マイクロソフト、クラウド業界のセキュリティ情報レジスト

 米国Microsoftは、業界団体「Cloud Security Alliance」(CSA)の「STAR」(Security, Trust and Assurance Registry)に、同社のクラウド・プラットフォーム「Azure」を追加した。STARは、クラウド・サービス・プロバイダーが自社サービスのセキュリティ機能に関する情報を登録、公開するレジストリ。
 STARは2011年に開設された。だが、その後ほぼ半年が経過しても、170件の質問に答える形式のフォームを記入し、情報を登録したクラウド・プロバイダーは3社しかなかった。その内訳は、「Microsoft Office 365」に関する情報を登録したMicrosoft、クラウド・プロバイダーの英国Mimecast、米国Solutionary。だが、3月にMicrosoftがAzure情報を登録し、IT管理およびクラウド・ソリューションを提供する米国SHI Internationalも登録を行った。
 STARに登録された情報によると、Azureの「コア・サービス」はISO27001認定を受けている。このサービスは、Azureプラットフォームのほかの機能を支えるものとされている。コア・サービスは、コンピュート、ストレージ、仮想ネットワーク機能を指すという。
 また、Microsoftのグローバル基盤サービス(Microsoftのオンライン・サービスの多くを稼働させるシステム)は、米国公認会計士協会(AICPA)のSAS(Statement of Auditing Standards)No. 70監査を毎年受けている。このSAS 70監査に代えて、Standards for Attestation Engagements No. 16監査と、International Standards for Assurance Engagements No. 3402監査が行われることになっている。
 クラウド業界ウォッチャーの間では、STARは、顧客が利用を検討中のプロバイダーなどについて、セキュリティ機能を簡単に比較評価できる場になると期待する声があった。しかし、Gartnerのアナリスト、カイル・ヒルゲンドーフ(Kyle Hilgendorf)氏は、STARの可能性を十分に理解するには、登録企業がもっと増えることが必要だと話している。
 CSA幹部によると、米国Google、米国McAfee、米国Verizon、米国Intelといった大手企業はSTARに登録すると表明しているが、実際にはまだ登録されていないという。
 Microsoftのクラウド・ビジネス・マネジャーの1人であるケリー・アン・チェイニア(Kellie Ann Chainier)氏は、STARへのAzure情報の追加について同社が公開した動画の中で、こう説明している。「われわれの顧客はSTARレジストリで、われわれの特定のセキュリティ機能について調べたり、われわれがデータセンターで何を行っているかを、プラットフォーム・レベルまで掘り下げて調べたりできる」。
(Brandon Butler/Network World米国版)
[PR]
by pachifu | 2012-04-06 12:29