において、国際標準化活動

で主導性を発揮することは、競争優位性の確保や国益の確保の上で大事な要素であると考えられる。

その面での日本勢の活動がより活発化し、国際標準化への取組みがより積極化することが望まれる。

57 http://www.jdcc.or.jp/news/article.php?nid=eccbc87e4b5ce2fe28308fd9f2a7baf3&sid=81 58 https://chapters.cloudsecurityalliance.org/japan/