Microsoftは4月11日、CSA (Cloud Security Alliance)のSTAR (Security Trust and Assurance Registry)にOffice 365、Windows Azure、Dynamicsの3つのサービスのセキュリティアセスメントを登録した。STARは以下を目的としている。
フリーで誰でもアクセス可能なレジストリであり、さまざまなクラウドコンピューティング提供者が提出したセキュリティコントロールに関する文書を登録します。これにより、ユーザが現在使っている、もしくは契約を検討しているクラウドプロバイダのセキュリティ情報へのアクセスを支援します。
Microsoftはセキュリティアセスメントを登録した最初の大規模なクラウドサービスプロバイダとなった。これにはCAIQ (The Consensus Assessments Initiative Questionnaire)にある140項目以上の質問に回答することも含まれる。プロバイダにとって、セキュリティコントロールを公開することで脆弱性を突いた攻撃が増えるのではという懸念もあるが、CSAは次のように保証する。
CAIQはプロバイダがセンシティブな情報を詳細に公開しなくてもセキュリティプラクティスを文書化できるようになっています。たとえば、プロバイダはアプリケーション層の侵入テストを定期的に実施しているか否かを記載することになりますが、Webスキャンツールの詳細結果を公開することはありません。
顧客にとって懸念があるとすれば、こうしたアセスメントが第三者機関による認証ではなく、プロバイダ自身によってメンテナンスされることをCSAが期待していることだ。第三者機関による認証について、CSAは次のような見解をもっている。
私たちは、セキュリティプラクティスの透明性とクラウドソーシング界によるプロバイダの監視が、この業界が現在活用できる、この業界におけるセキュリティのベースラインを改善するのに有望なものだと考えています。私たちはマーケットを利用したセキュリティ保証に対するアジャイルなアプローチが厳格な認証を補う重要なものだと考えています。
クラウドセキュリティの懸念は依然として導入時の一番の阻害要因となっている。CSAはSTARもその一部を構成しているGRC (Governance, Risk Management and Compliance)ツールキットによる評価プロセスに透明性と指針を提供することで、そうした懸念を軽減しようとしている。CSAはまた、技術的な領域を超えた、GRCやその他の取り組みから学び確立されたベストプラクティスや教訓をカバーしたセキュリティ指針もメンテナンスしている。そのひとつに、次のような契約上、法律上の懸念がある。今年初めのComputer Weeklyにある言葉を引用する。
Lawrence Grahamのアウトソーシング弁護士であるPeter Brudenall氏は、2012年はセキュリティ問題によりクラウドに波乱が起こる年になるかもしれないと考えています。結局は、学ぶことなのです。彼はこう言います。「私は少なくとも1つの大きなデータ侵害がクラウドに影響を及ぼすと予想しています。そして企業にクラウドの利用(少なくとも従来のアウトソーシングプラットフォームと比べて欠けている契約保護)をやめさせたり再考させるでしょう。」
Microsoftがサービスアセスメント登録の先陣を切ることで、こうした動きが業界内に連鎖的に広がって、最終的に効果的で客観的なセキュリティ評価へとつながるのだろうか。