KDDI Cloud Platform Service(以下KCPS)企画担当の來嶋です。
過去に一度ご報告したことがありますが、KCPSでは第三者監査人による認証であるサービス・オーガニゼーション・コントロール1および2(以下、SOC1・SOC2)の報告書を2016年に取得しており(過去記事参照)、それ以降毎年欠かさずに取得しています。今年も2019年3月にSOC1およびSOC2のType2報告書を引き続き取得しました。本記事では、改めて私たちが本認証に拘り毎年取得する理由や、認証取得を実現している裏側の技術的な仕組み、運用の取り組みについてご紹介します。
1.そもそもSOCとは
米国のAICPA(米国公認会計士協会)がService Organization Control(SOC) Reportとして整理した報告の枠組みであり、SOC1、SOC2、SOC3と呼ばれるものがあります。SOC1は主に財務報告に関連する内部統制に関する保証報告書となります。SOC2は主に財務報告以外(セキュリティ、信頼性、可用性、機密性、プライバシーなど)に関連する内部統制に関する保証報告書となります。それぞれにType1、Type2があり、Type1は基準日時点での記述書の記載の妥当性や内部統制のデザイン、適用の妥当性を評価し保証するのに対して、Type2ではType1の評価、保証に加えて一定期間の運用状況の有効性も評価し、保証されます。
今回2019年3月にKCPSで取得したのは財務報告に関するSOC1、セキュリティや可用性に関するSOC2それぞれについて一定期間の評価を加味したType2で取得しております。対象範囲としては従来通りのKCPS、KCPS オブジェクトストレージ、KCPS Admin Consoleに加え2018年10月にリリースしたKCPS ベアメタルサーバーも含まれます。
2.なぜKCPSはSOC認証を取得するのか
法人のお客さまがシステムを構築する基盤として外部のクラウドサービスをご利用になる場合、懸念点として多く挙がるのが「利用予定のクラウドサービスは安全でセキュリティは問題ないのか」、「可用性についても十分でシステムを安心して預けるに足るのか」という点です。
システムをクラウドサービス上で構築するということはその機能もさることながら、お客さまの大事なデータも私たちサービス事業者が提供する基盤上に保存することになります。これまでオンプレミス、すなわち全てを自社で管理していた管理者の方からすると、クラウドサービスは運用アウトソースなどのメリットを享受できる反面、内部の作りが不透明な基盤にすべてを預けてしまう、という不安やリスクを負うことになると考えられます。
実際に私自身が情報システム部門でシステム担当をしていた頃の経験としても、これまでオンプレミスで管理していたものをシステム更改のタイミングでクラウド基盤上に移行する、という提案については必ず「本当に(セキュリティや稼働率は)大丈夫なのか」を社内のあらゆる関係者から問われたものでした。
このようなセキュリティや可用性に関するお客さまの不安に対して、私たちサービス事業者が「安心・安全」という言葉だけでなく、客観的な事実として安心してご利用いただける指標の1つが第三者による認証、SOC報告書です。
特にクラウドのセキュリティに関するニーズはSOC2に集約されています。本報告書のポイントは私たち事業者が一方的に安全を謳っているわけではなく、第三者である監査法人が各種ドキュメント、運用実績やログ情報などの証跡を確認することはもちろん、実際にKCPSの設備が設置されている国内複数のデータセンターに行き、実査をして報告書にサインしていることにあります。また、KCPSでは、より安全性を追求し安心感を持っていただくため基準日時点での評価であるType1ではなく、一定期間の監査を必要とするより厳しいType2認証を取得しております。
また、SOCに加えて可用性の観点で客観的なデータとして稼働率を4半期ごとに開示しております。このように、クラウドサービスという性質上、技術的な仕組みや構成など、どうしても非開示の部分はあるものの、お客さまに安全性をご判断いただける基準となるデータを実直に開示するよう努めています。
3.KCPSではどのような技術・運用でSOC認証を取得しているのか
ここまでで、SOC2がセキュリティや可用性の有効性の評価・保証であることと、私たちKDDIが必要と考えている理由をご紹介しました。ここからは、この保証を実際にどのようにして取得しているのか、という技術・運用面での取り組みをご紹介します。
セキュリティの評価として、お客さまが構築したシステムおよび保存しているデータに第三者の攻撃者はもちろん、私たちKDDIの運用担当者であっても、勝手にアクセスしない・できないことが技術的および実運用として保証されている必要があります。
この要件を実現するために、第三者からのアクセスの防止には、アクセスリストによる制限など権限が無い者のアクセスを防ぐためにGWの設置、また実運用としてもアクセスしていないことを保証するために運用者の操作ログをすべて証跡として保存する、という仕組みを準備しております。操作ログの保存においては、コマンド操作でのテキスト系のログとGUI操作における画面操作記録の保存を実施しております。どちらにおいてもテキスト検索が可能で、禁止コマンドを実行していないことを証明する監査対応時に提出しています。
保守運用業務において、設備へのアクセスルートの確保は保全業務を実施するために必須の機能になります。設備への接続にはKDDI内の特定エリアからでないと接続出来ないという場所的制限があります。これに加えて、作業ルールでもある二人作業が守られるよう、作業者承認と確認者の二人の承認を責任者が許可しなければ接続が出来ない仕組みを証跡GWにてシステム的に実現しています。
まとめ
今回は、KCPSにおけるセキュリティの取り組みとして、第三者監査であるSOC取得理由とどのようにして実現しているかをご紹介しました。KDDIとしてはお客さまの大事なシステム、データをお預かりするクラウド基盤の安心・安全は最重要と捉えており、本SOCの取り組みに留まらず、今後も安心してKCPSを選んでいただけるよう改善を進めていきたいと考えております。