1. No category

データセンター セキュリティ ガイドブック 日本データセンター協会 Japan

データセンター セキュリティ ガイドブック
Ver 1.0
日本データセンター協会
Japan Data Center Council
「はじめに」
日本データセンター協会(JDCC)は、その設立の主旨として「IT立国の基盤を支えるデー
タセンターのあるべき姿を追求することを目指す」ことを掲げ2008年12月に設立されま
した。そして、2011年の東日本大震災以降、データセンターが「IT立国の基盤を支え」日
本の社会基盤となっているということは、データセンター業界だけではなく、社会にも広く
認知されつつあります。
本ガイドブックのテーマは「データセンターのセキュリティ」です。データセンターが日本
の社会基盤となっている今、「データセンターのセキュリティ」は、日本の社会基盤のセキ
ュリティとなっています。実際、様々な分野にデータセンターの利用が広がる中で、データ
センターのセキュリティに対する関心が高まっている様子が様々な場面で感じられている
かと思います。
この「データセンターのセキュリティ」は、単純に強固なセキュリティであればよいというも
のではありません。データセンター事業者は、ビジネスとして利用者の要求に応じ、適切な
コストで「適切なセキュリティ」を提供することが求められています。その中で、セキュリテ
ィに対する過剰な要求は、データセンター利用者・事業者の双方にとって無用なコスト要因
となり現実的ではありません。
しかし、データセンターにおける「適切なセキュリティ」が、何を以って「適切」なのかとい
うことを示すことは容易ではありません。データセンター事業者は、様々なセキュリティ対
策を施したサービスを提供しています。しかし、このサービスのリスクを定量的に評価する
ことが難しく、そのため「適切なセキュリティ」が実現する「サービスの価値」に見合った「サ
ービスの価格」を示すことはさらに難しいという課題を抱えています。
そこで、我々はJDCCの「IT立国の基盤を支えるデータセンターのあるべき姿を追求」とい
う設立趣旨に立ち戻り、業界団体として「データセンターのセキュリティ」に関して何を行
うべきなのかを考えました。そして、データセンター事業者が日本の社会基盤となっている
という自覚を持ち、利用者にデータセンターにおける「適切なセキュリティ」とは何かを示
す努力が求められている、という結論に至り、その一つの成果物として本ガイドブックを作
成しました。
本ガイドブックが、データセンターの利用者と事業者の双方において、データセンターの適
切なセキュリティに関する理解を深め、また、日本のデータセンターの利活用のために広く
利用されることにより、日本のデータセンターが真に「IT立国の基盤を支える」一助となる
ことを願ってやみません。
日本データセンター協会
セキュリティワーキンググループ一同
目次
1. 概要..............................................................................................................................................................1
1.1 本ガイドブック作成の背景.......................................................................................................1
1.1.1 データセンターとは ...................................................................................................................................... 1
1.1.2 現在のデータセンターへの流れとデータセンター事業者の責務.......................................... 2
1.1.3 データセンターの適切なセキュリティ................................................................................................ 3
1.2 本ガイドブックの目的と概要..................................................................................................5
1.2.1 目的 ........................................................................................................................................................................ 5
1.2.2 構成 ........................................................................................................................................................................ 6
1.3 用語解説.............................................................................................................................................8
2. データセンターのサービス ..............................................................................................................9
2.1 データセンターの基本サービス ......................................................................................... 10
2.1.1 ハウジングサービス ...................................................................................................................................10
2.1.2 ホスティングサービス...............................................................................................................................10
2.1.3 クラウドサービス ........................................................................................................................................11
2.2 データセンターの付帯サービス ......................................................................................... 13
2.2.1 ネットワークサービス...............................................................................................................................13
2.2.2 ネットワークセキュリティサービス .................................................................................................13
2.2.3 オペレーション/マネジメントサービス ..........................................................................................15
2.2.4 フルアウトソーシングサービス ...........................................................................................................15
2.3 データセンターのサービスを支える構造 ...................................................................... 16
2.3.1 空間構造............................................................................................................................................................16
2.3.2 ネットワーク構造 ........................................................................................................................................19
2.3.3 サービスレイヤー構造...............................................................................................................................22
3. データセンターのセキュリティと管理策.............................................................................. 24
3.1 データセンターの利用における脅威................................................................................ 25
3.1.1 リスク分析と脅威 ........................................................................................................................................25
3.1.2 ハウジングサービスでの脅威の例示 .................................................................................................26
3.1.3 ホスティングサービスでの脅威の例示.............................................................................................28
-コラム- クラウドサービス固有の脅威について......................................................................................33
3.2 セキュリティ管理策の考え方.............................................................................................. 34
3.2.1 機密性・完全性・可用性..........................................................................................................................34
3.2.2 物理的セキュリティと論理的セキュリティ...................................................................................34
3.2.3 場所に基づく防犯理論...............................................................................................................................35
-コラム- 防犯理論について..................................................................................................................................36
3.2.4 管理策の分類..................................................................................................................................................37
3.2.5 データセンターに係る人の分類と管理策........................................................................................37
3.2.6 想定被害の分類と管理策..........................................................................................................................38
-コラム- 内部犯に対する管理策-......................................................................................................................39
3.3 実際にデータセンターで実施されるセキュリティ管理策..................................... 40
3.3.1 全体プランニング ........................................................................................................................................41
-コラム-セキュリティプランニングの為のツール ...................................................................................45
3.3.2 敷地区画で実施されるセキュリティ対策........................................................................................46
3.3.3 エントランス区画で実施されるセキュリティ対策 ....................................................................47
3.3.4 検査区画・利用者共有区画で実施されるセキュリティ対策.................................................48
3.3.5 サーバー室で実施されるセキュリティ対策...................................................................................49
3.3.6 ラックで実施されるセキュリティ対策.............................................................................................50
-コラム- 情報伝送経路のセキュリティ「TEMPEST」 ...........................................................................52
4. データセンターに関連する基準・ガイドラインと認証制度........................................ 53
4.1 基準・ガイドライン・認証制度の概要と関係............................................................. 54
4.1.1 基準と認証制度 .............................................................................................................................................54
4.1.2 データセンター事業者の掲げる認証について..............................................................................55
-コラム- 内部統制の保証報告制度について................................................................................................58
4.2 マネジメントシステム適合性評価制度........................................................................... 59
4.2.1 ISMS(情報セキュリティマネジメントシステム)適合性評価制度 ................................60
4.2.2 ISO/IEC 27001 (情報セキュリティマネジメントシステム-要求事項) .............61
4.2.3 ITSMS(ITサービスマネジメントシステム)適合性評価制度............................................61
4.2.4 ISO/IEC 20000 (ITサービスマネジメントシステム).....................................................62
4.2.5 BCMS(事業継続マネジメントシステム)適合性評価制度.................................................63
4.2.6 ISO 22301 (事業継続マネジメントシステム)....................................................................64
4.3 安対制度......................................................................................................................................... 65
4.3.1 電子計算機システム安全対策基準 ......................................................................................................65
4.3.2 情報処理サービス業情報システム安全対策実施事業所認定制度(大臣認定制度) 66
4.3.3 情報システムの設備環境基準及び情報システムの設備ガイド............................................67
4.3.4 JQA情報システム及び関連設備の運用基準 ..................................................................................67
4.3.5 情報システム安全対策適合証明制度 .................................................................................................68
4.4 その他のデータセンターの規格・基準等 ...................................................................... 69
4.4.1 JDCC データセンターファシリティスタンダード...................................................................69
4.4.2 Uptime Institute “Tier Performance Standard” ................................................................70
4.4.3 ANSI/TIA-942 ...........................................................................................................................................71
4.4.4 ASPIC クラウドサービスの安全・信頼性に係る情報開示指針 .........................................71
4.5 分野ごとの基準・ガイドライン ......................................................................................... 72
4.5.1 医療分野の基準・ガイドライン ...........................................................................................................72
4.5.2 政府分野の基準・ガイドライン ...........................................................................................................75
4.5.3 金融・信販分野の基準・ガイドライン.............................................................................................77
4.5.4 自治体分野の基準・ガイドライン ......................................................................................................79
5. データセンターのセキュリティを実現するシステム・サービス .............................. 82
5.1 セキュリティゲート................................................................................................................. 83
5.1.1 セキュリティゲートの機能.....................................................................................................................83
5.1.2 セキュリティゲートの種類.....................................................................................................................83
5.1.3 セキュリティゲートの配置.....................................................................................................................84
5.2 ラック.............................................................................................................................................. 85
5.2.1 ラックの吸排熱性能 ...................................................................................................................................85
5.2.2 ラックの強度性能 ........................................................................................................................................86
5.2.3 ラックにおけるセキュリティ................................................................................................................87
5.2.4 ラック内に対するアクセス制御 ...........................................................................................................88
5.3 入退管理システム...................................................................................................................... 90
5.3.1 入退管理システムに求められる機能 .................................................................................................90
5.3.2 入退管理システムの歴史..........................................................................................................................92
5.3.3 最新の入退管理システム..........................................................................................................................92
5.4 本人認証システム...................................................................................................................... 95
5.4.1 被認証者の記憶を用いた本人認証システム...................................................................................95
5.4.2 被認証者の所持品を用いた本人認証システム..............................................................................95
5.4.3 生体情報を用いた本人認証システム .................................................................................................96
5.4.4 データセンターにおける本人認証システム...................................................................................98
5.5 画像監視システム...................................................................................................................100
5.5.1 画像監視システムの基本的な構成 .................................................................................................. 100
5.5.2 データセンターの画像監視システムに求められる機能 ...................................................... 103
5.6 火災検知システム...................................................................................................................104
5.6.1 自動火災報知設備について................................................................................................................. 104
5.6.2 データセンターにおける火災の特徴 ............................................................................................. 105
5.6.3 データセンターで求められる防災システム............................................................................... 106
5.7 侵入検知システム...................................................................................................................108
5.7.1 侵入検知システムのセンサー............................................................................................................ 108
5.7.2 センター装置.............................................................................................................................................. 109
5.8 統合管理システム...................................................................................................................110
5.8.1 「統合管理」とは ......................................................................................................................................... 110
5.8.2 統合管理システムを構成する要素 .................................................................................................. 111
5.8.3 セキュリティにおける統合管理のユースケース ..................................................................... 113
5.8.4 データセンター環境管理における統合管理のユースケース............................................. 116
5.9 ネットワークセキュリティサービス.............................................................................121
5.9.1 サービスの提供方法 ............................................................................................................................... 121
5.9.2 サービスのスペックの測り方............................................................................................................ 122
5.9.3 サービスを利用してもらう際のチェックポイント ................................................................ 122
5.9.4 サービス毎の特筆事項........................................................................................................................... 124
1. 概要
この章では、本書「データセンター・セキュリティ・ガイドブック」を作成した背景、意図、想定
する読者を説明した後、各章の概要、全体像の要約(エグゼクティブ・サマリー)を記述します。
1.1 本ガイドブック作成の背景
この節では、本書「データセンター・セキュリティ・ガイドブック」の作成の背景、意図を紹介し
ます。
1.1.1 データセンターとは
データセンターとは、様々な情報通信機器(サーバー、ネットワーク機器、ストレージ等)を設
置・運用することに特化した建物と設備の総称と、その建物と設備を利用して行われるサービス
を意味します。データセンターには下記のようなインフラ面での特徴があります。
-建物・
建物・設備:
設備:
災害時にもサービスの提供に極力支障が出ないように建物自体が耐震構造、免震構造とされてい
ます。また、構内で火災が発生した場合にも設置されている機器を極力痛めないよう、通常のス
プリンクラーではなく不活性ガスによる消火設備を持っています。
-電源:
電源:
電源供給の安定化の為、複数の給電系統と変電設備を持ち、また、電力供給が途絶えた場合に備
え大容量のUPS(無停電電源装置)と自家発電装置等を備えています。
-空調:
空調:
集約された情報通信機器を安定的かつ効率的に冷却する各種空調設備等を備えています。
-通信回線・
通信回線・設備:
設備:
通信事業者の光ファイバーなどの通信回線を大量に利用可能とするため、通常のオフィスビルと
比べて非常に大きな帯域を持つ通信回線が、複数のキャリアから引き込み済となっていて、利用
者の環境をこれらの通信環境に接続する為の基幹のネットワーク設備を保持し、提供しています。
-人材:
人材:
専門の要員(データセンター要員)が24時間365日体制で設備運用を実施、利用者の支援サー
ビスを提供しています。
-1-
-セキュリティ:
セキュリティ:
様々な情報システムを守るため、厳密な入退室管理やデータセンター館内監視が実施され、高い
セキュリティを実現しています。
データセンターでは上記のようなインフラを、複数の利用者の情報システムで共有することによ
り、高品質のインフラの提供と運用コストの削減を同時に実現しています。
1.1.2 現在のデータセンターへの流れとデータセンター事業者の責務
現在、データセンターには、様々な分野・業界の様々な情報システム資産が集中しつつあります。
この項では、過去から現在におけるデータセンターへの情報システム資産の動きを解説します。
企業等の情報システムの導入が急速に拡大した1970年代後半、現在のデータセンターへの流れ
の1つである「大型電子計算機センター」が登場しました。この大型電子計算機センターには、
非常に高価な情報システム資産であったメインフレームと呼ばれている「大型電子計算機」が設
置され、情報システムは、この「大型電子計算機」を中心に集中管理、集中処理が行われていま
した。こうした「大型電子計算機センター」は、一般的に非常に堅牢な建物が使われ、現在の水
準からしても高い物理セキュリティを実現していました。
1990年頃、低価格なUNIXワークステーション等が登場し、ダウンサイジングとクライアント・
サーバーシステムへの流れが始まりました。この時期、「大型電子計算機センター」に鎮座し集
中管理、集中処理されていた大型計算機等の情報システム資産は、低価格なワークステーション
と分散処理技術により置き換えられていきました。これらのワークステーション等の情報システ
ムは、場所的にも分散し、分散管理、分散処理されるようになりました。
インターネットが爆発的な普及を果たした90年代後半、現在のデータセンターにつながる「イ
ンターネットデータセンター」が誕生しました。「インターネットデータセンター」は、高速な
インターネットに接続するための回線を持ち、その回線にサーバー等の情報通信機器を接続する
ため設置場所として発展してきました。黎明期におけるインターネットのサービスのボトルネッ
クは、インターネットへの接続コストであり、初期のインターネットデータセンターにおいては、
セキュリティよりも高速な回線とそのコストが重要視され、現在の様な多様なセキュリティの要
求はありませんでした。
2000年以降、データセンターの大規模化、ブレードサーバー等の登場による高集積化、データ
センター内部のネットワークの高速化が顕著になってきました。同時に、広域ネットワークの低
価格化によって、企業内に設置されていた情報システムを遠隔地のデータセンターに設置する方
がコスト的に有利になり、90年代からのダウンサイジング以降分散していった情報システムが
徐々にデータセンターへ集中されていく流れが出来ました。
そして、2013年現在、情報システムの増加に伴う所有コストの増大やデータセンターのスケー
ルメリットによる外部委託コストの低下等を要因として、「情報システム資産の所有」から「サ
ービスの利用」へというクラウドサービスの流れが大きなトレンドとなっています。データセン
ターとクラウドサービスとの関係は、データセンター事業者自体がクラウドサービスを提供する
-2-
こともあれば、クラウドサービス事業者がデータセンターを利用してクラウドサービスを提供す
ることもある等、様々ですが、クラウドサービスが普及した近年においては、多くの人が直接的・
間接的にデータセンターを利用する状況となっています。
こうした状況にあって、データセンター事業者は、ビジネス上の契約として情報通信機器やデー
タを預かり運用可能な状態に保守するという「契約遂行の責務」のみならず、社会基盤となる情報
通信に関する重要インフラを提供する事業者としての「社会的責務」を果たす責任を負うことに
なりました。一例として、近年ではデータセンターに環境負荷の低減が求められるようになって
おり、日本データセンター協会ではこうした社会的要求に応えるべく、環境基準WGによるデー
タセンターの環境性能指標とその計測方法を策定・提案、環境政策WGによる自治体への環境政
策との連携といった技術面・政策面の両面からのこの課題に取り組んでいます。
1.1.3 データセンターの適切なセキュリティ
現在の社会基盤化したデータセンターでは、環境負荷の低減だけではなく様々な課題に取り組む
ことが求められていますが、その中でも重要な課題の一つにデータセンターのセキュリティがあ
ります。
データセンターに要求されているセキュリティは、単純ではありません。実際のサービスには、
セキュリティ、コスト・効率、利便性等のトレードオフが存在する為、過剰なセキュリティへの
要求はデータセンターのコスト要因や利便性を損なう結果となります。そのため、データセンタ
ー事業者はビジネスとして利用者の要求に応じ、適切なコスト、適切なセキュリティ、そして利
便性のバランスとを保ちながらサービスを提供することが求められています。一方で、「適切な
セキュリティ」を合理的に示すのは簡単ではありません。以下にその主な理由を示します。
(1)多種多様な利用者からの、それぞれの分野・業界における情報セキュリティの要求
(2)様々なレイヤー(ファシリティ、ネットワーク、サーバー等)のセキュリティの要求
(3)共有サービスにおけるセキュリティ対策
多種多様な分野・業界による多種多様な情報セキュリティ対策の要求の背景には、2000年以降
IT社会と言われる時代に入ってからの利用者からの情報システムのセキュリティに対する要
求の多様化と、様々な情報セキュリティに関連する制度の整備があります。これらに加え、内部
統制報告に関する要求、個人情報保護への要求の高まりに対する企業の社会的責任を重視する流
れもさらなる要求の多様化の要因となっています。
データセンターが提供するサービスは、様々なレイヤー(ファシリティ、ネットワーク、サーバ
ー等)に及びますが、セキュリティの実現に当たって攻撃者はレイヤーを問わず一番「弱い」所を
攻撃する為、これらを連携させた対策が必要になります。しかしながら、これらのレイヤーはそ
れぞれの専門知識を持った人材によって独立に支えられていて、レイヤー間を跨いだ対策は様々
な困難を伴っています。
データセンターのビジネスモデルの根底を成す「共有サービス」という特徴は、セキュリティ的に
-3-
は、効果的な共有と利用者(共有者)間の隔離という一見相反する要求を両立する必要がありま
す。
これら3つの課題に加えて定量的なリスク評価の難しさに起因する、セキュリティ対策の投資対
効果判定の難しさという課題もあります。データセンター事業者は、様々なセキュリティ対策を
施したサービスを提供していますが、この対策の前提となるリスクは様々な側面から評価される
必要がある為、定量的に評価することが難しいものになっています。このようにリスクの定量的
な評価が困難であるが故に、データセンター事業者はセキュリティの価値に見合ったサービスの
価格を示すことが難しいという課題を抱えています。
-4-
1.2 本ガイドブックの目的と概要
1.2.1 目的
前節で紹介した背景に基づき、JDCCではセキュリティWGを設立し、データセンターのセキュ
リティに関する議論をこれまで重ねてきました。そして、今回、データセンターのセキュリティ
に関する議論の土台づくりとして、データセンターの利用者と事業者の双方において、データセ
ンターの適切なセキュリティに関する理解を深める、日本のデータセンターの利活用のために広
く参照されることを目標とした本ガイドブックを作成しました。
このガイドブック執筆の背景には、様々なデータセンターのセキュリティに関連する物理・情報
セキュリティに関するガイドライン、基準、監査・認証制度等のドキュメントが政府・団体・民
間から提供されている中で、これらの多くが特定の業界、あるいは特定のデータセンター事業者
を想定していて、一般化された「データセンターの利用者」あるいは「データセンター事業者」と
いった視点から参照できるドキュメントがなかったという課題意識がありました。
本ガイドブックの目的は、以下の二つに要約されます。
・データセンター利用者が、データセンターが提供するサービスの利用を検討する際、
提供されるサービスのセキュリティを理解する為に活用可能な資料
・データセンター事業者が、「適切なセキュリティ」を実現したデータセンターを設計
運用するために活用可能な資料
また、本ガイドブックは、必ずしも「適切なセキュリティ」を直接示している訳ではなく、読者が
「適切なセキュリティ」を考える為に必要な知識を与えるものとなっています。
データセンターのセキュリティには、一般的には、可用性、事業継続性等が含まれます。2011
年3月11日の東日本大震災に際し、外部にサービスを提供するデータセンターにおいて、サービ
スが停止した箇所は1ヵ所もなく、日本のデータセンターの高い信頼性が認識されるようになっ
てきました。こうした可用性、事業継続性に関連する信頼性の基準に関しては、JDCCのファシ
リティスタンダードWGが作成した「ファシリティスタンダード」が、大きな役割を果たしてい
ます。
このような状況から、本ガイドブックは、データセンターの利用者が求めている「データセンタ
ー」の稼働信頼性に関する評価基準が「ファシリティスタンダード」において既に提供されてい
るという認識に立っています。その上で、本書はデータセンターの利用者の抱いている「重要な
資産である情報通信機器とそれらに格納されている機密情報を安心してデータセンターに預け
られるのか?」という問いに対し、読者が自ら考えることができるようなるための情報を示す「手
引き」となることを目指し作成されています。
-5-
1.2.2 構成
ここでは、本書「データセンター・セキュリティ・ガイドブック」のエグゼクティブサマリーとし
てガイドブックの各章に何が記述されているかを説明します。
-1章「概要」
概要」
本章になります。「データセンター・セキュリティ・ガイドブック」を作成した背景、意図、想定
する読者を説明した後、各章の概要という形で全体像の要約(エグゼクティブ・サマリー)が記
述されています。
-2章「データセンターのサービス」
データセンターのサービス」
2章では、データセンターが提供する一般的なサービス(ハウジングサービス、ホスティングサ
ービス、クラウドサービス等)と、そのサービスを支える構造を説明しています。
データセンターのサービスは、データセンターの持つ様々な資源(ファシリティ、情報通信機器、
データセンター要員等の人的資源)を利用者間で共有することにより、適切なコストでサービス
を提供しています。セキュリティに関しても、データセンターのセキュリティに関する資源を共
有することにより適切なコストで提供されることになりますが、その一方、共有に対する適切な
分離がセキュリティ上重要になります。
データセンターの利用者は、本章を読みデータセンターで提供されるサービスについて理解し、
データセンターがどのような仕組みからそれらのサービスを提供しているか知ることで、次章以
降で紹介されるデータセンターのセキュリティをよりよく理解することができます。
-3章「データセンターのセキュリティと管理策
データセンターのセキュリティと管理策」
管理策」
3章では、データセンターのサービスにおける脅威を説明した後、この脅威に対する「管理策の
考え方」を提示し、その上で、実際のデータセンターで実施されるセキュリティ管理策がどのよ
うに実現されているかを架空のデータセンターを元にして紹介します。
「データセンターの利用における脅威」の節では、典型的サービスであるハウジングサービスと
ホスティングサービスを想定した脅威分析を提示しています。
「セキュリティ管理策の考え方」の節では、主に「人為的脅威」に関する管理策の「考え方」を
示しています。特に本節で紹介される「場所に基づく防犯理論」は、物理的な「場所」だけでな
く、論理的な「場所」にもその考え方をあてはめることが出来、セキュリティの基本的な考え方
としてクラウドサービスにおける情報セキュリティも適用できる考え方になっています。
「実際にデータセンターで実施されるセキュリティ管理策」の節では、物理的セキュリティにフ
ォーカスして、「架空のデータセンター」を設定し、そのデータセンターで実施される管理策を
見ていくことで、データセンターにおけるセキュリティの実現がどのようになされているか理解
することができるようになっています。
データセンターの利用者は、本章を読むことにより、データセンターが提供するサービスの一般
的な脅威と、その脅威に対抗するための管理策の考え方、そして一般的なデータセンターにおけ
-6-
る管理策の事例を理解することができます。
-4章「データセンターに係
データセンターに係る基準・ガイドラインと
基準・ガイドラインと認証制度
・ガイドラインと認証制度」
認証制度」
4章では、既存のデータセンターのセキュリティに係わる基準・ガイドラインと、これらへの準
拠性を証明する認証制度等を説明します。3章では、ボトムアップでデータセンターのサービス
のリスクを分析し、脅威に対する考え方を整理し、セキュリティ管理策を実施するところまでを
説明しましたが、逆にトップダウンで管理策を要求する様々な基準・ガイドラインが社会には存
在しています。
特に近年ではデータセンターが国家に欠かせない社会基盤となっていることを背景として、デー
タセンターのセキュリティに係わる様々な規格・基準が整備されています。また、こうした動向
に加えて、前述の規格・基準等への準拠性、適合性等を客観的に評価する第三者評価制度や国に
よる認証制度等も整備されつつあります。しかしながら、これらの規格・基準や制度等の関係は、
その歴史的経緯もあり、整理して一般に理解されているとは言えない状況にあります。更に昨今
では、データセンターが様々な分野で利用されるトレンドにあわせ、その分野の政府機関、業界
団体、民間企業等により、それら分野のガイドラインが整備されています。
本章では、データセンターの利用者向けに、データセンターのセキュリティに係わる基準・ガイ
ドライン、認証制度について解説した上で、「マネジメントシステム適合性評価制度」、「安対
制度」「その他のデータセンターの規格・基準等」を紹介し、最後にそれぞれの分野に存在する
「分野ごとの基準・ガイドライン」を解説することで、読者がこれらの関係を整理して理解でき
るよう手助けします。
-5章「データセンター向
データセンター向けセキュリティを実現
けセキュリティを実現するシステム・サービス
実現するシステム・サービス」
するシステム・サービス」
5章では、データセンター事業者が導入することで、そのデータセンターの基本的な機能として
セキュリティを提供する様々なシステムと、そのデータセンターの利用者へデータセンターがオ
プションサービスとして提供するサービスの一つとしての「ネットワークセキュリティサービ
ス」について紹介します。
この章ではセキュリティを提供するシステムの例として「セキュリティゲート」「ラック」「入
退管理システム」「本人認証システム」「画像監視システム」「火災検知システム」「侵入検知
システム」そして、それらを統合して監理・監視する「統合管理システム」を取り上げ、データ
センターに納入しているメーカー・ベンダーの視点からセキュリティを実現する仕組みや特徴、
性能の測り方から最新の技術トレンドまで幅広く紹介しています。
加えて、データセンターが利用者へオプションとして提供するサービスの例として「ネットワー
クセキュリティサービス」について、データセンターで実際にサービスを提供している事業者の
目線からサービスの仕組み、見極め方を紹介しています。
-7-
1.3 用語解説
-セキュリティ区画
セキュリティ区画
「セキュリティ区画(security zone)」とは、アクセス制御等の手段によって一定のセキュリティ
を確保した区画を意味します。本ガイドブックでは、「領域」「エリア」等の同義語、類義語は、
概ね「区画」に統一しています。
本書において、この「セキュリティ区画」は物理的・論理的双方の文脈において用いられていま
す。
例えば、代表的な物理的セキュリティ区画に「鍵付きラック」の内部空間が挙げられます。鍵付
きラック内は、そのラックのドアパネルや側面パネル等の構造とドアパネルに取り付けられた鍵
によって外部と切り分けられています。
物理的空間に適応される区画に対して、ネットワークセキュリティ等の論理的空間において用い
られる区画が論理的セキュリティ区画となります。代表的な論理的セキュリティ区画としては、
ファイアウォールによって外部と切り分けられるイントラネットが挙げられます。
本書では(特に断っていない場合を除き)物理的・論理的何れのセキュリティ区画においても共
通の考え方が適応できるという考え方に立っています。
なお、区画(zone)を定義し、実装することを「ゾーニング(zoning)」と称しています。
-セキュリティ境界
セキュリティ境界
セキュリティ区画を切り分ける為の物理的・論理的な境界を本書では「セキュリティ境界」と称
しています。
セキュリティ境界は、選択的にアクセスを許すものと、如何なるアクセスも許さないことを目的
とするものとの2種類に分けられます。物理的セキュリティ境界を例にとるならば、前者に関し
てはセキュリティゲートと本人認証・権限管理の仕組みを組み合わせたもの、後者に関してはフ
ェンスや塀とそれに組み合わされる侵入検知システムによって実現されるものがそれに当たり
ます。
-データセンター
データセンター要員
ター要員
本ガイドブックでは、データセンターのサービスの提供に携わるデータセンター事業者の人的資
源全般を「データセンター要員」と称しています。対して、データセンター事業者に所属せず、
データセンターのサービスに係る人々は、「データセンター出入り業者」と称しています。
-利用者
本ガイドブックにおける「利用者」は、データセンターのサービスの契約者、並びに、その契約
者から委託を受けてデータセンターの利用を行う者を意味します。データセンターの契約者が、
データセンターを利用して提供するサービスの利用者は、「エンドユーザー」と称しています。
-8-
2. データセンターのサービス
本章では、データセンターが提供する一般的なサービス(ハウジングサービス、ホスティングサ
ービス、クラウドサービス等)と、そのサービスを支える構造を説明しています。
データセンターのサービスは、データセンターの持つ様々な資源(ファシリティ、情報通信機器、
データセンター要員等の人的資源)を利用者間で共有することにより、適切なコストでサービス
を提供しています。セキュリティに関しても、データセンターのセキュリティに関する資源を共
有することにより適切なコストで提供されることになりますが、その一方、共有に対して適切な
分離がセキュリティ上重要になります。
データセンターの利用者は、本章を読みデータセンターで提供されるサービスついて理解し、デ
ータセンターがどのような仕組みからそれらのサービスを提供しているか知ることで、次章以降
で紹介されるデータセンターのセキュリティをよりよく理解することができます。
-9-
2.1 データセンターの基本サービス
この節では、データセンターの提供する基本サービスとなるハウジングサービス、ホスティング
サービス、クラウドサービスについて紹介します。
2.1.1 ハウジングサービス
ハウジングサービスは、データセンターの一部を借りて利用者の所有するサーバーやネットワー
ク機器を設置、稼働させることができるサービスです。一般に鍵付きラックで区画された空間を
借りるサービスをハウジングサービス、サーバー室の全部を専有サーバー室として借りるサービ
スや、共有サーバー室の一部を借りるサービスをコロケーションサービスと呼び、その他にもサ
ーバー室の一部を他のサーバー室利用者から区画する為に柵(ケージ)で囲うサービス等が提供
されています。
上記のサービスに加えて提供されるサービスは事業者ごとに幅がありますが、安定した情報シス
テムの動作環境(電源・空調等)の提供を基本サービスとして、インターネット接続回線の提供
やファイアウォール等のネットワークセキュリティサービス、データセンター事業者による機器
のLED監視や手動によるサーバー再起動のサービス等が有償・無償で提供されています。
利用者は、ハウジングサービスを利用することで、様々な地震への対策、電気設備の冗長化等に
よる停電等への対策、室温・湿度の管理や電磁波遮蔽による機器動作環境の確保、画像監視シス
テムによる監視や部屋・ラック内へのアクセス制御による防犯といった安定したサービスを提供
する為の新たな投資をする必要が無くなる、といったメリットがあります。また、低いコストで、
データセンター事業者が保持する高速なインターネットバックボーンを利用可能となるといっ
たメリットもあります。他にも事業者によって様々なメリットをアピールしており、アメニティ
サービス等の利用者環境の充実をメリットとして挙げている事業者もあります。
2.1.2 ホスティングサービス
ホスティングサービスは、データセンター内の専有サーバー室や共有サーバー室で運用され、利
用者にサーバーと高速回線を提供し、その機能を遠隔から利用者が利用できるサービスです。貸
し出されるサーバーには、物理的にサーバー機を専有できる形態の専有ホスティングと1台のサ
ーバーを複数の利用者で共有する共有ホスティング等の形態が存在します。専有ホスティングに
関しては、データセンター要員によるLED監視や再起動サービスが提供される場合があります。
データセンター設備とサーバー機器およびネットワーク回線の運用も提供されるため、利用者は、
資産として性能向上の著しい(≒資産価値の低下が早い)情報通信機器を持つ必要がなくなり、
また、システム運用もサービスとして提供されるため、専門的な知識がなくとも管理が可能にな
るといったメリットがあります。
- 10 -
2.1.3 クラウドサービス
クラウドサービスは、データセンターの保有するネットワーク、サーバー、ストレージ、ミドル
ウェア、アプリケーションといったプールされたコンピューティング資源に対して、利用者が必
要に応じてアクセスし利用することが出来るというサービスです。クラウドサービスは一般に、
サービスとしてどこまでが提供されるかの違いによって以下の3つの分類で紹介されます。
-IaaS (Infrastructure as a Service)
Service)
サービス利用者はサーバー資源(vCPU, メモリなど)やストレージ、ネットワークなどのイン
フラ資源を動的に制御し、その上でOSやアプリケーションも含め、任意のソフトウェアを導入
することができます。サービス利用者はクラウド自体の管理を行う必要はありませんが、クラウ
ド上で動作するOSやストレージや一部のネットワーク(ロードバランサーやファイアウォール
など)の管理をサービス利用者自身で行う必要があります。
-PaaS (Platform as a Service)
Service)
サービス利用者はスケールアウトする環境上で、サービスプロバイダーが提供するミドルウェア
環境を利用したアプリケーションプログラムを動作させることが出来ます。
基本的に利用者でOSやハードウェア、ネットワークの管理を行う必要はありませんが、アプリ
ケーション設定や一部の(アプリケーションフレームワークなどの)環境設定が利用できるサー
ビスもあります。
-SaaS (Software as a Service)
Service)
サービス利用者はスケールアウトする環境上で、サービスプロバイダーから提供されるUIベース
の環境を使いサービスを構築し利用することが出来ます。PaaS同様利用者側ではアプリケーシ
ョンが動作しているOSやハードウェア、ネットワーク設定などを行なう必要がなく、すべてサ
ービス提供者側で行います。類似するサービスにサービスプロバイダーの提供するサービスをそ
のまま使うASP(Application Service Provider)と呼ばれるものがあります。
ハウジングサービス、ホスティングサービス、クラウドサービス(IaaS・PaaS・SaaS)の関
係をまとめたのが図 1です。図中、紫色で示されるのがサービス提供事業者の提供する範囲、黄
色で示されるのが利用者の用意する範囲となっています。
- 11 -
アプリケーション
ミドルウェア
利用者の
用意する範囲
OS
サービス提供事業者
の提供する範囲
サーバー
設置場所
電気・空調
ネットワーク
ハウジング
サービス
ホスティング
サービス
IaaS
PaaS
SaaS
図 1 ハウジング・ホスティング・クラウドサービスの比較
- 12 -
2.2 データセンターの付帯サービス
2.2.1 ネットワークサービス
ハウジング、ホスティング等のサービスを利用する場合、追加で以下のようなネットワークサー
ビスを利用できる場合があります。
-インターネット接続
インターネット接続サ
接続サービス
インターネット接続を提供するサービスです。ホスティングの場合、基本的にネットワーク接続
は標準のサービスとなっていて選択の余地はありませんが、ハウジングの場合、オプションとな
るケースもあるため、どのような回線が必要かも含めてデータセンターの利用を検討する必要が
あります。使用可能な回線の種類には、データセンターが引き込んだキャリアの回線をデータセ
ンター利用者同士で共有するタイプや、専用にキャリアの回線を引き込むタイプ等があり、共有
タイプの回線では使用回線速度の増加減、グローバルIPの追加等のオプションが提供されます。
-VPNサービス
VPNサービス
VPNサービスとは共有の回線上で暗号化・カプセル化したデータを通信することで、外部からは
見ることの出来ない、仮想の専用線として用いることのできるサービスです。VPNサービスには
大きく分けて、各地にIP網を持つ事業者がそのインフラ上にVPNを提供するIP-VPNサービスと、
インターネット回線契約を持つ事業者がインターネット回線上にVPNを提供するインターネッ
トVPNサービスがあります。
-ロードバランサーサービス
ロードバランサーサービス
ロードバランサーの構築・設置・運用を提供するサービスです。ロードバランサーを利用するこ
とにより、負荷分散対象のサーバーを利用する利用者にとっては、実サーバーが複数存在しても
単一のサーバーとして見えます。これにより、実サーバーに障害が発生しても、他のサーバーで
サービスを提供できるため、サービスを停止することなく障害対応が可能になります。また、複
数のサーバーにトラフィックを分散することで、各サーバーの負荷を抑えられるメリットもあり
ます。
2.2.2 ネットワークセキュリティサービス
ハウジング、ホスティングを利用する場合、データセンターによっては以下のようなネットワー
クに関する論理的な1セキュリティサービスを追加で利用できる場合があります。なお、これら
1 例えば、侵入検知システムは「論理的」なセキュリティだけでなく「物理的」なセキュリティ(5.7節参照)にも存在
しており、これらは共通のセキュリティの考え方に基づいて理解することが出来ます
- 13 -
のサービスについては5章においてより詳細な解説をしていますので、そちらと合わせて読むこ
とでより深くネットワークセキュリティサービスについて理解することが出来ます。
-ファイアウォールサービス
ファイアウォールサービス
ファイアウォールは、異なる論理的セキュリティ境界に設置され、論理的セキュリティ区画A
(例:外部インターネット)から論理的セキュリティ区画B(例:内部ネットワーク)へのアク
セスを制御する装置です。ファイアウォールを設置することにより、外部からの不正なアクセス
を防ぐことができます。
-IDS/IPSサービス
IDS/IPSサービス
IDS(Intrusion Detection System:侵入検知システム)は、ネットワークを流れるパケットを
監視し、不正アクセス(攻撃)と思われるパケットを検出して管理者等に通知する装置です。IPS
(Intrusion Prevention System)は、IDS機能を拡張したもので、不正アクセスを検知した
ら接続遮断などの防御をリアルタイムに行う機能を持った装置です。IDS/IPSはファイアウォー
ルと同様に論理的セキュリティ境界に設置され、OS・ミドルウェアへの攻撃を検知・遮断しま
す。
-メールフィルタリングサービス
メールの流通を監視し、外部への機密情報の漏えいやSPAM/ウイルスメールの流入等をフィル
タリングによりブロックするサービスです。機密情報の漏えいや、ウイルスの侵入といった脅威
を防ぐことはもとより、スパムメールをフィルタリングすることで、メールサーバーやメール受
信者の負荷を軽減することが出来ます。
-アンチウイルス
アンチウイルスサービス
ウイルスサービス
外部からメール等の形で侵入してくるマルウェア(ウイルスやワームなど)を防御するサービス
です。ネットワーク上のゲートウェイとしてセキュリティ区画の論理的な境界に設置することに
より、特定のプロトコル(主に、HTTP・SMTP・FTP)に含まれるウイルスを検知・遮断しま
す。ウイルスをフィルタすることで、悪意のあるWebサイト上のウイルスやメールに添付された
ウイルスが情報システムへ侵入することを防ぐことができます。
-WAF(
WAF(Web Application ファイアウォール
ファイアウォール)
ウォール)サービス
Webアプリケーションのぜい弱性をついた攻撃(SQLインジェクション、クロスサイトスクリプ
ティングなど)を防御するための装置あるいはソフトウェアを提供するサービスです。Webアプ
リケーションのぜい弱性はアプリケーションの改修によって解決するのが本来の姿ですが、改修
がタイムリーに行えない場合や、新たなぜい弱性への攻撃が現れた場合に有効なサービスです。
- 14 -
-DoS対策
DoS対策サービス
対策サービス
ネ ッ ト ワ ー ク 帯 域 や ネ ッ ト ワ ー ク 機 器 、 サ ー バ ー の 資 源 を 枯 渇 さ せ る DoS ( Denial of
Service)・DDoS(Distributed Denial of Service)攻撃の検知・遮断を実現するサービスで
す。
2.2.3 オペレーション/マネジメントサービス
近年のネットワーク機器、特にセキュリティに関連する機器は設定・運用・管理が複雑であり、
また、対応の即時性を求められるケースも多いため、データセンター事業者の中には、これらの
機器の運用・監視サービスを提供している場合があります。
こういったサービスはオペレーション/マネジメントサービスあるいは、リモートハンドサービ
ス等と呼ばれ、システムが適切に機能しているかを所定の手続きに従い定期的に確認し、レポー
トを作成、不具合が発見された場合はあらかじめ合意された標準作業手順に基づいて復旧作業を
行う、といったサービスを提供します。確認項目としてはサーバーの死活監視、温度監視、電流
監視等があります。
また、これらの業務を専門に受託するMSP(Management Service Provider)と呼ばれるサ
ービス事業者も存在しています。
2.2.4 フルアウトソーシングサービス
データセンター事業者には、サーバーやネットワーク機器の構築運用、機器の廃棄、さらにはO
Sからミドルウェアの管理や障害の一次対応はもとより二次対応までをワンストップでサービ
スとして提供している事業者があります。こういったサービスはフルアウトソーシングサービス
と呼ばれ、あたかも社内の情報システム部門の一部としての機能をサービスとして利用すること
ができます。利用者にとってはデータセンター内で作業することはもとより、開発と運用に社内
の専門家を振り分けることから解放され、コスト削減と品質の向上を図ることができます。
- 15 -
2.3 データセンターのサービスを支える構造
データセンター事業者は、前節で紹介したように様々なサービスを提供していますが、事業者が
こうしたサービスを適切なコストで提供できる大きな理由は、データセンターのサービスを提供
するための設備(ファシリティ設備、ネットワーク設備等)、データセンター要員等の資源をデ
ータセンターの利用者間で共有していることにあります。
一方で、セキュリティの観点からは、資源が必要な部分で共有されているだけではなく、適切に
分離されていることが重要になります。そのためデータセンターの利用者とデータセンター要員
は、各々データセンターのサービスを提供する様々な設備的な資源と利用者自身の資源への適切
なアクセスの権限を持ち、それが厳密に運用されている必要があります。
データセンターのサービスでは、このデータセンターの利用者とデータセンター要員等に付与し
たアクセス権限によるアクセス制御だけでなく、何らかの形で証跡を保持し、監査できることが
重要な要件となる場合もあります。
これらの点を鑑みると、データセンターのセキュリティを理解するにあたっては、データセンタ
ーの資源を共有するサービスがどのような構造から提供されているかをまず十分理解する必要
があります。
そこで、本節ではデータセンターがサービスを提供する構造を3つの側面から説明します。1つ
目の側面は物理的な「アクセス制御」や「外周監視」の考え方を理解するための「空間構造」、
2つ目の側面はデータセンターの基本的なサービスであるネットワークサービスを標準化された
モデルから紹介する「ネットワーク構造」、3つ目の側面は、データセンターのより基本的なサ
ービス(下位のレイヤーのサービス)が、利用者の様々なレイヤーのサービスを支える構造であ
るデータセンターの「サービスレイヤー構造」を説明します。
2.3.1 空間構造
データセンターのサービス、特にハウジング(コロケーション)サービスのひとつの大きな側面
は「場所貸し」と「設備の共有」にあります。ハウジングサービスを提供するデータセンターでは、
様々な情報システムが設置可能な汎用の空間と、それを運用するための様々な設備を保有してい
ますが、これらをセキュリティ面から考えた場合、利用者への場所貸しの区画や、設備等が設置
される区画は、物理的アクセス制御と監視が行われるべき「セキュリティ区画」と考えることが
できます。この「セキュリティ区画」を空間の性質から複数設定(ゾーニング)し、「正当な目
的を持たないエンティティ(人等)をセキュリティ区画の中に入れない」よう設計することがセ
キュリティのアプローチとして広く一般的に用いられています。このゾーニングを考える為に、
データセンターを構成する空間構造の要素を以下に紹介します。
-立地
データセンターの立地はデータセンターの性質を理解する上で重要な項目となっています。例え
ば、利用者が直接来訪することを想定しているデータセンターの場合、アクセスの利便のよい都
- 16 -
市部に立地し2、それを訴求していることが多いようです。対して、直接利用者がデータセンタ
ーに来る必要のないホスティングサービスやクラウドサービス等のタイプのサービスを志向し
ている場合、アクセスが多少不利であっても郊外に立地することで地価を抑え、サービスの価格
を低減すること等を目指しているデータセンターが見られます。また、可用性の観点からは地震
や津波のリスクに着目し、立地している地盤や海抜高度について訴求しているケースが見られま
す。
-建屋
データセンターの建屋はデータセンターとしての機能を想定した建屋と、他目的(一般的にはオ
フィス利用)での利用を想定した建屋に分類することができます。データセンター専用の建屋の
場合、ラックへの高い密度での実装を実現する為の高い床耐荷重や階高が確保されていて将来の
拡張性を確保しやすくなっていることが期待できます。対して他の目的で建築される建屋の場合
はそういった拡張性や、付随する電源面、空調面、セキュリティ面での設計が最適化されていな
いため効率が悪くなってしまっている可能性があります。
-敷地
データセンターの敷地はデータセンターの規模を決めると同時に、外部からの緩衝区画としても
機能します。データセンター来館者の為の駐車スペースや、ラックや大型汎用機のような特殊な
サイズの資材を搬入する為の区画の有無はデータセンター利用時における利便を左右します。ま
た、近年注目を浴びているモジュール/コンテナ型データセンターにおいては、敷地面積がデー
タセンターの将来の拡張性に直結します。
-エントランス区画
エントランス区画
エントランス区画とは建屋に入ってから最初の本人認証を受ける検査区画までの区画です。この
エントランス区画は、打ち合わせや物品の受け渡し等、必要に応じて利用者以外が利用できる場
合があり、待合室や、簡単な打ち合わせの為のスペースが用意されていることがあります。
-検査区画
検査区画はオフィスビルには無いデータセンター特有の区画で、入館時・退館時の本人認証や持
ち物検査等の検査が実施されます。これらの検査をクリアできないとゲートによって次の区画
(利用者共有区画)へと進むことが阻止される構造になっています。より高いセキュリティが要
求されるデータセンターでは、検査区画の前後をゲートで区切って「逃げられない区画」として
いる場合もあります。
2 他のメリットとして都市部に集中するIX(Internet Excange)との距離が近く、インターネット接続の遅延時間が低
減できるといった点が訴求されることもあります
- 17 -
-利用者共有区画
検査区画での検査を終え、サーバー室にアクセスするまでの廊下、エレベータ等の他、利用者等
が共通に利用する休憩室などの区画になります。多くの施設においてこの区画には、一定の本人
認証を受けた権限者しかいないため、そのことを確認する為にIDカードの提示義務等が生じる場
合があります。
-サーバー室
サーバー室
サーバー室は、利用者の情報通信機器が設置される区画として設計されていて、空調・電気設備
を含めた室全体が情報通信機器の運用に特化され、かつ、情報通信機器を守るための構造・区画
となっている室です。
サーバー室は、大きく2つの種類に分けることができます。一つはハウジングサービスを提供す
る複数のラックを収容し、電源や空調、ネットワークをそれぞれラックやケージへと分配する共
有空間としての役割を担っている「共有サーバー室」です。もう一方は、サーバー室自体も複数
のラックや大型の汎用機等を使う情報システム一式を預けるための空間として、ラックのように
一つの専有区画として利用者に提供される「専有サーバー室3」と呼ばれるものになります。
高いセキュリティを要求されるデータセンターのサーバー室では、共連れ防止や塵埃がサーバー
室へ入り込むことを防止する為の前室が設置されている場合があります。
-ラック
ラックはサーバー機器を格納する空間として提供される最小単位になっています。多くのハウジ
ングサービスにおいては、その中だけが利用者の専有区画となることから、ラックの内外はセキ
ュリティのために十分区画されている必要があります。また、ラックは利用者とデータセンター
事業者の責任分解点ともなるため、セキュリティ上のみならず、サービスの利用上も非常に重要
な意味を持ちます。
-重要室(
重要室(電源室、
電源室、空調機械室、
空調機械室、MDF室
MDF室、ネットワーク室
ネットワーク室等)
重要室は変電、蓄電、発電といった電源に関係する機能を持った電源室や、サーバー室の空調設
備を納める空調機械室、外部ネットワーク回線を導入分岐するMDF室/ネットワーク室といった、
データセンターで複数の利用者が共有する機能を提供する室です。この室は、利用者が直接アク
セスすることはありませんが、データセンター要員やデータセンター出入り業者等が入室します。
データセンター事業にとって、最も重要なインフラの管理が行われるべきと言えます。
-中央監視室・
中央監視室・防災センター
防災センター
中央監視室・防災センターでは、データセンター全体のファシリティ管理等が行われます。
3 専有区画をサーバー室単位とするか、サーバー室内のケージ単位とするか、ラック単位とするかは、契約やポリシーに
よってさまざまです。また、セキュリティレベル間の境界においても、運用の利便や消防法との整合の為に壁の設定などで
物理的に区画することが出来ていない場合があります。
- 18 -
これらの要素を含む典型的なデータセンターの空間構造を図 2の典型的なデータセンターの構
造に示します。
ラック
ラック
ラック
ラック
サーバー室
ラック
ラック
サーバー室
利用者共有区画
検査区画
重要室
中央監視室
エントランス区画
敷地
図 2 典型的なデータセンターの空間構造
データセンターでは、こうした「空間構造」をベースとして、正当な目的を持たないエンティテ
ィ(人等)をセキュリティ区画の中に入らせないための物理的アクセス制御と監視が行われてい
ます。データセンターにおいては、主にこの「空間構造」の構成要素を壁により区画することで物
理的なセキュリティを実現します。また、データセンターでは図 2における「利用者共有空間」
‐「サーバー室」‐「ラック」の関係のように、構成要素を重要度の順に入れ子構造とすることで、
空間の効率的な共有と、アクセス制限を実現しています。
データセンターのサービスの特徴は「共有」にあることから、「空間構造」に基づいてセキュリ
ティ区画を明確にし、利用者等が共有する区画と専有する区画の間の物理的アクセス制御を実現
することは、重要な役割を担っています。一方で、空間構造間の区画が十分になされているだけ
では、権限を詐称するなどしてアクセス制御を回避することで攻撃者が侵入できてしまう為、デ
ータセンターエンティティの中での権限管理と組み合わされて初めてセキュリティの確保が実
現できる、という点にも留意が必要です。
2.3.2 ネットワーク構造
データセンターのサービスにおいて、利用者間で共有される資源・設備には、空調、電源そして
ネットワークサービスを提供するためのネットワーク設備があります。現在の多くのデータセン
ターは、インターネット接続を前提した設備・サービスを提供しています。また、近年では、企
業内の基幹業務、イントラネットを丸ごとデータセンターにアウトソーシングすることも多くな
ってきており、そのため企業と高速な専用線で接続するサービス形態も多くなっています。
データセンターはこのような様々なネットワークサービスを提供していますが、利用者にこれら
のサービスを提供するため、データセンター内部でも非常に高速で、大容量、そしてフレキシブ
- 19 -
ルなネットワーク設備を持っています。こうしたデータセンターの内部ネットワーク設備は非常
に高価なものになりますが、データセンターではこうしたネットワークサービスのためのネット
ワーク設備とその運用を利用者間で「共有」することにより適切なコストでサービスを提供して
います。
データセンターにおけるネットワークサービスは、共有によるコスト削減が可能な一方、共有に
よるセキュリティ上の問題がないような仕組みや運用が必要になります。特にセキュリティ上の
秘匿性、完全性等のためには、適切な分離、物理的・論理的アクセス制御が重要になります。
データセンターのネットワークの概念は、物理的なケーブル配線(ケーブリング)等により実現
される「物理ネットワーク」と、この「物理ネットワーク」上のスイッチ・ルーター等のネット
ワーク機器で実現される「論理ネットワーク」の大きく二つのレイヤー4で表現することができ
ます。
「物理ネットワーク」は、物理的なケーブルとケーブル配線等で実現されますが、データセンタ
ーにおいては、この物理的なケーブルを大量に使用します。データセンターにおける物理ネット
ワ ー ク の 構 造 、 構 成 の 標 準 に は 、 2005 年 4 月 に 米 国 規 格 協 会 ( ANSI ) 等 が 発 行 し た
ANSI/TIA/EIA 942 ( Data Center Design Guidelines and Structured Cabling
Standards)があります。図 3にANSI/TIA-942において代表的なデータセンターの配線トポ
ロジとして紹介されているモデルを示します。
機器エリア
機器エリア
(ラック/キャビネット)
機器エリア
(ラック/キャビネット) (ラック/キャビネット)
機器エリア
(ラック/キャビネット)
水平配線
水平配線
ゾーン配線エリア
水平配線
水平配線
水平配線
水平配線エリア
水平配線エリア
水平配線エリア
水平配線エリア
(LAN/SAN/KVMスイッチ)
(LAN/SAN/KVMスイッチ)
(LAN/SAN/KVMスイッチ)
(LAN/SAN/KVMスイッチ)
バックボーン
主配線盤
通信室
(オフィス&オペレー
ションセンターのLAN
スイッチ)
バックボーン
(ルーター、バックボーンの
LAN/SANスイッチ、PBX、
M13 Mux)
水平配線
サーバールーム
オフィス、オペレー
ションセンター、サ
ポート室
バックボーン
引き込み室
キャリア回線
(キャリア機器
&責任分解点)
キャリア回線
図 3 ANSI/TIA-942におけるデータセンターのケーブル配線のモデル
このような物理ネットワークにおける一般的な脅威は、物理的なケーブルの切断や、タッピング
等による盗聴等になります。これらの脅威に対する対策は、一般的には、物理ネットワークを担
当するデータセンター要員のみがアクセス可能な「セキュリティ区画」に物理的なケーブルが敷
4 OSI7レイヤーの内レイヤー1(物理層)とそれ以上のレイヤー
- 20 -
設されている、といった「空間構造」に基づく物理的アクセス制御が重要になります。しかし、
現在のデータセンターのネットワークは、人体における神経の如く、データセンターの隅々まで
張り巡らされているために、注意深くその設計がなされている必要があります。図 4に「物理ネ
ットワーク」とデータセンターの「物理セキュリティ区画」と、この「このセキュリティ区画」
にアクセスできる5「人」の関係の例を示します。
ラック
ラック
サーバー
ラック
ラック
サーバー
サーバー
仮想サーバー
サーバー
サーバー
サーバー
サーバー
…
…
サーバー
…
仮想サーバー
サーバー
サーバー
機器配線エリア
機器配線エリア
機器配線エリア
機器配線エリア
(Equipment Distribution Area)
(Equipment Distribution Area)
(Equipment Distribution Area)
(Equipment Distribution Area)
共用サーバー室
占用サーバー室
水平配線エリア
水平配線エリア
(Horizontal Distribution Area)
(Horizontal Distribution Area)
占用サーバー室
・・・
ネットワーク室
主分配エリア
オペレーションセンター
(Main Distribution Area)
通信室
(Telecom Room)
機器室
(Entrance Room)
利用者の
利用者の
占有する
する領域
占有
する領域
他利用者の
他利用者の
占有する
する領域
占有
する領域
DC事業者
DC事業者の
事業者の
占有する
する領域
占有
する領域
3者によって
共有される
される領域
共有
される領域
図 4 物理ネットワークと物理セキュリティ区画の関係
データセンターのネットワーク設備は、物理的な配線を担う「物理ネットワーク」だけで構成さ
れている訳ではなく、ルーター、スイッチ等のネットワーク機器から構成される論理的接続を担
う「論理ネットワーク」も重要な役割を果たしています。
現在のデータセンターはその規模から非常に大量の物理配線を扱う必要がありますが、利用者の
契約変更等の際の物理ネットワーク構成の変更コストを最小限にするために、ルーター・スイッ
チ等のネットワーク機器の「論理ネットワーク」の構成変更、構成管理を中心にネットワークが
構築されています。この「論理ネットワーク」によるネットワークの構成変更、構成管理への要
求は、近年、クラウドサービス等の提供等の要求から更に複雑になりつつあり、「論理ネットワ
ーク」の進化に加え、サーバー仮想化に対応した「ネットワークの仮想化」が進んでいます6。
一方で、この「論理ネットワーク」のセキュリティは「物理ネットワーク」のセキュリティに依
5 セキュリティ区画内を物理ネットワーク配線が通っているからと言って、必ずしもその配線にアクセスできるわけでは
ない(手の届かない/届きにくいところに設置する等の工夫が施されている場合が多い)
6 クラウド時代に要求されるデータセンターのネットワークについては、日本データセンター協会の「データセンターネ
ットワークリファレンスガイド」において詳細な解説があります
- 21 -
存しています。例えば、「論理ネットワーク」のセキュリティが(物理的な実態としての)ネッ
トワーク機器のセキュリティとネットワーク管理担当データセンター要員による運用にも依存
する、といった関係があります。逆に、「物理ネットワーク」のセキュリティ、例えば、物理的
なケーブルの盗聴を「論理ネットワーク」における暗号化で防ぐといった考え方に立つこともで
きますが、データセンターの内部においては「物理ネットワーク」のセキュリティを保つことが
重要であることには変わりません。
以上のように、データセンターのネットワークサービスは、より基本的なインフラサービスが、
その上のレイヤーのサービスを支えるという構造になっていて。レイヤー構造とそれぞれのレイ
ヤを管理するデータセンター内のエンティティの関係を図 5に示します。
利用者がサービスとして
利用できるネットワーク
契約(SLA)等
論理的接続による
ネットワーク
ルーター・
スイッチ等
物理的配線接続による
ネットワーク
ケーブリング
建築的空間接続による
ネットワーク
建屋・
ファシリティ
ネットワークを
構成する仕組み
データセンター
利用者
データセンター事業者
ネットワーク管理者
データセンター事業者
施設管理者
ネットワークを管理
するエンティティ
図 5 データセンターインフラの階層構造
2.3.3 サービスレイヤー構造
データセンターのサービスは、ネットワークサービスに限らず、より基本的なデータセンターの
サービスがその上のレイヤーのサービスを支えるという構造になっています。このことは現在大
きなトレンドとなっているクラウドサービスにも当てはまり、クラウドサービスは、データセン
ターの基本サービスの上でサービスが提供されていると言えます。
クラウドサービスと呼ばれるサービスの中には、従来データセンターが提供してきたホスティン
グサービスの進化系であるIaaSがあります。IaaSは、ハウジング、ネットワークといったデータ
センターの基本サービスの上で物理的サーバーを運用し、この物理サーバー上で仮想サーバーを
実行し、利用者に提供しています。図 6に典型的な多目的なデータセンターにおけるサービスの
レイヤー構造を示します。
- 22 -
仮想マシン
仮想マシン
クラウド環境
ハイパーバイザー
サーバー
サーバー
ネットワーク機材
サーバー
サーバー
鍵付きラック 鍵付きラック
ラック
ラック
ラック
共有サーバー室
専用サーバー室
専用サーバー室
ネットワーク室
利用者共有区画・検査区画
建屋
敷地
利用者の
利用者の
占有する
する領域
占有
する領域
他利用者の
他利用者の
占有する
する領域
占有
する領域
DC事業者
DC事業者の
事業者の
占有する
する領域
占有
する領域
3者によって
共有される
される領域
共有
される領域
図 6 データセンターの提供するサービスの階層構造
データセンターのセキュリティを考えた場合、空間構造による階層的な「セキュリティ区画」が
データセンターのサービスのレイヤー構造とそのセキュリティを提供していると考えられます。
また、こうしたことはクラウドサービスであるIaaSのセキュリティにも当てはまります。「仮想
サーバー貸し」の場合、「利用者」と「データセンター事業者」の「責任範囲」、あるいは他の
利用者との「セキュリティ区画」となるのは(ハウジングサービスで言うところの「ラック」に
相当)は「仮想マシン」であり、ラックが設置されるサーバー室は仮想サーバーの実行環境であ
るハイパーバイザーということになります。「仮想マシン」はハイパーバイザー上でそれぞれ隔
離され提供されるため、「仮想マシン」を利用者が専有する「論理的なセキュリティ区画」とし
て考えることができます。
一方で、ハイパーバイザー上の仮想マシンは(必要に応じていつでもホストの物理的サーバーを
移動できるとは言え)特定の物理的サーバー上で実行されることになります。そして、この物理
的サーバーは、IaaSを提供するデータセンターのサーバー室内のラックに格納されます。すなわ
ち、仮想サーバーであっても、仮想サーバーが実行される実体としての物理的サーバーは、デー
タセンターのサーバー室内のラックという「セキュリティ区画」に置かれることになります。
クラウドサービスというと、全ての資源は抽象化され、物理的環境とは切り離されると考えられ
がちですが、実際は様々な物理的な仕組みによって支えられていて、そのひとつには「(ホストと
なる物理的サーバーが設置される)ラックの物理的セキュリティ」のような、コロケーションサー
ビスと変わらない項目が含まれていることにも留意が必要です。
- 23 -
3. データセンターのセキュリティと管理策
本章では、データセンターのサービスにおける脅威を説明した後、この脅威に対する「管理策の
考え方」を提示し、その上で、実際のデータセンターで実施されるセキュリティ管理策がどのよ
うに実現されているかを、架空のデータセンターを元にして紹介します。
「データセンターの利用における脅威」の節では、典型的サービスであるハウジングサービスと
ホスティングサービスを想定した脅威分析を提示しています。
「セキュリティ管理策の考え方」の節では、主に「人為的脅威」に関する管理策の「考え方」を
示しています。特に本節で紹介される「場所に基づく防犯理論」は、物理的な「場所」だけでな
く、論理的な「場所」にもその考え方をあてはめることが出来、セキュリティの基本的な考え方
としてクラウドサービスにおける情報セキュリティも適用できる考え方になっています。
「実際のデータセンターで実施されるセキュリティ管理策」の節では、物理的セキュリティにフ
ォーカスして、「架空のデータセンター」を設定し、そのデータセンターで実施される管理策を
見ていくことで、データセンターにおけるセキュリティの実現がどのようになされているか理解
することができるようになっています。
データセンターの利用者は、本章を読むことにより、データセンターが提供するサービスの一般
的な脅威と、その脅威に対抗するための管理策の考え方、そして一般的なデータセンターにおけ
る管理策の事例を理解することができます。
- 24 -
3.1 データセンターの利用における脅威
データセンターを利用して情報システムを構築する際のリスク分析には、資源の共有や組織間の
情報開示の問題といった特有の勘所や難しさがあります。本節ではそういったデータセンターを
利用する際のリスク分析において、特に検討しなければならない「脅威7」について、ハウジング
サービスとホスティングサービスの2つのタイプのデータセンターのサービス例を元に紹介し
ます。
3.1.1 リスク分析と脅威
一言にリスク分析と言っても、その背景や目的から様々な取り組み方が考えられます。そこで本
書でのリスク分析では、情報システムに的を絞ったリスクマネジメント手法を紹介している
「Guide for Conducting Risk Assessments (SP800-30)」に基づき、以下の手順でリス
ク分析を行うことを前提にします。
(1) システムの特徴定義
システムの特徴定義
(2) システムの「
システムの「脅威」
脅威」を特定する
特定する
(3) システムの「
システムの「ぜい弱性
ぜい弱性」
弱性」を特定する
特定する
(4) 実施されている
実施されている「
されている「管理策」
管理策」を分析する
分析する
(5) 発生可能性を
発生可能性を判断する
判断する
(6) 発生した
発生した場合
した場合の
場合の影響を
影響を分析する
分析する
(7) リスクの判断
リスクの判断をする
判断をする
本節では、その上でこれらの項目の中で特に(2)の「システムの脅威を特定する」方法に着目し
紹介していきます。「Guide for Conducting Risk Assessments (SP800-30)」ではシス
テムの脅威を
-自然の
自然の脅威 (cf.洪水
cf.洪水、
洪水、地震、
地震、噴火、
噴火、竜巻、
竜巻、地滑り
地滑り、落雷等)
落雷等)
-環境的脅威 (cf.長時間停電
cf.長時間停電、
長時間停電、汚染、
汚染、化学物質等)
化学物質等)
-人為的脅威
-偶発的行為
-意図的な悪意ある試み
-悪意はないが故意にセキュリティを迂回する試み
に分類しています。人為的な脅威については偶発的-意図的、悪意の有無によって様々分類する
ことが出来ますが、データセンターのサービスでは様々な人材が複雑に連携しながらサービスを
7 脅威源が特定のぜい弱性を悪用する (偶発的に衝くか、あるいは故意につけこむ) 可能性のこと
- 25 -
提供しているため、単純に脅威源に基づいて脅威を分類することが難しくなっています8。
以下の項では、特に人為的脅威に的を絞って、典型的な「ハウジング・ホスティングサービスの
提供例」と保護対象となる「利用者の想定する守るべき資産」を例示しながら、「脅威源」とこれら
のもたらす「脅威」についての例も示していきます。
3.1.2 ハウジングサービスでの脅威の例示
ここでは、ハウジングサービスのリスク分析を行うために、典型的なハウジングサービスの以下
の契約を想定することにします。
・共有サーバー室の物理的なラックを契約
・利用者(契約先)は、管理者と作業者の登録がなされる。
・基本サービスとして
-電源サービス
-インターネット接続サービス
この契約において、守るべき資産は、以下を想定します。
・
ラックの中の情報システム(物理的資産)
・
電源設備
・
空調設備
・
ラックに接続されるネットワーク (ネットワークを流れる情報資産を含む)
ハウジングサービスの場合、データセンター事業者としては、契約利用者(作業者)がラックの
中の情報システムについて行う作業については関知しませんが、契約利用者(作業者)自体がデ
ータセンター内において内部不正を起こしにくい仕組みを提供することはあります。
次に、ハウジングサービスにおける人的脅威源を説明します。
(1)利用者(内部犯行)
(2)サーバー室の共有利用者
(3)建屋の共有利用者
(4)データセンター要員
(5)データセンター出入り業者
(6)悪意ある第三者
8 データセンター事業者側においてはセキュリティに対する要求の高い事業者であればある程より細かい権限分離が実施
され、組み合わせによる脅威の実態が把握しにくくなる可能性もあります
- 26 -
ハウジングサービスにおける人的脅威源を想定した典型的なリスクの例について紹介します。
-機器共有
機器共有
脅威源:(1)利用者、(2)サーバー室の共有利用者、(3)建屋の共有利用者、(6)悪意
ある第三者
データセンターでは多くの場合において複数の利用者が1つの機器を共有するため、機器を共有
する他の利用者による故意・過失による被害を受けるリスクがあります。共有の電源装置の破損
や、負荷による機能停止・低下がこの脅威に当てはまります。
事故例:
データセンターのUPSの出力切り替え盤で問題が生じ、複数の利用者のサービスが停止する。
DoS(Denial of Service)攻撃によって共有のネットワーク機器の機能低下や停止が発生、利
用者のサービス品質が低下する。
-ラック内
ラック内へのアクセス
脅威源:(1)利用者、(4)データセンター要員
利用者(利用者の作業者)やデータセンター要員(サーバーの保守部品交換や再起動操作など、
データセンター要員にラック内の機器へのアクセスを求めるサービスを契約している場合)が利
用者の機器へのアクセス権限を有することで利用者機器への不正なアクセスや故意の機器破壊
を行うリスクあります。
事故例:
データセンター利用者の従業員がサーバーに取り付けられていたHDDを盗み出し、格納されてい
た個人情報を流出させる。
-サーバー動作環境
サーバー動作環境
脅威源:(4)データセンター要員
サーバー室内の環境の変化(機材の追加や移動等)や環境設定(空調設定等)変更の要因により、
サーバーの動作環境に問題が生じるリスクがあります。
事故例:
空調設定の異常に伴うサーバーの熱暴走や非常停止、分電盤やUPSの操作ミスによる停電。
-共有空間領域(
共有空間領域(区画)
区画)での故意
での故意・
故意・過失
脅威源:(2)サーバー室の共有利用者、(4)データセンター要員、(5)データセンター出
入り業者
ハウジングサービスではサーバー室を複数の利用者が共有するため、同じ空間領域(区画)を共
有する他の利用者による故意・過失による被害を受けるリスクがあります。例えば、共有領域(区
画)にはみ出たケーブルの誤抜線やタッピングによる盗聴攻撃、共有領域(区画)においた機器
の盗難等が具体的には考えられます。
- 27 -
事故例:
データセンターで利用者が誤って他の利用者の通信回線を切断しサービスをダウンさせる。
-設備運用体制の
設備運用体制の不備
脅威源:(4)データセンター要員、(5)データセンター出入り業者
データセンター要員の技術レベル、管理体制の要因により、サーバーの動作環境に問題が生じる
リスクがあります。また、これらの要因は問題発生後のダメージ軽減などの運用品質にも影響し
ます。
事故例:
電源装置の誤操作による停電。空調装置の誤操作による環境温度の上昇。
-サーバークセスの
サーバークセスのぜい
クセスのぜい弱
ぜい弱性
脅威源:(6)悪意ある第三者
利用者のサーバーへのアクセスは一般にインターネット回線を経由する場合が多いため、通信経
路からの情報漏えい、盗聴、ログインアカウントの漏えい、成りすましの可能性が増加します。
セキュリティ強度は通信経路の暗号強度や本人認証方法により変化します。
-データセンターへの強盗
ータセンターへの強盗・テロ
強盗・テロ
脅威源:(6)悪意ある第三者
データセンターは様々な高価な情報通信機器が設置され、様々な情報サービスを提供するある種
の重要なインフラストラクチャーとなっているため、それらの機器や情報の窃盗、あるいは社会
を混乱に陥れるためにデータセンター自体を目標とする犯罪者・テロリストによる攻撃のリスク
が考えられます。
事故例:
データセンターに侵入した強盗により、サーバーやネットワーク機器が盗まれる。
3.1.3 ホスティングサービスでの脅威の例示
ホスティングサービスは、データセンター設備とスペースを貸し出すハウジングサービスに加え、
サーバーと高速回線を提供し、その機能を遠隔から契約利用者が利用できるサービスです。デー
タセンター設備とサーバーおよびネットワーク回線の運用も提供されるため、資産として設備を
持つ必要がなくなり、また、システム運用もサービスとして提供されるため、専門的な知識がな
くとも管理が可能になります。
物理的な資産を持たなくなるため、利用者にとっての脅威は、物理的な設備の故障や破壊、盗難
ではなく、運用上のサービス停止による機会損失、および情報資産としてのサーバー上のデータ
の流失、改竄、破壊が中心となり、サーバー上の論理的な区画が「セキュリティ区画」となりま
す。
- 28 -
設備は基本的にすべてサービス事業者から提供されるため、データセンターに立ち入ることなく、
全てリモートから運用が可能な反面、具体的なサーバーの設置場所や保守の状況等が把握しにく
く、「セキュリティ区画」の品質管理を直接的に行いにくくなります。
また、サービス単位で設備、運用コストを他の利用者と共有することによる専門業務のアウトソ
ースとコストの軽減が実現可能な反面、汎用的な仕様による制限、サーバー設置場所や運用方法
のブラックボックス化の他に、利用者による資源の奪い合いや「セキュリティ区画」の他社との
混在のリスクがあります。
ここでは、ホスティングサービスのリスク分析を行うために、以下の契約を事例として想定する
ことにします。
・シェアード(共有)型サーバー
・基本サービスとして
-電子メール機能
-Webサーバー機能
-CGI機能
-ファイルサーバー機能
-データベース機能
-FTP機能
・付帯サービスとして
-バックアップ機能
-セキュリティ機能
-SSL・サーバー証明書機能
この契約において、守るべき情報資産は、以下を想定します。
・
サーバー上のアプリケーションデータ
・
メールアーカイブデータ
・
ファイルサーバーおよびデータベース上の利用者データ
ホスティングサービスの場合、データセンター設備の運用をサービス提供事業者が行う場合とデ
ータセンター事業者の提供サービスに委託して行う場合がありますが、いずれの場合も利用者側
からはホスティングサービス事業者との契約であり、ハウジングサービスの章で述べたリスクは、
そのままホスティングサービスでも考慮する必要があります。
ただし、必要な設備(サーバーやネットワーク機器)は全てサービス事業者の資産であるため、
利用者側では情報資産を除く物理的な資産については、運用品質および可用性に対するリスクと
してのみ考慮すればいいことになります。
- 29 -
次に、ホスティングサービスにおける人的脅威源を説明します。
(1)利用者
(2)ホスティングサービスの共有利用者
(3)ホスティングサービス事業者
(4)データセンター要員
(5)悪意ある第三者
ホスティングサービスにおける人的脅威源を想定した典型的なリスクの例について紹介します。
-サーバー設備
サーバー設備の
設備の破壊、
破壊、盗難による
盗難による情報資産
による情報資産の
情報資産の喪失や
喪失や流出
脅威源:(3)ホスティングサービス事業者、(4)データセンター要員
サーバーを管理するホスティングサービス要員(サーバープラットフォームの管理者)やデータ
センター要員(電源設備やラックへの物理的アクセス権限を有する)がサービス提供をするサー
バーへの物理的な不正アクセスや故意の機器破壊を行うリスクがあります。
機器破壊の場合は情報の消失、サービスの停止、盗難等持ち出しの場合は情報の流出の可能性が
生じます。ハウジングサービスと異なる点は機器を持たないため、脅威の対象が物理資産ではな
く、情報資産に限定されることです。
-サーバー管理時
サーバー管理時のデータ
管理時のデータ破壊
のデータ破壊、
破壊、流出
脅威源:(1)利用者、(3)ホスティングサービス事業者
サーバー管理者権限を有する者(ホスティングサービス要員等)が、利用者データへのオペレー
ションミスや重過失、不正アクセス、故意によりデータ破壊または流出を行うリスクがあります。
-保守によるサービス
保守によるサービス停止
によるサービス停止
脅威源:(3)ホスティングサービス事業者
複数利用者でサービスを共有し、事業者側が運用することで、保守時間とサービス停止可能時間
との調整が困難な場合があります。一般的に保守のための計画作業はホスティングサービス事業
者の通知によって指定され、利用者側が調整することはできません。
情報資産の流出・喪失には直結しませんが、短時間の停止でもサービス運用に影響がある場合に
は可用性に対するリスクとして考慮する必要があります。
-データバックアップ時
データバックアップ時のデータ消失
のデータ消失
脅威源:(3)ホスティングサービス事業者
バックアップ取得のタイミング、方法、データ保管場所はサービス提供者の仕様に依存します。
ディスクミラーリングの方式、バックアップ媒体の種別、別システム別サイトでの保管有無など
により、対障害安全性とコストが異なります。また、保管場所運用ミスや多重障害によりバック
アップ取得が正常にできないリスクがあります。
- 30 -
-OS、
OS、セキュリティパッチ適用
セキュリティパッチ適用ポリシーの
適用ポリシーの不整合
ポリシーの不整合による
不整合による不安定化
による不安定化
脅威源:(3)ホスティングサービス事業者
OSの更新やセキュリティパッチの適用有無はサービス提供者のポリシーに依存します。
最新のパッチ適用の有無によりセキュリティぜい弱性を内包することや、逆に適用によりアプリ
ケーションの動作不安が発生するリスクがあります。
-共有サーバー
共有サーバー設定
サーバー設定のためのオペレーション
設定のためのオペレーション回数
のためのオペレーション回数の
回数の増加
脅威源:(2)ホスティングサービスの共有利用者、(3)ホスティングサービス事業者
直接的なリスクではありませんが、システムを共有する利用者の数が多いシステムは専有するサ
ービスに比較して、管理者側のサーバー設定変更や追加プロビジョニング作業の頻度は一般に増
加します。オペレーションミスの発生確率もシステムに対する作業頻度の増加に比例する可能性
があります。
-物理障害時の
物理障害時の復旧の長期化
脅威源:(3)ホスティングサービス事業者、(4)データセンター要員
交換部材の保管ポリシーによって、障害発生時の交換箇所、規模により、部材調達による復旧時
間が長くなる場合があります。複数社に提供されるサービスのため、製品に起因する予備保全交
換のように数が多くなるケースにおいては、その作業対象規模の大きさのため障害対応時間が増
加する可能性があります。
-ストレージ
ストレージ共有による
共有による回復時
による回復時のサービス
回復時のサービス制
のサービス制限
脅威源:(2)ホスティングサービスの共有利用者、(3)ホスティングサービス事業者
物理ストレージを共有する場合、管理オペレーションミスや障害が原因で他利用者による情報参
照が意図せずできてしまう可能性があります。また、物理障害からの復旧時に物理ストレージを
共有する他利用者とのデータ混在を回避するため、データ修復作業に制限を受けることや、セキ
ュリティ区画の分離により多くの時間を費やす可能性があります。
-共有利用者による
共有利用者による資源
による資源圧迫
資源圧迫
脅威源:(2)ホスティングサービスの共有利用者
CPU、メモリ、ネットワーク帯域等の資源を他利用者との共有する場合、他利用者が高負荷をか
けることによる資源逼迫のため、システム仕様上のパフォーマンスを最大限利用できない場合が
あります。すなわち、ベストエフォートサービスでの共有資源の逼迫によるパフォーマンス低下
のため、可用性への影響を受けることがあります。
-サーバーアク
サーバーアクセスのぜい
セスのぜい弱
ぜい弱性
脅威源:(1)利用者、(3)ホスティングサービス事業者、(5)悪意ある第三者
利用管理者のサーバーへのアクセスは一般インターネット回線を経由する場合が多いため、通信
- 31 -
経路からの情報漏えい、盗聴、ログインアカウントの漏えい、成りすましといった脅威が考えら
れます。セキュリティ強度は通信経路の暗号強度や本人認証方法により変化します。
- 32 -
-コラム- クラウドサービス固有の脅威について
クラウドサービスには場所の特定性がなく、脅威が特定できなくなる性質があります。クラウド
サービスでは資源最適化の理由により、データやアプリケーションが実稼動する物理サーバーが
固定ではなく、データの物理配置が固定にならない場合があります。設置場所やシステム構成に
よってはパフォーマンスに影響する可能性があります。例えば、サイト冗長の仕様によっては、
仮想マシンの稼働しているサイトが変更されることでネットワークのレイテンシが変化すると
いった問題が考えられます。また、海外データセンターと動的にクラウドを構成する仕組みを取
っている場合、法的に海外に置くことが許されないデータが海外に意図せず保管されてしまうケ
ースや、想定しないような海外の法規によってデータの差し押さえを受ける等のリスクを抱える
可能性があります。
- 33 -
3.2 セキュリティ管理策の考え方
前節で述べたように、データセンターで提供されるサービスに応じて、様々な脅威が存在します。
セキュリティを保つためには、それらの脅威に対応した管理策をとる必要があります。
セキュリティ管理策は、一つだけで全てをまかなおうとするのではなく、複数の管理策を組み合
わせて補完し強化するのが効果的です。セキュリティ管理策の組み合わせは、データセンターに
よって様々です。データセンター利用者は自分が守るべき情報の重要性に応じて適切なデータセ
ンターサービスを選択する必要があります。セキュリティ管理策にはどのような観点があるのか、
その分類軸を系統立てて把握しておくことは、ある管理策の組み合わせが自分の求めるサービス
に対して適切かどうか判断するのに役立ちます。本節では、セキュリティ管理策の分類軸に沿っ
て、その考え方について説明します。
3.2.1 機密性・完全性・可用性
セキュリティと言えば、一般的には許可されていない者にアクセスを許さない機密性
(Confidentiality)のことが思い浮べられますが、広義のセキュリティが意味するのはそれだけ
では実現できません。守るべき資産の正確さや完全さを保護する完全性(Integrity)や、許可さ
れた者がアクセスしたいときにアクセスできる可用性(Availability)も重要です。これらはまと
めて情報セキュリティのCIAと呼ばれます。これらの要素では、機密性を高めるためにアクセス
制限の仕組みやプロセスを複雑にすると、可用性が低下して障害時の緊急対応が遅れてしまう等、
トレードオフの関係が成立することが経験的に知られているため、セキュリティ管理策を実施す
るに当たってはどの側面を重視するかを決定し、各要素をバランス良く考慮することが重要です。
また、完全性や可用性については、人が故意にまたは誤ってデータや情報システムを破壊してし
まうような人的脅威だけでなく、地震や洪水があってもデータや情報システムが失われず利用し
続けられるように、自然や環境の脅威にも対応する必要があります。
3.2.2 物理的セキュリティと論理的セキュリティ
情報システムを収容し、そこからサービスを提供する器としてのデータセンターにとって、もっ
とも基本的なセキュリティ管理策は、収容する情報システムへの物理的なアクセスを制御するこ
とです。建物構造、ゲートや鍵付きラックによる区画などがこれにあたります。利用するデータ
センターのサービスがハウジング、ホスティング、あるいはクラウドの何れに係らず、物理的セ
キュリティはデータセンターサービスのセキュリティの基本となります。
一方、情報セキュリティ全体から見ると、データセンターの物理的セキュリティはほんの一部に
過ぎません。例えば、ネットワーク経由での情報システムへの不正なログインによる情報漏えい
を阻止するには、ネットワークセキュリティの設計・構築・運用、情報システムのID・パスワー
ド管理、ディスク上での機密情報の暗号化など、各種の論理的セキュリティ対策が重要です。
- 34 -
論理的セキュリティ管理をデータセンターが行うか利用者自らが行うかは、データセンターのサ
ービス提供/利用形態により異なります。ハウジングサービスなら情報システムの大部分が利用
者の管理範囲であり、SaaSのようなクラウドサービスのケースでは大部分がデータセンター事
業者の管理範囲となります。サービスを選択する際は、自らの管理しなければならない範囲、サ
ービス提供者に管理を任せないといけない範囲をよく見極めることが重要です。
3.2.3 場所に基づく防犯理論
場所の物理的な特徴、維持管理の内容、利用のされ方等に対して、意図的な変更を加えることに
よって「防犯」を実現する際の基礎的な理論として「場所に基づく防犯理論」が存在します。ここで
は管理策を「場所に基づく防犯理論」の視点に基づいて「監視性の確保」「接近の制御」「領域性(区
画性)の強化」「被害対象の強化・保護」の4つに分類することを紹介します。
「監視性の確保」は、犯罪を起こそうとする者に監視の目を注ぐことで犯行を萎縮させ、あるいは
監視証跡を残すことで犯行後の対応を可能にするアプローチです。具体的には要所に画像監視シ
ステムを導入し、その画像を警備員(データセンター要員)が監視・記録するといった管理策が
これに相当します。
「接近の制御」は、領域(区画)を確保し、その領域へのアクセス制御を施すことで犯罪を起こそ
うとする者が標的に対し物理的に接近することを防ぎ、犯行の機会を失わせるアプローチです。
具体的には保護対象を特別の室(サーバー室、鍵付きラック)に隔離し、扉でアクセス制御を実
施するような管理策がこれに相当します。
「領域性の強化」は、特定の領域(区画)を利用する者に対し、その領域を利用する権限の有無を
意識させることで無権限領域(区画)へのアクセスを委縮させ、その領域(区画)内にある保護
対象へのアクセスを難しくさせるアプローチです。具体的には施設内においてIDカードの提示義
務を持たせる、施設内での不審者に対する権限確認を要員に対し義務付けるといった管理策がこ
れに相当します。
「被害対象の強化・保護」は、犯罪の標的を物理的に強化し、犯行の時間・労力をかけさせること
で犯行途中に露見する可能性を高め、被害を受ける前に犯行を制止する、あるいはその可能性を
意識させることで犯行を委縮させることを狙ったアプローチです。具体的にはサーバー内の部品
盗難の脅威を想定し、特殊な工具を使わないとあけることのできないビスでサーバーのきょう体
を封止するといった管理策がこれに相当します。
なお、これら4つの分類は物理的な管理策のみならず、論理的な管理策にも適応することが可能
です。例えば、「監視性の確保」の例としては、攻撃対象となりやすいサーバーに負荷監視用のエ
ージェントを導入する、「標的の強化」の例としては、保護対象となる情報に暗号化を施すといっ
た例が考えられます。
- 35 -
-コラム- 防犯理論について
ここで触れている「監視性の確保」「接近の制御」「領域性(区画性)の強化」「被害対象の強化」は安
全・安心まちづくり研究会発行の「安全・安心まちづくりハンドブック」(1998)で整理され
た分類法です。この分類法はCroweらの書籍「Crime Prevention Through Environmental
Design」の中で体系化され、論文の頭文字をとってCPTED(セプテッド)と呼ばれます。この
書籍中でCroweは管理策を実施する主体について、領域を管理監督する人間から構成される「組
織」、付与された機能を持って管理策を実施する「機械」、そして「自然な環境」という3つの類型を
示し、原則的に「自然な環境」による管理策の実施が中心になるべきだと唱えました。ここで言う
「自然な環境」による管理策とは、保護対象に能動的には関与しないが環境を共有する人間、例
えばデータセンターにおける他の利用者が、「自然に」見守りの目となるということを示してい
ます。
データセンターは専有区画以外の様々な区画、様々な設備を様々な利用者が共有することでコス
ト削減や可用性の確保といった利便を得るビジネスです。Croweの体系化した理論は共有空間の
為の防犯理論として生まれたものであり、データセンターの共有空間としての側面に適応できる
と考えられることから、本書ではCroweの体系を参照した分類を紹介しています。
- 36 -
3.2.4 管理策の分類
セキュリティの管理策には様々な物が存在しますが、ここでは「設備」「システム」「運用」の3種類
に分類します。
「設備」管理策は主にハードウェアによって実現される管理策です(ここでは敷地外周と建物外壁
等の空間も「設備」に含みます)。建屋、外周フェンス、間仕切り壁、ゲートや鍵付きラックとい
った管理策がこの分類に当てはまります。
「システム」管理策は複数のハードウェア・ソフトウェアとポリシー、データセンター運用要員の
組み合わせによって実現される管理策です。データセンターでは本人認証システム、入退管理シ
ステム、画像監視システムといった形でこれらの管理策は実現されています。
「運用」管理策は設備の運用規定や体制、それらを維持する監査等により実現される管理策です。
警備員による巡回や、持ち込み物検査といった管理策がこの分類に当てはまります
3.2.5 データセンターに係る人の分類と管理策
情報システムの物理セキュリティに対する人的脅威源は、大きく外部者と内部者にわかれます。
さらに、複数の共同利用者がいるデータセンターにおいては、ある利用者にとって他の利用者や
データセンター要員も外部者となります。このように、セキュリティを考える際にどのような基
準によって人を内部者と外部者に分けるかは大きな意味を持ちます。この分類の例を以下に示し
ます。
(1) 外部の第三者
(2) 内部者
ア.利用者自身
イ.(利用者にとっての)他の利用者
ウ.データセンター要員
エ.データセンター出入り業者
この分類に基づきそれぞれを脅威源として考えることで様々なセキュリティ上の検討をおこな
うことができます。
例えば、利用者、データセンター要員といった内部者による脅威に対しては、「場所にもとづく
防犯設計」における「領域性(区画性)の強化」「接近の制御」といった管理策の一部が無効と
なるため、「監視性の確保」等の内部犯へも対応可能な対策が重要となります。
また、アクセス権限の付与についても検討する必要があります。アクセス権の付与に関する管理
を行う段階(=権限管理)と、アクセス権に基づいてアクセスの管理を実施する段階(=アクセ
ス制御)の二段階で実施されますが、ラック等の専有区画へのアクセス権の権限管理に関しては
利用者側で、アクセス権に基づいたアクセス制御の実施はデータセンター要員が行うのが一般的
- 37 -
となっています。しかし、障害時にサーバーの物理リセットを行う委託契約等でデータセンター
要員がアクセスの権限管理の一部を受け持つ場合や、ラックの鍵自体を利用者自身が管理しアク
セス制御を行う場合などもあり、このような境界が不明瞭であると内部者による攻撃脅威が生じ
やすくなる可能性があります。そのため、内部犯による攻撃を防ぐためには権限管理とアクセス
制御をどの主体がどこまで受け持つかを明確に認識する必要があります。
加えて、データセンターの空調や電源といった設備は利用者が直接利用することはないためその
区画におけるアクセス権限が付与されることはありませんが、それゆえ、そういった区画のアク
セス制御の実態がブラックボックス化され、空調や電源といった基本的な機能の提供に問題を抱
えてしまう可能性もあります。データセンターを利用するに当たっては、実際に自身の直接利用
する区画についてだけではなく、どの区画において、どの脅威源による、どういった脅威を想定
しているのか見定める必要があります。
3.2.6 想定被害の分類と管理策
情報システムの物理セキュリティにおいて、想定される被害には以下のようなものがあります。
(1) 物的資産の持ち出し
(2) 物的資産の改ざん
(3) 物的資産の機能停止
(4) 情報資産の持ち出し
(5) 情報資産の改ざん・消去
(6) 情報資産の機能停止
これらのうち外部者からの脅威に関しては、十分な物理的アクセス制御が実施されていればこれ
を阻止することができますが、内部者による脅威に対しては、「アクセス権限は与えるが被害が
発生しない」ようにする必要があります。3.2.3で述べたように、「監視性の確保」により犯行
を委縮させることが重要です。また、持込持出管理は、持ち出しの抑止や、機能停止をもたらす
危険物持ち込みの抑止に有効な管理策となります。一方で、内部犯行対策に関しては直接的な抑
止策だけではなく、雇用関係や職場環境といった犯行の動機を如何に減らすか、といった点に関
しても検討する必要があります。
- 38 -
-コラム- 内部犯に対する管理策-
状況的犯罪予防理論とは、犯行者の置かれた状況を変えることによって犯行を難しくさせる、あ
るいは動機その物を取り除いてしまうことで犯罪を予防させる防犯理論です。この理論はそのア
プローチの性質から外部犯対策のみならず内部犯に対する管理策としても有効なものとなって
います。
状況的犯罪予防理論では管理策を、防犯対策を技術的な対策を強化することで「犯行を難しくす
る」、管理や監視を強化することで「捕まるリスクを高める」、犯行を達成する際のリスクとそれ
によって得られる見返りが釣り合わないよう「犯行の見返りを減らす」、犯行の動機となりうる外
部からの「犯行の挑発を減らす」、あるいは、犯人が捕まった際に言い逃れの余地を持つことで罪
を問われるリスクを限定し犯行を行いやすくすることを防ぐため「犯罪を容認する言い訳を許さ
ない」といった5つの項目に類型化しています。独立行政法人 情報処理推進機構の作成した資料
「組織内部者の不正行為によるインシデント調査」ではこの5類型はさらに各々5つに細分化さ
れ合計で25の管理策(表 1)を定義しています。
表 1「組織内部者の不正行為によるインシデント調査」での25の管理策分類
- 39 -
3.3 実際にデータセンターで実施されるセキュリティ管理策
データセンターにおける物理セキュリティはオフィスや商業施設とは異なる厳密なアクセス制
御をおこなうことが求められます。本節では架空のデータセンター9(図 7)を題材に、実際の
データセンターで実施されるセキュリティ対策を説明していきます。なお、本節で紹介する管理
策を実現するシステムの一部については5章において詳細な解説を行っており、本節と合わせて
読むことで、データセンターのセキュリティを実現している仕組みをより深く理解することが出
来ます。
イメージ提供:セコム
IS研究所
図 7 「架空のデータセンター」外観
本節で実施するセキュリティプランニングの手続きは、読者にデータセンターのセキュリティが
どのように実現されているかをわかりやすく説明する為のものであり、実際のデータセンターに
おいてセキュリティ実現の為に同一の手続きが取られているわけではありません。
データセンターとしての利用を前提とした建物の多くにおいては、この節で紹介するゾーニング
や管理策のある程度想定した空間構造が設計されていますが、データセンターとしての利用を前
提としない建物の場合これらの実現が難しくなっている場合があります。その結果、データセン
ター専用の建物では、動線を限定することで館内の人間に対して厳密なアクセス制御を施すこと
ができますが、オフィスや商業施設のように様々な人物がアクセスするテナントと建屋を共有す
る場合、厳密なアクセス制御をすることができず、他の方法で攻撃者の侵入を防ぐ必要が出てく
る、といった違いがあります。
なお、本節で紹介する管理策は個別に実施される管理策ではなく、より体系的に理解しやすいシ
9 この節で扱う架空のデータセンターはデータセンターとしての利用を前提として設計された建物で、全体の設計として1
階部分はエントランスとしての機能に加え、外来者との打ち合わせのユーティリティ機能を提供していて、2階以上のフロ
アでコロケーション機能を提供している設定となっています。
- 40 -
ステムによって実現される管理策を中心に紹介しています。
3.3.1 全体プランニング
データセンターのセキュリティ設計時に重要なこととして、まずセキュリティ管理策を実施する
空間の定義(=ゾーニング)があります。防犯設計においてはゾーニング手法として、セキュリ
ティレベルに基づいたゾーニングが一般的に用いられます。セキュリティレベルに基づいたゾー
ニングを行うには、まず施設の持つ空間機能を重要度毎に分類することを行います。一般に、こ
の分類の区分数が多いほど高いセキュリティが実現できるとされていて、例えばJDCCファシリ
ティスタンダード10では、1つ(サーバー室内のみ)の分類の場合をティア1-2、2つ(建物内、
サーバー室内)の分類の場合をティア3、4つ(敷地内、建物内、サーバー室内、ラック内)の
場合をティア4として評価するとしています。また、実際に分類を行う際には対象となる区画の
重要性だけで決定することは難しく、その区画の持つ機能・運用状況・利用者の性質等をセキュ
リティポリシーに照らし合わせたうえで複合的に決定されます。
本章で扱う架空のデータセンターの例では、JDCCファシリティスタンダードをベースとして、
建物内をさらに「検査区画・共有区画」と「重要区画」の2つのレベルに分け「セキュリティレ
ベル」をレベル1からレベル5までの5段階で分類することにします。ここで留意すべき点とし
てはレベル4における「サーバー室」と「オフィス」のように同じレベルにあっても、利用者の違い
によって区別する場合があることです(ここでは前者をレベル4a、後者をレベル4bとしていま
す)。このセキュリティレベル分けを図にまとめたものが図 8です。
敷地区画
エントランス
区画
•敷地
•敷地内道路
•駐車場(屋外)
•正面来客口
•打ち合わせ
スペース
•駐車場(屋内)
•機器搬出入口
•従業員出入口
レベル1
レベル2
検査区画
•手荷物検査室
•EV/EVホール
•通路
共有区画
重要区画
•サーバー室
(前室を含む)
•サーバーラック
•オフィス
- レベル4b
レベル3
- レベル5a
- レベル4a
レベル4
•重要設備室
(空調機械/電気/NW室)
- レベル5b
レベル5
重要度
小
大
図 8 「架空のデータセンター」セキュリティレベル分け
空間機能の分類に引き続いてその機能を実際のデータセンター内の区画に当てはめていく作業
を行います。この際に留意すべき点として、接続する室同士は隣接するセキュリティレベルとす
る、異なるセキュリティレベルの区画間ではアクセス制御が実施可能な構造とする、壁等を挟ん
で異なるセキュリティレベルの区画が隣接する場合セキュリティレベルの差に応じて隣接する
10 4.4.1節を参照
- 41 -
壁の強度等を決定する、といった点が挙げられます。
イメージ提供:セコム
IS研究所
図 9 「架空のデータセンター」敷地のゾーニングイメージ
敷地外周の柵から建屋の外壁までの空間(図 9 水色部分)を「敷地区画(レベル1)」としてい
ます。
イメージ提供:セコム
IS研究所
図 10 「架空のデータセンター」1階部分のゾーニングイメージ
建屋の外壁からサーバー室に向かう経路の最初のゲートまで(図 10 緑色部分)を「エントラン
ス区画(レベル2)」、最初のゲートから検査室を経てサーバー室入り口の扉まで(図 10・図 11
黄色部分)を「検査区画・共有区画(レベル3)」としています。
- 42 -
イメージ提供:セコム
IS研究所
図 11 「架空のデータセンター」サーバー室階のゾーニングイメージ
サーバー室内及びオペレーション室(図 11 橙色部分)を「共有区画(レベル4)」、サーバーラ
ック内及びネットワーク室内(図 11 赤色部分)を「重要区画(レベル5)」としています。
これらの区画に対し、ここまでの節で紹介したような「脅威」や「考え方」に基づいて管理策を
あてはめていった例が表 2(太文字で示される管理策は後述の節で詳しく紹介している管理策)
です。これらの管理策をあてはめられていった「過程」を知ることが、データセンターのセキュ
リティを理解する上で最も重要なことになります。付録.Aではこの例における管理策の根拠を複
数の基準を元に示していますが、一部の管理策は基準に示されないデータセンター独自の価値基
準に沿って実装されています。これらの採用された基準・データセンターのセキュリティにおけ
る価値基準を知ることでデータセンターのセキュリティをよりよく理解することが出来ます。
また、管理策を導入する際に留意すべき点として、単に様々な管理策を導入するだけではデータ
センター全体での最適なセキュリティを実現することはできす、そこには必ず運用の側面が重要
となる点が挙げられます。例えば、様々な利用者のアクセスするデータセンターでは、それぞれ
の利用者の入館時登録時からラック内へのアクセス時までを一貫して管理するしくみを運用す
ることが必要となります。しかしながら、こういった、一貫した管理を全て人手で行うことは、
特に大規模化したデータセンターにおいて大きな困難を伴います。このような複雑化する運用を
支援する為、近年は様々な管理策を統合し運用を支援する「統合管理システム11」のようなシステ
ムも利用されています。
11 5.8節を参照
- 43 -
区画
セキュリティ
レベル
管理策の実施場所
脅威
管理策
画像監視システム(0ルクス対応、動体検知)
侵入(乗り越え)
施錠可能かつ強固・十分な高さを持つ門扉
侵入検知システム(パッシブセンサー)
防犯灯
カメラ付きインターフォン
立哨警備
画像監視システム(0ルクス対応、動体検知)
門扉(正門、裏門)
侵入(破壊)
施錠可能かつ強固・十分な高さを持つ門扉
侵入検知システム(パッシブセンサー)
防犯灯
カメラ付きインターフォン
立哨警備
画像監視システム(0ルクス対応、動体検知)
車両事故(接触〔対物〕)
施錠可能かつ強固・十分な高さを持つ門扉
画像監視システム(0ルクス対応、動体検知)
敷地区画
レベル1
駐車区画(敷地内)
不審車両
搭乗者受付
車両受付ゲート(ナンバー識別、RFID、IC)
巡回警備
画像監視システム(0ルクス対応、動体検知)
フェンス(忍び返し含む、強度のあるもの)
防犯システム(パッシブセンサ)
侵入(乗り越え)
防犯システム(フェンスセンサー)
防犯灯
巡回警備
外周フェンス
画像監視システム(0ルクス対応、動体検知)
フェンス(強度のあるもの)
防犯システム(パッシブセンサ)
侵入(破壊)
防犯システム(フェンスセンサー)
防犯灯
巡回警備
来館者受付(事前入館申請含む)
正面来客口
機器搬入・搬出口
エントランス
区画
レベル2
従業員出入口
建屋窓・外壁
画像監視システム
不審者の侵入
(訪問内容確認含む) 立哨警備
カメラ付きインターフォン
画像監視システム(置き去り、持ち込み検知)
危険物の持ち込み
立哨警備
不審者侵入・
画像監視システム
危険物の持ち込み
立会い
画像監視システム
搬入物品の盗難
立会い
強固かつ施錠可能なシャッター等の開口部設備
入退管理システム(共連れ検知)
画像監視システム
共連れ
カメラ付きインターフォン
立哨警備
入退管理システム
画像監視システム
不審者の侵入
カメラ付きインターフォン
立哨警備
画像監視システム(0ルクス対応、動体検知)
(破壊による)侵入
防犯システム(ガラスセンサー)
巡回警備
フラッパーゲート
不正侵入
画像監視システム
立哨警備
ローターゲート
検査区画
レベル3
手荷物検査室
共連れ
入退管理システム(共連れ検知)
画像監視システム
立哨警備
持込み検査(金属探知、X線透視)
不審物持ち込み
レベル4a
オフィス
不正侵入
立哨警備
画像監視システム
入退管理システム(ICカード・生体認証)
画像監視システム
不正侵入
入退管理システム(ICカード・生体認証)
フリーアクセス床の特殊ボルトによる固定
画像監視システム
不正滞留
入退管理システム(在室カウント)
共有区画
レベル4b
サーバー室
(前室含む)
画像監視システム
共連れ
入退管理システム(前室での共連れ検知)
画像監視システム
危険物持ち込み
火災
水、火気、電磁ノイズ源等の持ち込み禁止ルール
火災予兆検知
画像監視システム
情報の不正持ち出し
記録媒体の持ち込み禁止ルール
画像監視システム
レベル5a
ラック
レベル5b
重要設備室
(ネットワーク、
電気、空調設備室等)
不正操作
(破壊・改ざん)
重要区画
不正操作(破壊)
火災
ラック扉管理(ICカード・生体認証)
ラック
画像監視システム
入退管理システム(ICカード・生体認証)
火災検知システム
表 2 データセンターにおいて実施される管理策の例
- 44 -
-コラム-セキュリティプランニングの為のツール
データセンターを設計するに際しては、セキュリティプランニングの観点から部屋の役割ならび
に用途毎に区画の境界を的確にゾーンニングする必要があります。また、安定したサーバーの動
作環境を実現するために、室内の環境の変化(設備やIT機器の増設等)や環境設定(空調設定等)変更
に伴うホットスポットの削減、環境の最適化、節電対策等、空間内特性を的確に把握することも
必要です。これらの検証、評価、見える化することができるツールとして、データセンターの3
次元モデルデータを活用するシミュレーション技術があります(
図 12は専用ソフトウェアで作成したデータセンターの3次元シミュレーションモデル)。
こういったシミュレーションを実施する際の基礎データとして、企画・基本設計の段階から建屋
の構造や部材、配管等の複数の情報を一元管理している3次元建築モデルであるBIM(Building
Information Modeling)を用いる手法が近年注目を浴びています。BIMを活用することで、ゾ
ーニングの最適化、セキュリティも考慮した最適な配線計画、カメラやセンサーの検知範囲を人
の動線に合わせたセキュリティ機器の最適配置が可能となります。さらには、BIMをシミュレー
ションツールと活用することによって、データセンターのライフサイクルの中の建物の構造(躯
体情報)・設備(機器情報)・運用(コスト、スケジュール、維持管理情報)といった情報を管
理しつつ、将来のデータセンターの運用予測を考慮できるメリットが挙げられます。
イメージ提供:Future Facilities
6Sigma
図 12 データセンターの3次元シミュレーションモデル
- 45 -
3.3.2 敷地区画で実施されるセキュリティ対策
イメージ提供:セコム
IS研究所
図 13 「架空のデータセンター」における敷地部分の管理策
敷地区画(セキュリティレベル1)で想定される脅威は不法侵入と破壊が考えられます。敷地区
画のすぐ外は施設利用者以外が自由に交通できる空間となっていることから、データセンターの
所在が外部から分かりにくくする為、データセンターとしての表示を行わずに、門扉(図 13 緑
円で囲われた部分)やフェンス(図 13 紫色で示された部分)を使って(意図的・偶発的を問
わず)侵入を困難にする、あるいはこれらと組み合わせて監視カメラや防犯灯(図 13 水色円
で示された部分)や警備員の巡回などによって侵入阻止の意思表示する、といったことが重要に
なります。
敷地区画に施される管理策で特徴的なものを以下に紹介します。
-侵入対策
侵入対策:
対策:検知 フェンスセンサー
フェンスセンサー(図 13 赤線で示された部分)は敷地区画外周(敷地境界)の監視を目的に
設置され、フェンスでは防ぎきれない侵入を検出する、敷地内への不法侵入に有効な対策です。
フェンスセンサーを用いて境界を監視する場合、その境界を全周にわたってセンサーが設置され
ている必要があります。その為、門扉のような可動部でフェンスセンサーの設置が難しい場合、
監視カメラと動体検知ソフトウェアを組み合わせて侵入を検知する等、複数の手段を組み合わせ
ることが必要な場合があります。
また、最外周に設置されるセンサーはいたずら等を施される恐れがあることから、そういったい
たずらをすることが難しくなるよう、フェンスより内側にセットバックして設置することが望ま
しいとされます。
-侵入対策
侵入対策:
対策:記録・
記録・威嚇・抑止 画像監視システム
監視システム
画像監視システムは敷地区画外周(敷地境界)及び敷地区画内の監視を目的に設置され、侵入者
- 46 -
の犯行行為への威嚇や抑止、証跡の記録に効果があります。特に、外周に設置されるカメラ(図
13 黄色丸で示された部分)にはスプレー塗料や布、人為的なカメラの向きの変更など侵入者か
らの妨害行為を検知・警報する妨害検知機能を搭載したカメラを設置することがあります。この
機能は、特に外周を警備員などで巡回監視していない場合重要な機能となります。動体検知機能
は人や物が動いた際に自動で検知し、警報を出す機能です。広い敷地を複数のカメラで監視する
場合、データセンター要員の不足等により見落としが発生する可能性がありますが、動体検知機
能を持った画像監視システムを利用することで見落としをなくすことが出来ます。こういった画
像監視システムの導入はその設置環境・監視対象に応じて様々な工夫が必要なポイントですので、
データセンターがどのような考え方の下、セキュリティを実施しているのか知るためのヒントと
なります。
3.3.3 エントランス区画で実施されるセキュリティ対策
イメージ提供:セコム
IS研究所
図 14 「架空のデータセンター」における1階部分の管理策
エントランス区画では次のレベルに進入する為の入館登録確認等が行われます。エントランス区
画において実施される管理策で特徴的なものを以下に紹介します。
-事前登録手続
事前登録手続き
データセンターの入館受付では、特に正当な権限・目的を持たない人間が許可なく入館できない
- 47 -
ように管理することが重要となっています。その為に事前入館申請の仕組みが使われることがあ
ります。事前申請の仕組みでは利用者の中の権限者が「いつ」「誰が」「何の目的で」「人数」「氏名」等
の情報を登録し、データセンター事業者が把握可能な環境が構築され、これらの情報は証跡とし
て保管・管理、必要に応じて開示されます。なお、この際利用される登録の手段としてはWeb、
電話等が考えられます。
入館時には事前登録時申請された情報に基づき入館が許可され、入退管理システムにおいて必要
な権限の付与が行われます。その際の本人認証には一般に身分証や事前に配布したICカード、あ
るいは事前に入手した顔写真との照合などが用いられますが、厳密な本人認証を実施するデータ
センターでは顔認証やバイオメトリクス認証によって本人認証を実施することがあります。
3.3.4 検査区画・利用者共有区画で実施されるセキュリティ対策
検査区画・利用者共有区画(セキュリティレベル3)で想定される脅威は、危険物の持ち込み、
不正侵入・共連れなどが考えられます。エントランス区画において実施される管理策で特徴的な
ものを以下に紹介します。
-持込み
持込み・持ち出し検査
データセンターでは入館時、入館者の手荷物のチェックを実施する場合があります。これは入館
申請者が事前に申請し、データセンター事業者から許可された機器や荷物以外をデータセンター
内に持ち込ませないことにより館内、特にサーバーに悪影響を与える恐れのある対象物を排除す
ることを目的にしています。持ち込みが制限される品目には以下のようなものが考えられます。
-USBメモリ等の情報記憶媒体
-ライター等の火気類
-水等の液体類
-カメラ付き携帯電話
-その他事前に許可を得ていない物品 等
また、機器・荷物のデータセンターからの持ち出しにおいても事前の申請が必要となる場合があ
ります。これらの持ち込み・持ち出し管理を厳密に行う為、例えば、X線検査機や金属探知ゲー
ト、3Dボディスキャナ等を使った持ち物検査や、タグを用いた不正持ち出し監視ゲート、利用
者の入館時・退館時の体重測定により体重差を確認する、といった検査が行われる場合がありま
す。
-ゲート
データセンターでは様々なゲートが入退管理システムによって管理され用いられます。また、多
くの場合は複数のタイプのゲートが組み合わせて用いられます。例えば、ここで紹介している架
空のデータセンターでは、1つ目のゲートに権限の確認を目的としてフラッパーゲートと呼ばれ
- 48 -
るタイプのゲートを設置しています。このフラッパーゲートは悪意ある侵入者の場合、容易に飛
び越えられてしまうという欠点がありますが、このデータセンターでは警備員と組み合わせ運用
することでそういった不正な行為を防止しています。加えて、検査区画と利用者共有区画との境
界では、IDの認証装置と共連れ防止機能の付いたインターロックゲートと呼ばれるタイプのゲ
ートによって厳密な入退記録の取得を行っています。
このように多くのデータセンターでは(認証-ロック機能付きドアを含め)複数のゲートが設置
されていますが、それぞれのゲートがどのような意図で設置されているかを確認し、不用意に利
便性を損なうような無用なコスト要因になっていないか確認することが重要です。
-警備員
警備員を配置することにより、来館者へのセキュリティチェック及び対応、さらにはデータセン
ターへの接近者の監視等、セキュリティシステムでは対応しきれない様々な対応が可能となりま
す。
3.3.5 サーバー室で実施されるセキュリティ対策
イメージ提供:セコム
IS研究所
図 15 「架空のデータセンター」におけるサーバー室階部分の管理策
サーバー室(セキュリティレベル4)で想定される脅威には、情報の不正持ち出しと破壊、火災
等による設備の被害が考えられます。サーバー室への入退は入退管理システムによって管理・記
録されます。加えて、高いセキュリティを要求されるデータセンターのサーバー室では、共連れ
- 49 -
防止や塵扮が室へ入り込むことを防止する為の前室(図 15 緑円で囲まれた部分)が設置され
ている場合があります。
サーバー室において実施される管理策の内、特徴的なものを以下に紹介します。
-画像監視システム
監視システム
サーバー室内での不正な行為を防止する為に用いられる管理策として画像監視システムがあり
ます。敷地区画で用いられる画像監視システムと異なる点として、サーバー室内で用いられる画
像監視システムは証跡としての役割を果たすことが挙げられます。
例えば、データセンター事業者は事故発生時の対応等の目的で利用者のラック内へのアクセス権
を有している場合があります。こういった場合、不必要なアクセスを実施していないことを利用
者に説明出来る必要があることから、データセンターによってはラック列単位で撮影した画像を
証跡として保管し必要に応じて開示する仕組みを構築しています。
また、こういったラックの監視は一方で、全ラック列にカメラを設置すること(図 15 水色
で囲われたカメラ群)は多大な設備コストとデータの保管コストがかかるため、共通通路にカメ
ラを設置し(図 15 紫色で囲われたカメラ)ラックはドアごとに開閉センサーを設置している
場合があります。
-火災予兆
火災予兆センサー
予兆センサー
データセンターのサーバー室には消防法に定められるガス系消火設備が設置されていますが、こ
の消火設備を動作させるには火災の検知が必要になります。しかしながら消防法で設置を義務付
けられる自動火災報知機は、火災の規模が一定以上にならないと検出できない仕組みになってい
る為、火災発生後ある程度延焼してからでないと消火設備は動作しません。
そこで用いられているのが火災予兆センサーと呼ばれるセンサーで、火災の予兆を検知すること
で重要な情報資産に延焼する前に検知することが可能になっています。この火災予兆センサーは
消防法で認められる火災報知機器には当たらない為、データセンター事業者としては2重の火災
報知装置を設置するコストを負うことになりますが、データセンターの可用性確保に関する考え
方を知る一つの目安となりえます。
3.3.6 ラックで実施されるセキュリティ対策
ラック(セキュリティレベル5)は多くのハウジングサービスにおいて利用者と事業者に責任境
界、あるいはセキュリティにおける最後の境界となり、サービスの利用上もセキュリティ上も非
常に重要な意味を持ちます。
ラックの特徴の見方の一つに、責任境界としてラックをとらえ、その境界がどのように管理され
ているか確認するという見方があります。例えば、隣接する複数のラックを借りた場合、そのラ
ック間にネットワークケーブルを走らせる際にラック間の仕切りを外すことで境界を変更し利
用者が自由にネットワークを構築できる場合と、境界を変更できずにデータセンターの許可を得
てネットワーク配線を一度共有の配線スペースを通し接続しなければいけない場合が考えられ
- 50 -
ます。前者の場合、より厳密に利用者の領域と事業者の領域とを切り分けている事業者であると
理解することが出来ます。
また、ラックには多くの情報システム機器と同様、性能におけるトレードオフが存在している点
にも留意が必要です。例えば、ラックに求められる機能として搭載された機器を安定的に稼動さ
せるという機能があり、その為、給排気機能が一つの性能指標となっています。この給排気機能
を向上するにはラックの前・背面パネルをメッシュ構造としてそのメッシュの開口率を向上させ
る手法が一般的になっていますが、一方で開口率が大きくなるほどラック内部への異物の挿入や
パネル自体の破壊が容易となるため、セキュリティの観点から見るとその性能は低下してしまい
ます。
- 51 -
-コラム- 情報伝送経路のセキュリティ「TEMPEST」
TEMPESTというのは、もともと「大嵐、暴風雨」を意味する英単語ですが、漏えい電磁波盗聴、
および盗聴を防止する技術として、アメリカ国防省の国家安全保障局(NSA)で使われました。
語源ははっきりせず、「Total Electronic and Mechanical Protection against Emission of
Spurious Transmissions」(意図しない経路からの情報漏えいに対する電気、メカを含む総合
的な防護)や、「Transient Electromagnetic Pulse Emanation Surveillance Technology」
(過渡的電磁パルス漏えい監視技術)など、諸説あります。
漏えい電磁波という言葉から、無線LAN(IEEE802.11)やWiMAX(IEEE802.16)を想像し
がちですが、もともとは、PC本体、プリンタ等の電子機器から漏れる電磁波を対象としていま
した。これら電子機器が設置される箇所は、鍵付きラックによって囲まれるなどして、限られた
人間しかアクセスすることができないように管理されますが、機器間をつなぐ情報伝送経路であ
る各種の通信ケーブルからも漏えい電磁波は発生します。
TEMPEST対策には漏えい電磁波を限りなく小さく抑えるためのシールド対策や、光ファイバケ
ーブルの適用12が有効です。例えば、ケーブルが敷設されている全ての箇所に金属管路を設置し、
その中にケーブルを敷設すれば、信頼性の高い漏えい電磁波対策を施すことが出来、かつ、ケー
ブル切断によるネットワーク遮断といったリスクを低減することができます。しかし、そういっ
た管路の設置には非常な手間とコストがかかり、また運用時の利便を損なうことになるため、現
実的にはキャリア回線やバックボーン回線等の重要度が高く変更の少ない回線にしか適応でき
ません。
伝送経路におけるセキュリティとしては物理的な伝送経路を守るだけではなく、伝送経路を流れ
る情報を暗号化する等、物理的・論理的な複数の方法を組み合わせることにより、高いレベルの
セキュリティシステムを構築することが重要であると言えます。
12 通常は漏えい電磁波が発生しないと言われている光ファイバケーブルからでも、強制的に外力を加え曲げ
ることで信号光を漏えいさせ、情報を引き出すことが可能です。こういった攻撃への対策としてOTDR(Optical
Time Domain Reflectometer)を用いた光線路状態監視といった技術が開発されています。
- 52 -
4. データセンターに関連する基準・ガイドラインと認証制度
本章では、既存のデータセンターのセキュリティ係わるガイドライン、基準と、これらへの準拠
性を証明する認証制度等を説明します。3章では、ボトムアップでデータセンターのサービスの
リスクを分析し、脅威に対する考え方を整理し、セキュリティ管理策を実施するところまでを説
明しましたが、逆にトップダウンで管理策を要求する様々なガイドライン、基準が社会には存在
しています。
特に近年ではデータセンターが国家に欠かせない社会基盤となっていることを背景として、デー
タセンターのセキュリティに係わる様々な規格・基準が整備されています。また、こうした動向
に加えて、前述の規格・基準等への準拠性、適合性等を客観的に評価する第三者評価制度・国に
よる認証制度等も整備されつつあります。しかしながら、これらの基準や制度等の関係は、その
歴史的経緯もあり整理して一般に理解されているとは言えない状況にあります。更に昨今では、
データセンターが様々な分野で利用されるトレンドにあわせて、それぞれの分野においてガイド
ラインが整備されています。
本章では、データセンターの利用者向けに、データセンターのセキュリティに係わる基準、ガイ
ドライン、認証制度について解説した上で、「マネジメントシステム適合性評価制度」、「安対
制度」「その他のデータセンターの規格・基準等」を紹介し、最後にそれぞれの分野に存在する
「分野ごとの制度・ガイドライン」を解説することで、読者がこれらの関係を整理して理解でき
るよう手助けします。
- 53 -
4.1 基準・ガイドライン・認証制度の概要と関係
近年ではデータセンターが国家に欠かせない社会基盤となっていることを背景として、データセ
ンターのセキュリティに係わる様々な規格・基準が整備されています。また、こうした動向に加
えて、前述の規格・基準等への準拠性、適合性等を客観的に評価する第三者評価制度・国による
認証制度等も整備されつつあります。しかしながら、これらの基準や制度等の関係は、その歴史
的経緯もあり整理して一般に理解されているとは言えない状況にあります。更に昨今では、デー
タセンターが様々な分野で利用されるトレンドにあわせて、それぞれの分野においてガイドライ
ンが整備されています。この節ではそれらの規格・基準、制度、ガイドラインの関係を整理し、
読者の理解を促すことを試みます。
4.1.1 基準と認証制度
「規格・基準」とは、製品等の品質・形状・寸法を一意に定めることであり、「規格・基準」に
適合する製品等を製造し、その相互運用性を高めることを目的として策定されてきました。更に、
近年では相互運用性のみならず、判断のよりどころとなる社会的な位置付けを与えることで社会
活動を円滑にするという目的も付与されています。
そして、データセンターが国家に欠かせない社会基盤となっている今、「規格・基準」等への準
拠性、適合性等を客観的に評価する仕組みである、第三者による「認証(certification)」も多
くのデータセンターにおいて利用されています。「規格・基準」の制定、認証の仕組みや、認証
の運用などを行う機構や組織の全体のことをまとめて「基準・認証制度」と呼ばれます。図 16
は、「基準・認証制度」の仕組みを図解しています。供給者とその需要者の間で取引される製品・
サービス・プロセスが認証基準を満たしていることを認証機関が認証するのが「基準・認証制度」
の基本的構造となっていて、認定機関は認証機関の認証を遂行する能力を公式に承認することに
よって、認証制度の信頼性を保つ役割を果たしています。
認定機関
認定
認証機関
認証機関
参照
認証基準
供給者
(データセンター事業者)
認証機関
認証
製品・サービス
・プロセス等
需要者
(データセンター利用者)
図 16 基準・認証制度の仕組み
- 54 -
一方、「基準・認証制度」全体を活用せず「規格・基準」のみを用いて自主的に適合/準拠を宣
言することも可能であり、こういった場合を「自己適合宣言」と言います。データセンター事業
者が「規格・基準」への準拠を謳っている場合、どちらのケースに当てはまっているかを確認する
ことも重要です。
4.1.2 データセンター事業者の掲げる認証について
データセンター事業者は様々な規格について認証の取得(あるいは、自己適合宣言)を謳ってい
ますが、それらの規格にはどのようなものがあるかを紹介する為に、ここでは4つの項目に注目
します。以下にそれぞれの項目ついて説明します。
-認証制度等の
認証制度等の有無13
認証制度等の有無に関する分類項目です。
-関連法規の
関連法規の有無
基準に関連する法規の有無に関する分類項目です。関連法規があるパターンとしては、法律の規
定を基準が参照している場合と、法律のうち省令などで定める部分において参照される場合があ
ります
-特定の
特定の分野の基準基準-不特定分野
不特定分野の基準
特定分野に紐付けられた基準であるか否かに関する分類項目です。利用分野が特定される場合は、
特定の分野に適応される法令などにおいて参照される基準の場合と、業界が自主的に策定した基
準の場合があります。
-レベル毎認証の
認証の有る基準基準-ない基準
複数段階を持った基準であるか否かに関する分類項目です。多段階の水準を示す基準の多くはサ
ービス形態を許容するアプローチとして、多段階の水準を示す基準もあります。
項目に基づいて、いくつかの代表的な基準・ガイドラインを分類した表が次の表 3になります。
次に、それぞれの分類が持つ特徴と基準・ガイドラインを用いることのメリット・デメリットに
ついて紹介します。
13 「認証制度」のみでなく、認定機関・認証機関といった枠組みを用いない「適合性評価制度」といった制度も含んでい
ます
- 55 -
表 3 データセンター事業者の掲げる基準・ガイドラインの14分類例151617
認証制度
関連法規
分野の特定
レベル毎
認証
ISO/IEC 27001(ISMS)
○(JIPDEC)
-
-
-
ISO/IEC 20000(ITSMS)
○(JIPDEC)
-
-
-
ISO 22301(BCMS)
○(JIPDEC)
-
-
-
○(JAB)
-
-
-
-
-
○(金融)
-
○(金融)
-
○(金融)
-
△
-
ISO 9001(QMS)
JIS Q 15001(PMS)
FISC安全対策基準(設備)
○(JIPDEC) (個人情報保護法)
△
銀行法等
(金融機関検査
マニュアル)
FISC安全対策基準(運用)
-
FISC安全対策基準(技術)
-
JEITA IT-1002A
△
(JQA)※1
-
※2
JQA運用基準
△
-
-
-
PCI-DSS
○(PCI-SSC)
-
○(信販)
-
JDCC-FS
-
-
-
○(4段階)
○(Uptime)
-
-
○(4段階)
○(IBM)
-
-
○(6段階)
Uptime Tier
IBM-DP Facility Reliability Requirements
政府情報セキュリティ統一基準群
-
IT基本法等
○(政府)
△ ※3
医療情報受託管理者ガイドライン
-
医師法等
○(医療)
・・・
・・・
・・・
・・・
・・・
-分類1(水色):マネジメントシステム基準
メントシステム基準系
基準系
マネジメントシステムの構築・運用・検査の仕組みの基準をここではマネジメントシステム基準
系としています。この系には基準自体では具体的な管理策を示していないため、様々な形態の事
業者に当てはめることが出来るといった特徴があります。
メリット:設備等の紹介では理解されにくい、「マネジメントシステムが機能していること」を説
明できます。
デメリット:設備の紹介と併用しなければ、実際の「セキュリティの程度」を伝えることが難しい
という点があります。
14 略語に関しては後述
15 表中※1 △はJQAによる適合性評価制度が「FISC安全対策基準(設備)」または「JEITA IT-1002A」とJQA運用
基準の組み合わせにより実現されていることを示す
16 表中※2 △はJEITA IT-1002Aの前身が情報処理サービス業を対象とした「情報処理サービス業電子計算機シス
テム安全対策実施事業所認定基準」の「第1 情報システムを構成する設備及び情報システムに関連する設備に関する技術上
の基準」であることを示す
17 表中※3 △は政府情報セキュリティ統一基準群には認証制度がないことと、4段階の情報取扱区域が定められている
が、各府省庁で独自にクラス4以上を定めることが出来るようになっている等、他の基準とは異なる考え方に基づいたレベ
ル分けを行っていることを示す
- 56 -
-分類2(緑色)
緑色):認証基準系
認証基準系
マネジメントシステム認証以外の認証に用いられる基準をここでは認証基準系としています。多
くの基準はその基準が前提としている業態がある(例えば、FISC安全対策基準では銀行業)とい
う特徴があります。また、設備に関する基準と運用に関する基準を組み合わせて適合性を評価し
ているという特徴もあります。
メリット:特定の分野の利用者に対して、その分野において必要とされるセキュリティを提供し
ていることを説明できます。
デメリット:認証基準が対象としていない分野の利用者から「過剰なセキュリティ提供している
(≠過剰なコスト)」とみなされてしまう可能性があります。
-分類3(黄色)
黄色):階層系
階層系
複数の指標を複数の段階で評価する基準をここでは階層系基準と分類しています。この系の特徴
としては、民間の企業による格付けサービスが提供されている18という点があります。
メリット:データセンター事業者がセキュリティをどのような考え方で実現しているか、データ
センターの特徴を理解しやすいという点があります。
デメリット:利用者側に、一定の理解力が求められます。
-分類4(赤色)
赤色):ガイドライン系
ガイドライン系
ガイドライン系は特に官公庁などが特定の業界に対し一定の水準を示す為に利用されることが
多い枠組みです。官から民へという流れの中で官が主導する認証制度が一般に受け入れられにく
くなってきたため登場した形態と捉えることもできます。認証基準系との大きな違いは認証制度
の有無がありますが、監督官庁が特定の業態を想定して作成する場合が多い為、情報の具体性が
高く、事業者にとって参照しやすいものになっているといった特徴もあります。
メリット:特定の分野における法制度と関連する物があるため、ガイドラインへの準拠を確認す
ることで、順法性を確認することが出来ます。
デメリット:現時点では認証制度等が整備されていないため、事業者に対し、どのようにガイド
ラインに準拠しているか項目ごとに説明してもらう必要があります。
ここで紹介した基準や4つの分類はあくまで一つの例ですが、データセンターがどういった分類
の基準への準拠を示しているかを知ることによって、そのデータセンターの考え方を知る為のヒ
ントとすることができます。
18 JDCC-FSに関してはJDCC内で制度化を検討中(2013年3月現在)
- 57 -
-コラム- 内部統制の保証報告制度について
個人情報保護法と並び、データセンターに大きな影響を与えた立法として、2006年の金融商品
取引法があります。この金融商品取引法の内、内部統制報告書の提出を義務付ける部分は米国の
同様の法律の名前をとり、日本版SOX(J-SOX)法と呼ばれています。
また、企業による大規模な情報流出や不正経理問題によって、次第に消費者側も情報保護に関心
を示すようになり、2000年代後半には多くの企業において企業の社会的責任に対する意識が高
まりました。
そういった環境の中でデータセンターには、複数の企業から業務の委託を受けるビジネスモデル
故に、様々な安全性に対する監査要求が企業より個別にもたらされることになりました。それら
の監査要求は各社のポリシーや業界によって様々なものがあり、データセンター側の対応コスト
が肥大化していくことになりました。
このような背景の下で注目を集めたのが、委託業務について内部統制の整備・運用状況を示す文
書である日本公認会計士協会の第18号報告書、米公認会計士協会のSSAE16(旧SAS70)と
呼ばれる報告書です。この報告書を共通の監査報告として使うことで、データセンター利用者は
データセンター事業者に対して行う内部統制の整備・運用状況の監査を省略でき、データセンタ
ー事業者は複数のデータセンター利用者による監査業務を省略できるといったメリットがあり
ます。
なお、内部統制における保証報告については、本来財務報告に関連した統制報告の為の枠組みだ
ったのですが、SAS70ではその汎用性から業務統制全般における報告で活用される場面が増え
ていました。そこでAIPCA(米国公認会計士協会)では、SSAE16への移行に当たってその役
割を明確化させるため、これまでと同じ財務報告に関する統制報告であるSOC(Service
Operation Control)-1、監査人同士のコミュニケーションツールに限定した財務報告以外に関
する統制報告であるSOC-2、監査人以外とのコミュニケーションツールとして利用可能な財務
報告以外に関する統制報告であるSOC-3の3種類の報告書が利用可能になりました。
特にSOC-3に関してはSysTrust、WebTrustという「Trustサービスの原則と規準(Trust
Services Principles and Criteria)」に基づいた情報サービス/Webサービスの認定業務が提供
されていて、国内においても一部の監査法人から取得することが可能になっています。
- 58 -
4.2 マネジメントシステム適合性評価制度
マネジメントシステム適合性評価制度とは、マネジメントシステム基準(Management System
Standard)に則り、組織が方針及び目標を定め、その目標を達成するためのシステムを維持・
運用されていることを、第三者が評価する仕組みです。
本節では、一般財団法人日本情報経済社会推進協会(JIPDEC)が実施している次の3つの制度
について解説します。
ISMS(情報セキュリティマネジメントシステム)適合性評価制度 (ISO/IEC 27001)
ITSMS(ITサービスマネジメントシステム)適合性評価制度
(ISO/IEC 20000)
BCMS(事業継続マネジメントシステム)適合性評価制度
(ISO 22301)
これらの制度で用いられている「規格・基準」は、ISO(国際標準化機構)またはIEC(国際電気
標準会議)で策定された国際規格となっている為、認証を取得した場合、国際規格に準拠した認
証を取得しているということができます。
また、これらの認証を取得していることは、各々の規格に則ったマネジメントシステムが機能し
ていることを示します。そのため、一般的に利用者はこの認証取得を契約条件として掲げること
で、そういったマネジメントシステムを持った企業を選択することが可能になります。逆に競争
入札においては、発注者からの要件として再委託先に何れかの認証取得を求める場合もあり、利
用者はあらかじめ委託先(データセンター)がこれらの認証を取得しているか確認することが必
要になります。
これらのマネジメントシステム適合性評価制度では、次のような手続きを経て認証を取得できま
す。この手続きの流れ自体は何れのマネジメントシステム適合性評価においても共通の流れとな
っています。
- データセンター経営者による認証取得の決定と宣言
- データセンター事業者内の推進体制(事務局など)の確立
- データセンターにおける適用範囲の決定
- キックオフ(経営陣の決意表明)→審査登録申込
- 事務局/推進メンバーを中心とした教育
- 基本方針の策定
- 各マネジメントシステムに応じた事項の実施
(リスク評価、目的・目標を達成するための予算の策定、事業継続計画の策定等)
- 規程類の作成/教育
- 各マネジメントシステムの運用開始
- 各マネジメントシステムに基づく日常業務の実行/管理
- 59 -
- インシデントの監視
- 各マネジメントシステムの見直し/有効性測定
- 内部監査
- マネジメントレビュー
- 是正処置/予防措置の実施
また、認証取得までには「登録審査(ファーストステージ審査、セカンドステージ審査)の実施」、
「審査判定会」、「認証の登録・登録証の発行」という3つのステップがあります。なお、認証取得
後には、年1回または年2回の定期審査、3年毎の更新審査が行われます。
4.2.1 ISMS(情報セキュリティ19マネジメントシステム)適合性評価制度
ISMS適合性評価制度の、「基準・認証制度」としては、次のような構成になっています。
規格・基準:ISO/IEC 27001(JIS Q 27001)
(セキュリティ技術-情報セキュリティマネジメントシステム-要求事項)
認定機関: 一般財団法人 日本情報経済社会推進協会(JIPDEC)
認証機関: 一般財団法人 日本品質保証機構(JQA)、
日本検査キューエイ株式会社(JICQA)、
BSIグループジャパン株式会社(BSI-J) 等
ISMS適合性評価制度は、後述する通商産業省20(以下、「通産省」)が実施していた「情報処
理サービス業電子計算機システム安全対策実施事業所認定制度」21(通称:大臣認定制度または
安対制度。以下、「大臣認定制度」)の後継として、JIPDECが実施している制度です。
当時、大臣認定制度により通産大臣が発行していた「認定証」を取得が、政府・自治体関係の入
札条件となっていた関係から、情報処理サービス業を営んでいた事業所の多くは「認定証」を取
得し、大臣認定事業所となっていました。
現在では、大臣認定制度の後継としてISMS適合性評価制度が運営されており、この制度による
認証取得が政府・自治体等の入札条件となっている場合もあり、認証取得事業所が数多く存在し
ています。
データセンターの利用者は、ISMS適合性評価制度による認証をデータセンター事業者が取得し
ていることを確認することで、その事業者が保有する情報資産に対して機密性、完全性、可用性
を維持しながら管理し、適切に改善していることが分かります。
19 情報セキュリティとは、情報の機密性、完全性、可用性を維持することを指します。
20 現 経済産業省
21 通産省告示第342号。1997年7月「電子計算機システム」を「情報システム」へ改称しました。
- 60 -
組織にISMSを適用する際には、一例として次のようなSTEPを踏みます。
1.ISMSの適用範囲及び境界を定義する。
2.ISMSの基本方針を定義する。
3.リスク評価の取組方法を定義する。
4.リスク評価を実施する。
(資産の洗い出し→資産価値の特定→脅威の洗い出し→ぜい弱性分析→リスクの特定)
5.リスクを評価する。
6.リスクへの対応方法を決める。
7.必要な管理策を選択する。
8.残留リスクを承認する。
9.ISMS導入・運用を経営陣が決定・許可する。
10.適用宣言書(ISMSに関連して適用する管理目的及び管理策を記述した文書)を作成する。
ISMS認証を取得している組織ではこれらのSTEPを実施したあと、情報セキュリティに関する管
理体制を運用しながらPDCAサイクル(Plan→Do→Check→Act→Plan…)を回すことになっ
ています。
4.2.2 ISO/IEC 27001 (情報セキュリティマネジメントシステム-要求事項)
情報セキュリティマネジメントシステム (ISMS) に関する規格である、ISO/IEC 27001 (JIS
Q 27001) は、ISMSの一般要求事項と、管理目的及び管理策を定めた附属書A(附属書B及
び附属書Cは参考)から構成されます。なお、附属書Aに定められた管理目的及び管理策の実践
のための規範は、ISO/IEC 27002 (JIS Q 27002) に記載されています。
組織にこの規格を適用することで、情報資産が確実に管理される仕組みを構築し、PDCAサイク
ルを回して、情報セキュリティに関するリスクの低減に役立てることができます。
4.2.3 ITSMS(ITサービスマネジメントシステム)適合性評価制度
ITSMS適合性評価制度の「基準・認証制度」としては、次のような構成になっています。
規格・基準:ISO/IEC 20000 (JIS Q 20000)
(サービスマネジメント -第1部:サービスマネジメントシステム要求事項
-第2部:実践のための規範)
認定機関: 一般財団法人 日本情報経済社会推進協会(JIPDEC)
認証機関: 一般財団法人 日本品質保証機構(JQA)、
日本検査キューエイ株式会社(JICQA)、
BSIグループジャパン株式会社(BSI-J) 等
- 61 -
ITSMS適合性評価制度で認証の対象となる組織は、ITを活用してサービスを提供する組織です。
データセンター利用者が、提供されるITサービスの品質とその安定的な供給を強く求める場合、
データセンター事業者がITSMSの認証を取得しているかどうかの確認は、とても重要になってき
ます。
データセンター事業者にとっては、ITSMSの認証を取得することにより、ITサービスを属人化し
たものから脱却させ、提供者により品質がばらつく特性があるITサービスの品質の向上に役立て
ることができます。
なお、ITSMSによる認証を取得する前に、まずは、データセンターの経営陣の責任として、
・サービスマネジメントの方針、目的及び計画を確立する。
・サービスマネジメントの目的を達成することの重要性、継続的改善の必要性を周知する。
等が求められます。その上で、サービスマネジメントに関するPDCAサイクルを回すことが組織
に求められます。
4.2.4 ISO/IEC 20000 (ITサービスマネジメントシステム)
ITサービスマネジメントシステム(ITSMS)に関する規格であるISO/IEC 20000 (JIS Q
20000)は、ITIL®(Information Technology Infrastructure Library)を元に開発されまし
た。このITIL®は、ITサービスマネジメントの成功事例を集めたもので、IT運用における実際の知
識やノウハウが集約されており、デファクト・スタンダードとして認知されています。
ISO/IEC 20000 (JIS Q 20000) は、第1部「サービスマネジメントシステム要求事項」
と、第2部「実施のための規範」から構成されます。無形のITサービスを、5つのプロセス群に分
け、それをさらに13のプロセスに分解することで、ITサービスの見える化を実現しています。
5つのプロセス群と、13のプロセスは、次のように分類されます。
1. サービス提供プロセス
・サービスレベル管理(SLM)
・サービスの報告
・サービス継続及び可用性の管理
・サービスの予算業務及び会計業務
・容量・能力管理
・情報セキュリティ管理
2. 関係プロセス
・事業関係管理
・供給者管理
- 62 -
3. 解決プロセス
・インシデント及びサービス要求管理
・問題管理
4. 統合的制御プロセス
・構成管理
・変更管理
5. リリースプロセス
・リリース及び展開管理
4.2.5 BCMS(事業継続マネジメントシステム)適合性評価制度
BCMS適合性評価制度の「基準・認証制度」としては、次のような構成になっています。
規格・基準:ISO 22301 (社会セキュリティ-事業継続マネジメントシステム-要
求事項)
認定機関: 一般財団法人 日本情報経済社会推進協会(JIPDEC)
認証機関: 一般財団法人 日本品質保証機構(JQA)、
日本検査キューエイ株式会社(JICQA)、
BSIグループジャパン株式会社(BSI-J) 等
東日本大震災を機に、地震、津波、火災等の災害や、事故といった緊急事態が起こった場合でも、
事業の継続が可能、または早期に再開できるよう、予め事業継続計画(BCP)を取りまとめる企
業が増えてきました。データセンターを活用するデータセンター利用者にとっても、データセン
ター事業者が、BCPを持ち継続して改善している事業者であるかどうかの確認は、とても重要な
こととなってきています。
BCMS認証をすることで、事業の中断・阻害に対応する事業継続計画(BCP)の運用を経営の仕
組みと一体化させ、様々な環境の変化に応じた見直しを行い、効率的・効果的に組織を維持・改
善し続けることができます。
BCMS認証を取得する際には、一例として次のようなSTEPを踏むことになります。
1.事業継続計画(BCP)策定体制を立ち上げる。
2.守るべき事業活動とリスクを明確化するため、事業影響度分析を行い、リスク評価を
実施する。
3.事業継続戦略を決定する。
4.事業継続計画(BCP)を策定する。
- 63 -
5.事業継続計画(BCP)を演習(テスト)する。
6.レビューし、改善する。
これらのSTEPを実施し、BCMS認証を取得した事業所は、BCMSを運用しながらPDCAサイク
ルを回すことになっています。
4.2.6 ISO 22301 (事業継続マネジメントシステム)
BCMS(事業継続マネジメントシステム)に関する規格であるISO 22301は、英国規格協会
(BSI)によって制定された英国国家規格BS 25999をもとに、制定されました。ISO 22301
は、マネジメントシステム規格共通要素(共通の用語、共通テキスト、ハイレベルストラクチャ
ー(HLS))を適用し、BCMSについては、BS 25999-2に記載されている技術内容をほぼ包
含しています。
また、各国におけるベストプラクティスを考慮していますので、日本の主要ガイドライン(内閣
府、経済産業省)の考え方も考慮されています。ISO22301には要求事項が106個あり、これ
はBS 25999-2の要求事項55個と比べて約2倍にあたり、より具体的に記載されています。
- 64 -
4.3 安対制度
前節で紹介した背景から近年では、ISMS適合性評価制度による認証取得データセンター事業者
は着実に増加しています。一方で、ISMSのようなマネジメントシステム基準を対象とした評価
では、リスク低減は事業者が個別に定めるセキュリティポリシーに依存します。そのため、デー
タセンターの設備に関してデータセンター利用者は、データセンター事業者に対して提案依頼書
(RFP)を要求し、事業者のセキュリティポリシーとそれに基づいた設備の状態を確認する必要
があります。
データセンター事業者にとっては、全てのデータセンター利用者及び利用予定者に対してそれぞ
れRFPを記載して回答しなければならず、非常に手間が掛かる作業となっています。
このような手間を簡略化する為一定程度のセキュリティを担保する設備基準を定め、それに対す
る準拠性を確認する制度が安体制度です。安対制度及び制度で用いられた基準(図 17)の歴史
的経緯を説明し、実際に安対制度として一般財団法人 日本品質保証機構(以下、JQA)が実施
している「データセンター安全対策適合証明制度」と、その制度で用いられている基準について
紹介します。
図 17 安対制度に関連する基準の推移
4.3.1 電子計算機システム安全対策基準
1977年、通産省は情報システムの機密性、保全性及び可用性を確保することを目的として、
「電
- 65 -
子計算機システム安全対策基準」22を制定し公表しました。それに合わせて、同年には社団法人 日
本情報センター協会より同基準の解説書(通称赤本)が発行されました。
「電子計算機システム安全対策基準」は、設備基準と運用基準の2つにより構成されていました
が、1984年の改訂版より設備基準、技術基準、運用基準の3つの基準から構成されるようにな
りました。1995年の改訂では、「電子計算機システム安全対策基準」の名称が「情報システム
安全対策基準」に変更され、構成される3つの基準のうち、設備基準の名称が、設置基準に変更
されました。
この基準は、「情報システムの利用者が実施する対策項目を列挙したもの」として制定されてい
たため、この基準による検査等はあまり実施されていません。しかしながら、日本国内で初めて
情報システムに関する安全対策基準及び施策として取りまとめられたことから、国内のデータセ
ンターの安全対策の基本的な考え方となり、この基準の果たした役割は大きいものとなりました。
4.3.2 情報処理サービス業情報システム安全対策実施事業所認定制度(大臣認定制
度)
通産省は、我が国のコンピュータ利用による情報化の進展に伴い、情報処理サービス事業者の経
済活動及び社会生活に果たす役割が重要になってきたことを踏まえ、情報処理サービス事業者の
情報システムが地震、火災、水害、犯罪等により破壊され、データが破損、漏えいするといった
事故を防ぎ、事業者の安全対策促進を図るため、1981年に大臣認定制度を発足させました。大
臣認定制度の「基準・認証制度」は、次のような構成になっています。
規格・基準:情報処理サービス業電子計算機システム安全対策実施事業所認定基準
(昭和56年通商産業省公示56機第2532号)
情報処理サービス業情報システム安全対策実施事業所認定基準
(平成9年通商産業省告示第406号 平成10年4月1日より適用)
認定機関:
通商産業省
指定検査機関:
財団法人 機械電子検査検定協会(JMI、現JQA)
この制度は、認定希望事業者の申請に基づき、情報システムに関して設備基準(83項目)と運
用基準(45項目)から構成される認定基準に合致している事業所を通産大臣が安全対策実施事
業所として認定し、認定証(有効期間3年)を交付、官報にこの旨を公表する制度です。この認
定基準は、前述した「電子計算機システム安全対策基準」を参考にして制定されました。
実施体制としては、認定の申請事業者が、通産大臣の指定検査機関である財団法人 機械電子検
査検定協会(JMI)(現JQA)より設備検査を受け、その検査結果報告書等を申請書類に添付し、
22 1974年6月、米国連邦国立標準局NBS(現NIST)が制定した「データ処理における物理セキュリティ及びリスクマ
ネジメント(FIPS PUB 31: Guidelines for Automatic Data Processing Physical Security and Risk Management)」
を参考にしている。
- 66 -
管轄の通産局へ認定の申請を行います。認定の申請を受けた管轄の通産局は、申請事業所の運用
に関する審査を行い、その結果を通産大臣に報告します。その結果は、通産省の認定委員会で審
議され、認定基準に適合していると認められた場合は通産大臣から認定証が交付されます。
この制度の解説書(通称:青本)が、1981年に社団法人 日本情報センター協会23により発行さ
れました。1993年には発行者がJQAに変更され、認定制度発足の初年度は16事業所程だった
認定事業所が、1997年7月時点では200事業所にものぼりました。
大臣認定制度は2001年3月、
①
情報セキュリティの実施に関しては、国際標準で行うことが重要だということ。
②
適合性評価制度に関しても、国際的な流れである民間評価を導入すべきであること。
③
大臣認定制度は告示に基づく制度であり、
「公益法人に対する検査等の委託等に関する基準」
(1996年9月に閣議決定)からみて制度の改正が必要であること。
の以上3点を理由に大幅に見直しをされることになりました。
この見直しを受けて、同年に大臣認定制度は廃止24され、民間によるBS779925を取り入れた情
報セキュリティマネジメントシステム(ISMS)の認証制度となりました。また、制度の移行に
よりこれまで活用されてきた認定基準も同じく廃止されることとなりました。
4.3.3 情報システムの設備環境基準及び情報システムの設備ガイド
大臣認定制度の廃止に伴い、認定基準(設備基準及び運用基準)も同時に廃止されることとなり
ました。しかし、民間からの「一定の対策レベルを示すガイドラインを残してほしい」という要
望から、廃止された認定基準のうち、設備基準については社団法人
電子情報技術産業協会
(JEITA)によって引き継がれ、
「情報システムの設備ガイド(JEITA IT-1001)」として2002
年1月に制定されました。
2003年には、「情報システムの設備環境基準(JEITA IT-1002)」と「情報システムの設備
ガ イ ド ( JEITA ITR-1001A 26 ) 」 が 制 定 さ れ 、 そ れ ぞ れ JEITA IT-1002A と 、 JEITA
ITR-1001Cに改訂され、現在に至っています。
4.3.4 JQA情報システム及び関連設備の運用基準
前述の大臣認定制度の廃止に伴い、廃止された認定基準のうち、運用基準はJQAによって引き継
がれ、2009年4月、「JQA情報システム及び関連設備の運用基準」として制定されました。
23
24
25
26
現 一般社団法人 情報サービス産業協会(JISA)
2000年7月の通産省告示第471号による。
現 ISO/IEC 27001等
2006年5月、JEITA ITR-1001Bに改訂。
- 67 -
4.3.5 情報システム安全対策適合証明制度
2009年からJQAは「情報システム安全対策適合証明制度27」を実施しています。「情報システ
ム安全対策適合証明制度」の中には保管センター向けの「保管センター安全対策適合証明制度」、
リサイクル処理センター向けの「リサイクル処理センター安全対策適合証明制度」、データセン
ター向けに実施している「データセンター安全対策適合証明制度」があります。
中でもデータセンター安全対策適合証明制度は、廃止された大臣認定制度の認定基準であった
「情報システムの設備環境基準」と「JQA情報システム及び関連設備の運用基準」を使用した制
度になっています。
データセンター安全対策適合証明制度の「基準・認証制度」としての構成は次のようになってい
ます。
規格・基準:「情報システムの設備環境基準(JEITA IT-1002A)」
「金融機関等コンピュータシステムの安全対策基準28」
「JQA情報システム及び関連設備の運用基準」
適合証明機関: 一般財団法人 日本品質保証機構(JQA)
「金融機関等コンピュータシステムの安全対策基準」については「4.5.3
金融・信販分野の基
準・ガイドライン」にて詳しく解説します。
このデータセンター安全対策適合証明制度は、
・「情報システムの設備環境基準(JEITA IT-1002A)」と「JQA情報システム及び
関連設備の運用基準」による適合証明
・「金融機関等コンピュータシステムの安全対策基準」の設備基準[Ⅰ.コンピュータセ
ンター] と「JQA情報システム及び関連設備の運用基準」による適合証明
の2種類で実施されています。
この制度により発行される適合証を利用することで、データセンター事業者は、上記の基準に適
合したデータセンター設備であることが証明でき、各種災害に強いデータセンター設備であるこ
ともデータセンター利用者に対してアピールできる上に、RFPの回答作業を圧縮することができ
ます。
27 保管センター向けに「保管センター安全対策適合証明制度」、リサイクル処理センター向けに「リサイクル処理セン
ター安全対策適合証明制度」がある。
28 設備基準[Ⅰ.コンピュータセンター]
- 68 -
4.4 その他のデータセンターの規格・基準等
ここまで紹介してきた制度に用いられている基準・規格は標準化団体や行政等が基点となって策
定されてきたものですが、これらの他に業界団体や、民間企業によって策定された規格・基準等
も存在しています。本節ではそういった規格・基準について紹介します。
4.4.1 JDCC データセンターファシリティスタンダード
日本の実情に即した日本独自のデータセンターにおけるファシリティスタンダードを目指して、
日本データセンター協会(JDCC)が策定したのが「データセンター ファシリティ スタンダー
ド」(以下、JDCC-FS)です。JDCC-FSは日本において大きな影響を持つFISC基準やJEITA
基準といった既存のファシリティ基準との整合を考慮するとともに、Uptime TierやTIA-942と
い っ た 外 国 規 格 、 ASHRAE ( American Society of Heating, Refrigerating and
Air-Conditioning Engineers:米国暖房冷凍空調学会)やIEEE(The Institute of Electrical and
Electronic Engineers:米国電気電子学会)のガイドラインを参照して、独自のティアレベルを
構成しています(図 18 参照)。
JDCC-FSのベースとなった、TIA-942 AppendixGで紹介されるTierはグローバルな実情に合
わせて作成されたファシリティ基準であり、日本の実情が考慮されていないという問題を持って
いました。例えば、Tier では電源インフラに対する基本的な考え方として、自家発電設備をメイ
ン(Primary)と考え、商用電源はあくまで自家発電設備のバックアップであると位置付けてい
ます。対して、日本の商用電源は世界最高レベルの信頼性を誇っており、日本の実情を考慮した
場合、商用電源がメインであり、自家発電設備は商用電源のバックアップと考えることが妥当と
されました。他にも日本製品の品質の高さ(故障率の低さ)の考慮や、耐震に対する規定が必要
である、といった課題がありました。
JDCC-FSでは、データセンターのファシリティに求められる信頼性確保に対して、最低限必要
と考えられる項目「基準項目」と、信頼性確保のために採用が望まれる項目「推奨項目」に分け、
規定しています。JDCC-FSに基づいてティアレベルの宣言を行うには、全ての任意のティアレ
ベルにおいて「基準項目」を満足させることが必要であるとされている一方、床下高さや電源容
量といった、信頼性にあまり関係のない項目については推奨項目とされます。推奨項目ついては
全ての基準を満足させる必要はなく、各データセンターが求める信頼性に応じ、必要と考える基
準を任意に選択してよいものとしています。
また、JDCC-FSでは多様化するデータセンターの形態に対応するため、データセンター全体を
一つのティアレベルととらえずに、同一センター内のサーバー室ごとに異なるティアレベルを設
定する「マルチティア データセンター」に対応することも可能としています。
JDCC-FSの特徴的な点として、以下の3つの特徴的なの評価項目があります。
- 69 -
● 地震リスク評価
データセンターの敷地が持つ地震危険度や地盤の安定性、設備の耐震性といった地震リ
スクに対する地震PML29・建築基準法 新耐震基準を用いた総合的評価。
● ファシリティリスク評価
データセンター専用ビルかどうか。あるいは、セキュリティや通信ネットワーク、ファ
シリティレベルに対する評価。
● 運営管理リスク評価
データセンターの管理体制や運用マネジメントに対する評価。
図 18 JDCC-FSの構成
4.4.2 Uptime Institute “Tier Performance Standard”
米国では民間団体であるUptime InstituteがTier Performance Standardsと呼ばれる情報シ
ステムの稼働信頼性に関する基準(Tier:階層)と、データセンターの格付けサービスを提供し
ています。Tier Performance Standardsでは、データセンターに要求されるパフォーマンス・
レベルに合わせ、施設要件を4つの階層(Tier1-4)に分類しています。Tierが公開している基
準は複数あり、「Data Center Site Infrastructure Tier Standard: Topology」ではデータセ
ンター設備の稼働信頼性を、「Data Center Site Infrastructure Tier Standard: Operational
Sustainability」ではデータセンター運用の稼働信頼性を記述しています。
29 地震による予想最大損失額(Probable Maximum Loss)
- 70 -
4.4.3 ANSI/TIA-942
ANSI/TIA-942「Telecommunications Infrastructure Standard for Data Centers」は米
国TIA(Telecommunications Industry Association)が作成したデータセンターの建築設計
とネットワーク配線・設備に関して規定した規格です。この規格には様々な付属書(Appendix)
が 付 属 し て い ま す 。 そ の 中 で も AppendixG は Uptime Institute の Tier Performance
Standardsをベースとして、そのTierレベルを満たすためにはデータセンターをどのような設計
にすればよいのか解説したドキュメントなっています。
Uptime Instituteの公開している基準では本書で扱う範囲のデータセンターのセキュリティに関
しての言及はありませんが、ANSI/TIA-942 AppendixGではアクセス制御や画像監視システ
ム、TEMPEST対策等のセキュリティに関する記述が含まれています。
4.4.4 ASPIC クラウドサービスの安全・信頼性に係る情報開示指針
特定非営利活動法人 ASP・SaaS・クラウドコンソーシアム(以下、ASPIC)では総務省と合
同で「ASP・SaaS普及促進協議会」を設立しASP・SaaS利用者の観点から、これらのサービ
スの安全・信頼性に係る情報を利用者に適切に開示させるための情報開示指針「クラウドサービ
スの安全・信頼性に係る情報開示指針」を策定しています。
この「クラウドサービスの安全・信頼性に係る情報開示指針」は
-「ASP-SaaSの安全・信頼性に係る情報開示指針」
-「IaaS-PaaSの安全・信頼性に係る情報開示指針」
-「データセンターの安全・信頼性に係る情報開示指針」
の3つの指針から構成されています。
これらの情報開示指針に関しては、一般財団法人マルチメディア振興センターを認定機関として
情報開示項目の認定制度である「ASP・SaaS安全・信頼性に係る情報開示認定制度」が実施されて
います。
なお、ASPICではこの「データセンター情報開示指針」における開示項目をわかりやすく解説した
「データセンター利用ガイド」を作成、公開しています。
- 71 -
4.5 分野ごとの基準・ガイドライン
近年、様々な分野においてデータセンターの利用が進んでいます。その要因として、データセン
ターの利用者となる企業等の抱える情報システムのセキュリティの確保という課題があり、これ
を実現するベストプラクティスとデータセンターの利用が選択されている、という側面がありま
す。
こうした情報セキュリティへの要求が求められるようになってきた大きな要因には、2003年に
成立し、2005年から全面施行された個人情報保護法があります。同法では、第20条において、
個人情報保護のための安全管理措置について記述されています。
法第20条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個
人データの安全管理のために必要かつ適切な措置を講じなければならない。
実際の「安全管理措置」の要求については、多くの分野の管轄官庁等が、様々な個人情報保護法
に対するガイドラインを発行30しており、このガイドラインの中で具体的な要件等が記述されて
います。企業等において、こうしたガイドラインに準じた安全管理措置を講じていなかった場合、
個人情報保護法違反に問われる、さらには、社会から個人情報を適切に取り扱っていない企業と
して認識され、様々なレピュテーションリスクにさらされる恐れがあります。
このような背景から、2000年代後半、多くの企業が個人情報保護法のガイドラインを元にして、
情報セキュリティポリシーを定め、情報セキュリティポリシーに従って個人情報を扱い、また、
情報システムの構築、運用をする、といった個人情報保護対応を実現してきました。
そして、データセンター事業者は、このトレンドに合わせて一般的な個人情報保護法等で要求さ
れるファシリティをサービスとして提供することで、企業が個人情報保護の為に払うコストを軽
減しました。企業等でもまた、個人情報を取り扱う情報システムの構築、運用において、データ
センターのサービスを利用することで、適切なコストと適切なセキュリティのバランスを実現で
きると認識するようになりました。
こうした動きに対応し、近年ではデータセンターの提供するハウジング、ホスティング、クラウ
ドサービス等の利用を前提とした様々な分野のガイドライン・制度が整備されています。
本節では、こうした分野向けのガイドラインの例を示します。
4.5.1 医療分野の基準・ガイドライン
医療分野に関連した情報システムやサービスは、従来、医療機関内において構築、運用されてき
ました。これは、医療機関における最も重要な情報である医療記録を医療機関外に置くことや、
30 http://www.p-mark.info/guideline/
- 72 -
その扱いに大きな制約があり、実質的に、データセンター等の利用が困難だったことがあります。
この制約は、医療記録が紙文書だった時代の名残でもあったのですが、厚生労働省が2010年2
月1日に発行した『「診療録等の保存を行う場所について」の一部改正について』通知により、
大幅に緩和されることになりました。
通知では、
『外部保存を受託する事業者による不正な利用を防止するための措置については、
「医
療情報システムの安全管理に関するガイドライン」第8章を遵守すること』と記述されています。
この「医療情報システムの安全管理に関するガイドライン」は、医療情報を扱う医療機関、医療
従事者等向けに書かれたガイドラインなのですが、これは、個人情報保護法の医療等分野におけ
る、個人情報の安全管理措置のためのガイドラインでもあります。従って、医療機関は、個人情
報遵守のために、このガイドラインに準じた個人情報の安全管理措置を講じることが求められて
います。
「医療情報システムの安全管理に関するガイドライン」は、医療関係者が遵守するガイドライン
として記述されていますが、医療等に関連するサービスプロバイダーや、情報処理事業者向け等
のガイドラインも発行されています。
表 4 医療情報の外部保管に関係するガイドライン
ガイドライン名
発行日
発行者
対象、内容
「医療情報システムの安全管理
2010/2
厚生労働省
医療従事者向け
に関するガイドライン」
(4.1版)
「ASP・SaaS 事業者が医療情
2010/12
総務省
ASP・SaaS事業者向け
報を取り扱う際の安全管理に関
(1.1版)
経済産業省
情報処理事業者向け
するガイドライン」
「医療情報を受託管理する情報
2012/10
処理事業者向けガイドライン」
(改定版)
上記のガイドラインの中で、2013年現在、データセンターのサービスへの要件が一番詳細に記
述されているのは、2012年10月に改定31された「医療情報を受託管理する情報処理事業者向け
ガイドライン」になります。このガイドラインでは、データセンターの利用、選択について以下
の様に記述されています。
医療情報システムを設置する場所については、情報処理事業者の管理外にある者の立ち入りを
抑制することのできる、情報処理事業者が専有する建造物あるいは領域(自社専有のデータセ
ンター、外部データセンター事業者のハウジング領域のうち独立した領域等)が望ましいが、
現実的には外部事業者の運営するデータセンター内にサーバーラック等の設置場所を借りて利
用する場合及び外部事業者の運営するサーバー環境(専有サーバー、 仮想プライベートサーバ
31 第1版は2008年7月策定
- 73 -
ー等)を利用する場合も多いと考えられる。そのような場合には、 情報処理事業者が専有する
建造物あるいは領域と同等の安全性を確保するため、本ガイドラインの物理的安全対策に準拠
したデータセンター、サービス事業者を選択することが求められる。
いずれの場合も、扱う情報として、法令により作成や保存が定められている文書を含む場合に
は、医療情報システム及び医療情報が国内法の執行が及ぶ範囲にあることを確実とすることが
必要である。また、法令により作成や保存が定められていない文書であっても、個人情報保護
に十分に留意して適切な管理を行うことが必要である。
以上の様に、このガイドラインでは、データセンターの利用においてハウジングサービス、ホス
ティングサービスの利用を念頭においた記述が成されています。ハウジングサービスにおいては、
専用サーバー室だけではなく、共有サーバー室内のラックの利用が念頭に置かれています。
外部事業者が運用管理するデータセンターに医療情報システムを設置する場合には、以降で述
べる物理的安全管理策の全てに準拠することは難しい状況が考えられる。その場合には、専有
するサーバーラック等をセキュリティ領域と考え、不足する物理的安全管理策に相当するその
他の対策を施すことが求められる。
このガイドラインでは、第7章に情報処理事業者が遵守すべき「安全管理策」が記述されていま
すが、実質的には「情報処理事業者が選択するデータセンター」が遵守すべき安全管理策が記述
されています。ここでは、「安全管理策」は、「実施すべき安全管理策」「推奨される安全管理
策」のふたつのレベルで記述されています。7章の目次を以下に示します。
7 医療情報を受託管理する情報処理事業者における安全管理上の要求事項
省略
7.5 物理的安全対策
7.6 技術的安全対策
7.7 人的安全対策
7.8 情報の破棄
データセンターの提供するハウジングサービスについての要求は、主に「7.5 物理的安全対策」
に記述されています。また、「ホスティングサービス」についての要求は、主に「7.6 技術的安
全対策」に記述されています。「ホスティングサービス」においても、「7.5 物理的安全対策」
は必要になります。
以下に「7.5 物理的安全対策」の目次を示します。
7.5 物理的安全対策
7.5.1 医療情報処理施設の建物に関する要求事項
- 74 -
7.5.2 医療情報処理施設への入退館、入退室等に関する要求事項
7.5.4 情報処理装置の廃棄及び再利用に関する要求事項
7.5.5 情報処理装置の外部への持ち出しに関する要求事項
「医療情報処理施設」は、医療情報が取り扱われる「情報処理装置及び配置される物理的施設(デ
ータセンター、サーバーラック等)を含んだ情報処理施設全体を意味する」であり、選定された
データセンターということになります。
4.5.2 政府分野の基準・ガイドライン
政府機関もまた、データセンターを積極的に利用する組織になりつつあります。現在のところ、
政府機関が利用する明確なデータセンター利用のガイドラインは見当たりません。しかし、ほと
んどの政府機関は、「情報セキュリティポリシー」を定めていて、その「情報セキュリティポリ
シー」のひな型になっているものに内閣官房情報セキュリティセンター(NISC)が発行してい
る「政府機関の情報セキュリティ対策のための統一管理基準」と「政府機関の情報セキュリティ
対策のための統一技術基準(以下、統一技術基準)」等によって構成される「政府情報セキュリ
ティの為の統一基準群(以下、統一基準群)」があります。こうした文書は、政府府省庁のみな
らず、多くの独立行政法人の「情報セキュリティポリシー」のひな型としても利用されています。
安全管理策に関する具体的な要件は、「統一技術基準」の方に記述されていますが、2012年(平
成24年)に発行された「平成24年度版」では、「情報取扱区域」という物理的な場所の概念(人
の運用も含む)と、そのセキュリティレベルを規定する「情報取扱区域のクラス」という概念が
導入されています。
この「情報取扱区域」は、本ガイドブックにおけるサーバー室等の「セキュリティ区画」にあた
ります。政府の情報を扱うサーバー等は、「クラス3」の「情報取扱区域」が要求されており、
政府機関等の情報システムを扱うデータセンターのハウジングサービスに利用するサーバー室
は、この「クラス3」の要求を満たす必要があると考えられます。
「統一技術基準」の目次の中で特に「データセンター」に関係が深いものを以下に示します。
第2.1部 総則
第2.2部 情報セキュリティ要件の明確化に基づく対策
2.2.1 情報セキュリティについての機能
2.2.1.1 主体認証機能
2.2.1.2 アクセス制御機能
2.2.1.3 権限管理機能
2.2.1.4 証跡管理機能
2.2.1.5 保証のための機能
- 75 -
2.2.1.6 暗号と電子署名(鍵管理を含む)
第2.3部 情報システムの構成要素についての対策
2.3.1 施設と環境
(省略)
「2.2.1 情報セキュリティについての機能」の中で、「2.2.1.1 主体認証機能」「2.2.1.2 アク
セス制御機能「2.2.1.3 権限管理機能」「2.2.1.4 証跡管理機能」は、入退出等の物理的なアク
セス制御にも適用されると考えられます。データセンターの要件として一番関係があるのは、
「第
2.3部 情報システムの構成要素についての対策」「2.3.1 施設と環境」になります。
以下に「2.3.1 施設と環境」での記述を示します。
情報取扱区域のクラス別管理及び利用制限の対策基準として、立ち入る者を制限するための管
理対策、立ち入る者を許可する際の管理対策、訪問者がある場合の管理対策、設置する設備の
管理対策、作業がある場合の管理対策、立ち入る者を制限するための利用制限対策、物品の持
込み、持ち出し及び利用についての利用制限対策、荷物の受渡しについての利用制限対策並び
に災害及び障害への対策に関する遵守事項を定める。
以下に「2.3.1 施設と環境」での目次を示します。
(1)
立ち入る者を制限するための管理対策
(2)
立ち入る者を許可する際の管理対策
(3)
訪問者がある場合の管理対策
(4)
設置する設備の管理対策
(5)
立ち入る者を制限するための利用制限対策
(6)
物品の持込み、持ち出し及び利用についての利用制限対策
(7)
荷物の受渡しについての利用制限対策
(8)
災害及び障害への対策
統一基準群においては、これらの管理対策の具体的な例と情報取扱区域のクラスを対照した表を
「別表1 情報取扱区域のクラス別管理」として提供(に一部抜粋)していて、データセンター
の実施している管理策と比較することでデータセンターの提供しているセキュリティを理解す
る為の参考とすることが出来るドキュメントとなっています。
- 76 -
表 5 政府情報セキュリティ統一基準群 別表1(抜粋)
4.5.3 金融・信販分野の基準・ガイドライン
財団法人 金融情報システムセンター32(以下、「FISC」という。)は、金融機関等のコンピュ
ータシステムにおける安全対策は第一義的には金融機関等の自己責任に基づいて実施すべきと
しながらも、金融機関等のよりどころとなるべき共通の安全対策基準として、「金融機関等コン
ピュータシステムの安全対策基準」を1985年12月に制定し、同基準の解説書を1986年3月に
発行しました。
この基準は、1984年8月に全面改訂された「電子計算機システム安全対策基準」を参考に、設
備基準、運用基準、技術基準の3つの基準を含んでいます。これらのうち、設備基準はコンピュ
ータセンターの安全対策設備基準と営業店33の安全対策設備基準から構成されていました。当初、
基準と解説書は、別々に発行されていましたが、2003年10月に発行された第6版から「金融機
関等コンピュータシステムの安全対策基準・解説書」として1冊に纏められました。
FISCは、「金融機関等コンピュータシステムの安全対策基準・解説書」を制定していますが、こ
の基準に基づく検査等を実施していません。しかし、金融庁が公表する金融検査マニュアル(預
金等受入金融機関に係る検査マニュアル)のオペレーショナル・リスク管理態勢の確認検査用チ
ェックリストの別紙2(Ⅰ.経営陣によるシステムリスク管理態勢の整備・確立状況)において、
『検査官は、システムリスク管理態勢に問題点が見られ、さらに深く業務の具体的検証をするこ
とが必要と認められる場合には、「金融機関等コンピュータシステムの安全対策基準・解説書」
(財団法人金融情報システムセンター編)等に基づき確認する。』と記載があることから、金融
32 現 公益財団法人 金融情報システムセンター(FISC)
33 後に、本部・営業店等と改称。さらに流通・小売店舗等との提携チャネルとして、コンビニATMを追加。
- 77 -
庁の検査官によって安全対策の実施状況を確認される場合があります。
銀行分野と並んで高いセキュリティを要求する分野にクレジットカードサービス等の信販分野
があります。2000年代インターネットにおけるクレジット決済が普及するなか、クレジット決
済に利用する「カード会員データ」を、インターネットの決済を行うeコマース等から不正に取
得するといった事件が頻発しました、そういった背景の下、代行決済事業者の団体Payment
Card Industry(PCI)から「Payment Card Industry データセキュリティ基準(PCI—DSS)」
が発行されました。
「PCI-DSS 要件とセキュリティ評価手順バージョン 1.2」が、2008年10月に発行され、要
件とセキュリティ評価手順バージョン 2.0」が2010年10月に発行されています。
PCI-DSSは、「カード会員データ」を適切に保護するための安全管理策が記述されています。以
下にPCI-DSSの記述されている安全管理策の目次を示します。
○安全なネットワークの構築と維持
要件 1: カード会員データを保護するために、ファイアウォールをインストールして構成を維
持する
要件 2: システムパスワードおよび他のセキュリティパラメータにベンダー提供のデフォルト
値を使用しない
○カード会員データの保護
要件 3: 保存されるカード会員データを保護する
要件 4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
○ぜい弱性管理プログラムの整備
要件 5: アンチウイルスソフトウェアまたはプログラムを使用し、定期的に更新する
要件 6: 安全性の高いシステムとアプリケーションを開発し、保守する
○ぜい弱性管理プログラムの整備
○強固なアクセス制御手法の導入
要件 7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件 8: コンピュータにアクセスできる各ユーザーに一意の ID を割り当てる
要件 9: カード会員データへの物理アクセスを制限する
○ネットワークの定期的な監視およびテスト
要件 10: ネットワーク資源およびカード会員データへのすべてのアクセスを追跡および監視
する
(省略)
PCI-DSSは、その名前のとおり「カード会員データ」というデータのセキュリティに注目した安
全管理策の基準になりますが、「カード会員データ」を処理する情報システム、この情報システ
ムへの物理的なアクセス制御についても記述されています。この「物理的なアクセス制御」が記
述された「要件 9: カード会員データへの物理アクセスを制限する」の項目を以下に示します。
- 78 -
要件 9: カード会員データへの物理アクセスを制限する
9.1
適切な施設入館管理を使用して、カード会員データ環境内のシステムへの物理アクセスを制限
および監視する。
9.2
カード会員データにアクセス可能なエリアでは特に、オンサイト要員と訪問者を容易に区別で
きるような手順を作成する
9.3
すべての訪問者が次のように取り扱われることを確認する。
9.1.1
ビデオカメラアクセス管理メカニズムを使用して、機密エリアへの個々の物理アクセスを監視
する。収集された データを確認し、その他のエントリと 相関付ける。法律によって別途定め
られていない限り、少なくとも3カ月間保管する。
(省略)
4.5.4 自治体分野の基準・ガイドライン
自治体においても、ホームページの公開や電子申請、電子入札等の電子自治体システムの為のサ
ーバーの設置場所としてデータセンターの活用が進んでいます。
こうした流れを受け、総務省は2002年にデータセンターの利用も含めたITシステムのアウトソ
ーシングプロジェクトの進め方、契約の方法、SLA 等に関する指針を示すことを目的とする「公
共ITにおけるアウトソーシングに関するガイドライン」を公表しました。このガイドラインで
はITアウトソーシングに向けて検討すべき内容契約の進め方といった基本的な項目に加えて、利
用するサービスの形態選定、システム要件設定そして具体的なSLAの検討等の解説が用意されて
いて、自治体のみならず一般のITユーザー企業としても参照可能なドキュメントとなっています。
また、国内の全地方公共団体(都道府県、市町村)間の コミュニケーションの円滑化、情報の
共有による情報の高度利用を図ることを目的として構築された総合行政ネットワーク(Local
Government Wide Area Network)(以下、LGWAN)は民間のデータセンターの活用も想
定していて、ASPサービスからコロケーションサービス(ファシリティサービスと呼称)まで様々
なサービスの利用が可能になっています。但し、データセンターからこのLGWANに接続し活
用・サービス提供を行う場合、データセンター事業者及び利用者はLGWAN-ASPサービス34と
して地方自治センター(以下、LASDEC)の参加資格審査、登録を受ける必要があります。
LGWAN-ASPサービスは、ファシリティサービス、通信サービス、ホスティングサービス、ネ
34 LGWAN-“ASP”サービスという名称になっていますが、サービスにはホスティング、コローケ―ションサービスも
含まれています。
- 79 -
ットワーク層及び基盤アプリケーションサービス、アプリケーション及びコンテンツサービスの
5種類のサービスに分けられ、提供するサービスの種類ごとにそれぞれLASDECの審査、登録
を受ける必要があります。
データセンター事業者の受けるLGWAN-ASPファシリティサービスの登録では以下の表の項目
についての適合が求められることに加えて、公的基準等の準拠としてISMS適合性証明制度、若
しくは相当の基準を満たし、その認証等を取得することを求めています。
(1) 建物及び室は、火災、水、落雷、電界、磁界及び空気汚染の被害を受ける恐れのない場所
に設けること。
(2) 設置場所であることの所在を明記しないこと。
(3) 外部及び共用部分に面する窓は、防災、防犯の措置及び外光による影響を受けない措置を
講ずること。
(4) 出入口は、不特定多数の人が利用する場所を避けるとともに、入退室の管理を行うこと。
(5) 建物及び室は、建築基準法に規定する耐火性能を有すること。
(6) 建物及び室は、水の被害を防止する措置を講ずること。
(7) 建物及び室の内装、什器・備品は、不燃、防炎性能を有する材料を用いるとともに静電気
による影響を防止する措置を講ずること。
(8) 建物及び室は、避雷設備、火災報知設備、消火設備、非常照明設備、避難器具、小動物被
害防止設備等の建築設備を設置すること。
(9) 設置場所は、一般の事務室、居室とは分離した独立した部屋であること。
(10) 情報漏えい、記録媒体の盗難防止措置を講ずること。
(11) 機器の所要電力を安定的に供給できること。LGWAN に接続するための専用機器(以
下「LGWAN 接続ルーター」という。)を設置する場合は、供給電源として、単相100V の電
圧並びにLGWAN 接続ルーターの機器諸元に示す所要電力を安定的に供給できること。
(12) 電源設備は、専用の分電盤又は専用の電源配線によるコンセントを設けること。
(13) 機器の動作環境に配慮し適切な空気調和設備を設置すること。LGWAN 接続ルーター
を設置する場合は、動作温度及び湿度は0℃から40℃、湿度は10%から85%の範囲で安定的に
保持するとともに結露が発生しない動作環境であること。
(14) 空気調和設備は、防災、防犯及び水漏れ防止の措置を講ずること。
(15) 建物及び室の人の出入り、防災設備及び防犯設備の作動、電源設備及び空気調和設備の
稼動状況について適切な監視が可能であること。
(16) 建物及び室は地震の被害の恐れのある場所、位置を避けて設置すること。
(17) 建物は、建築基準法に規定する耐震構造とすること。
(申請書類には、建物の竣工年度と構造に関しての記載が求められています。)
(18) 開口部、内装、設備、什器・備品は、落下、転倒及び振動等地震による被害を防止する
措置を講ずること。
(19) 日本国の法律が及ぶ範囲に設置すること。
- 80 -
また、表の要求項目に記載はありませんが、登録申請書類には具体的なスペックの入力を求めて
いる項目があります。例えば「(4)出入口は、不特定多数の人が利用する場所を避けるととも
に、入退室の管理を行うこと。」の項目では(ア)入退館及び入退室の認証方法、(イ)ゲスト
の入退館及び入退室の管理方法、(ウ)入退館及び入退室の監視方法
の3項目に対してチェッ
クが求められています。
なお、LGWAN-ASPファシリティサービスを提供する事業者を利用したい場合、登録を受けた
事業者はLASDECホームページ35から確認することができます。
35 https://www.lasdec.or.jp/lgw/asp/lgwan-asp_fa_servicelist.
- 81 -
5. データセンターのセキュリティを実現するシステム・サービス
本章では、データセンター事業者が導入することで、そのデータセンターの基本的な機能として
セキュリティを提供する様々なシステムと、データセンターの利用者へデータセンターがオプシ
ョンサービスとして提供するサービスの一つとしての「ネットワークセキュリティサービス」に
ついて紹介します。
この章ではセキュリティを提供するシステムの例として「セキュリティゲート」「ラック」「入
退管理システム」「本人認証システム」「画像監視システム」「火災検知システム」「侵入検知
システム」そして、それらを統合して監視する「統合監視システム」を取り上げ、データセンタ
ーに納入しているメーカー・ベンダーの視点からセキュリティを実現する仕組みや特徴、性能の
測り方から最新の技術トレンドまで幅広く紹介しています。
加えて、データセンターが利用者へオプションとして提供するサービスの例として「ネットワー
クセキュリティサービス」について、データセンターで実際にサービスを提供している事業者の
目線からサービスの仕組み、見極め方を紹介しています。
- 82 -
5.1 セキュリティゲート
5.1.1 セキュリティゲートの機能
さまざまな手法を組み合わせるセキュリティの管理策の中にあって、“共連れ防止”や“不正侵
入”対策として特に入退館の規制・許可の手段として用いられるセキュリティゲートですが、本
来警備業務の効率化・省力化として始まったことは意外にも知られていません。セキュリティゲ
ートの起源としての一説には戦争により傷ついた人々の雇用対策として行われていた門の立哨
業務の一部(入場の規制・許可、入場者の権限の確認、入場の記録等)が時代と共に機械化され
たことが始まりとも言われています。近年ではさらに、立哨の実現していた機能に近づけるため
の“伴連れ防止”や“飛び越え防止”機能の追加や、人手では実現が困難であったような正確な
“入館者の権限の確認” “入退館記録”を実装するシステムとの連携によって、厳密な本人認
証や、早く・正確な入退館記録といった機能を実現しています。
5.1.2 セキュリティゲートの種類
日本ではセキュリティゲートと言うと、金属探知機や腰高のフラップが開閉する自動改札型ゲー
トが主に想像されますが、セキュリティゲートには表 6に示されるように使用目的別に幾つかの
種類が存在しています。
表 6 ゲートの種類と適した設置場所
適した設置場所
ゲート種類
ハーフハイト
セキュリティレベルが比較
仕様
的低い場所。不特定多数の
人が利用する場所。(オフ
ィスビル、公共施設、官公
トライポットバリア
フラッパーゲート
庁等)
(扉高900/1800mm)
フルハイト
データセンターのようなセ
仕様
キィリティレベルが比較的
高い場所。特定の人しか利
用しない場所。無人警備を
必要とする場所。
ターンスタイルゲート インターロックゲート
イメージ提供:日本カバ
イメージ提供:日本カバ
ゲートの種類は大きく分けて、腰高までのデザインの“ハーフハイト仕様”、背の高いデザイン
の“フルハイト仕様”に分類されます。背の高いフルハイト仕様のゲートは主に無人管理下にて
運用されますが、腰高のゲートは乗越えや潜り抜けが出来てしまう為、有人管理下(主に受付や
- 83 -
警備員のサポート)で運用することが望ましいと言えます。
また近年ではデザイン性に富んだ製品も多くなり、例えばフラップ部分やゲート本体に強度のあ
る透明な素材を用いたもの、LEDを埋め込んだものなど、セキュリティゲートとしての本来の目
的を果たしながらも環境景観との調和を実現した製品も登場しています。
5.1.3 セキュリティゲートの配置
高額なセキュリティゲートであっても、単に設置するだけでセキュリティ上のリスクを低減でき
ることはありません。すなわち、セキュリティゲートの導入だけでは物理的なセキュリティ対策
は実現されないと言う事に留意する必要があります。
まず、前提としてセキュリティゲートを活用してリスクを低減する為には、セキュリティを検討
する際にゾーニングが正しく実現されていることが必要になります。ゾーニングで厳密にセキュ
リティ区画構成が管理出来ることで、初めてアクセス権を与えられた人のみがセキュリティ区画
に入る状態の実現が出来ます。セキュリティゲートはこのゾーニングの一部を構成する物ですの
で、ゲートの受け持たない部分からの人の侵入までは防げません。すなわち、いくら高度なセキ
ュリティゲートを導入しても、ゲートと同等のセキュリティ境界を持って全体をゾーニングしな
ければセキュリティゲート以外のところからの侵入を招くだけであるという点に留意する必要
があります。
また、画像監視システムは事後の起こったことに対する対応のためには有効ですが不正侵入や共
連れ行為に対する事前の物理的な規制としては有効ではありませんので、そういった物理的規制
が必要となる箇所においてはセキュリティゲートの設置や警備員の配置が有効な手段となりま
す。
一例としてセキュリティ区画別に適したタイプのゲートを配置すると図 19のようになります。
図からもわかるようにゲートと一言に言っても様々なタイプの物が存在していて、使用場所や目
的に応じて選択肢が変わります。データセンター全体のセキュリティプランニングと整合のとれ
たゲートの選択が必要となります。
(データセンター外)
・・・
フルハイト
回転ゲート
敷地区画
エントランス区画
検査区画
•敷地
•敷地内道路
•駐車場(屋外)
•正面来客口
•駐車場(屋内)
•従業員出入口
•手荷物検査室
ロードバリア
(車両用)
トライポッドバリア
重要区画
共有区画
•サーバー室
•重要設備室
(前室を含む)
•オフィス
ハーフハイト
フルハイト
フラッパーバリア フラッパーバリア
(NW/空調機械/電気設備室等)
インターロックゲート
イメージ提供:日本カバ
図 19 セキュリティゲートの配置例
- 84 -
5.2 ラック
データセンターでの「ラック」とはサーバーやネットワーク機器等のEIA規格に準拠した情報
通信機器を搭載することが出来るキャビネットのことを指します。この節では、データセンター
のサービスの顔であり、利用者の専有区画を守る最後の砦でもあるラックに求められる「性能」
について紹介します。
5.2.1 ラックの吸排熱性能
可用性の観点やきょう体強度とのトレードオフの関係から、ラックの吸排熱性能はラック内の機
器のセキュリティにとって重要な意味合いを持ちます。ラックに搭載する情報通信機器は稼動に
合わせて多くの熱を発しますが、この熱を抑えるために情報通信機器は冷気を吸い、内部の部品
に冷気を当て(部品の熱を奪った)熱気を排気する構造となっています。その為、この熱気がラ
ック内に留まると、情報通信機器の動作に影響を与え最悪の場合には機器が停止してしまうこと
から、情報通信機器を収納するラックには情報通信機器がストレス無く吸気と排気が行える構造
が求められます。
ラックの吸排熱方法には大きく分けると2つあり、ラック底面から冷気を吸い天井に設けたファ
ンから強制的に排気を行う方法と、無数の孔が空けられたパンチング材やメッシュ材を採用した
扉から吸気(前面扉)排気(後面扉)をさせる方法があり、排熱性能はファンの数や配置、扉に
空けられた孔の面積の和とラックが設置されている環境の温度(特に吸気温度)によって変わり
ます。
排熱性能の評価方法としては「排熱計算」「熱流体解析」「排熱実証試験」等が挙げられます。
「排熱計算」はラックの有効放熱面積、周囲温度、機器発熱量、ラック内の許容温度から簡易的
に必要な放熱用の孔の大きさ(面積)やファンの風量を導き出すことが出来ますが機器の吸気や
排気を考慮することは出来ません。「熱流体解析」は諸条件をコンピュータに入力しシミュレー
ションを行うことによりラック内の温度や流速分布を知ることが出来、「排熱計算」より正確に
ラック性能の把握が可能となります。「排熱実証試験」は実際の設置場所や近い環境にラックを
設置し機器や擬似負荷を実装した試験を行うことから、より現実的な評価をすることが出来ます
がコストと時間が掛かります。
イメージ提供:河村電器産業
図 20 ラックの熱流体解析イメージ
- 85 -
5.2.2 ラックの強度性能
ラックの強度性能を知る指標の一つに耐震規格があります。この耐震規格については世界的に見
れば IEC規格に制定されたものがあり、日本では2011年1月にIEC規格を基にJIS規格
(JIS C6011-2・2011)が制定されました。他にも民間の規格が多数存在しており、よく採
用される耐震規格をまとめたものが表 7です。ラックメーカーは これらの何れかを用いて、
(あ
るいは独自の基準を決め)耐震性能を表現していることが多いです。
表 7 耐震規格の比較
IEC
61587-2
合否判定
評価基準
認定等無し
(推奨のみ)
日本キャビネット
工業会
NEBS
GR-63-CORE
米国内の地域
要求項目に対し
(ZONE)により
適合または不適合
3ランク
加震波形
人工地震波
実地震波
(阪神淡路、
釧路沖、他)
加震時間
50秒
各実地震波
継続時間
加震周波数
1~40Hz
成分
最大入力
1600gal
加速度
加震方法 1方向ずつ加震
制定
2000年12月
人工地震波
約30秒
3方向同時に加震
0.5~50Hz
(ZONE4)
1600gal
(ZONE4)
1方向ずつ加震
---
1995年10月
0.5~80Hz
800gal以上
日本品質保証機構
NTT
ファシリティーズ
要求項目に対し
適合または不適合
判定条件5項目に対し
それぞれ5ランク
実地震波
(エルセントロ、タフ
ト、
その他1波以上)
各実地震波
継続時間
1~40Hz
980gal以上
3方向同時に加震
1997年4月
(00年10月改訂)
人工地震波
40秒
0.5~50Hz
1200gal
(最大ランク)
3方向同時に加震
2002年7月
ラックメーカーの出す独自の耐震基準では耐震性能を比較する際に地震の強さ(被害の大きさ)
を表すのに、マグニチュードや震度階、速度や加速度(gal)の大きさが指標として使用されて
います。加速度が大きい程強い揺れになりますが、振れ幅の大きさや地震の持続時間、加震方法・
波形といった項目も重要な要素となります。また、評価基準や要求項目が異なれば やはり結果
が異なります。以上のことから異なる規格や基準、例えば NEBS(Bell core ZO
NE4)と阪神淡路地震波とを直接比較することは不可能です。従って、ZONE4の試験に耐
えたものが阪神淡路地震波に耐えられない、逆に、阪神淡路地震波に耐えた物が ZONE4で
は耐えられないというケースも有り得ます。
また、事例として1995年1月17日に発生した「阪神淡路大震災」と2008年6月14日に発生し
た「岩手宮城内陸地震」を比べると前者の加速度は891gal、後者の加速度は4,022galが
記録されましたが、「岩手宮城内陸地震」が約5倍もの加速度であったにもかかわらず被害はご
く小さかったと言われています。ここには震動周波数の相違が大きく関係しており、「阪神淡路
大震災」では建物の固有振動数と地震波の卓越振動数が一致したことで、共振現象を引き起こし、
それほど大きくない加速度でも甚大な被害を及ぼすことになりました。
これらのことから地震対策ではデータセンターの建屋において地震時に加わる揺れを軽減する
必要があり、実際に近年建設されているデータセンターの多くでは、建物自体の安全性から、ラ
- 86 -
ック収納機器の安全性までを一貫して保証する為に建物自体で免震構造を持たせています。こう
いった免震構造を持つデータセンター建屋内で用いられるラックに関しては地震の揺れ自体は
ラックに伝わらない為、耐震性能における保証荷重より、耐荷重性能における保証荷重の方が重
要になっています。
耐震性能が前後、左右、上下の各方向に規定の加速度を与えるというものに対して、耐荷重性能
は鉛直方向に1Gの加速度、他の方向には全く加速度を与えない、という試験方法になります。
ただ、免震構造の建造物であっても、地震時に加わる加速度はゼロではなく、5分の1、10分の
1に軽減された加速度が加わります。従って、耐荷重性能の値(荷重の重量)をそのまま適用す
るのは危険であり、ある程度の余裕(安全率)を持たせる必要があります。
5.2.3 ラックにおけるセキュリティ
ラックは前後の扉とそこに設けられた鍵、さらに天井・側面に設けたパネルによって外部や隣接
するラックから専有区画として区画されています。また、「1/2ラック」「1/4ラック」と
いった仕切られた分割ラックでは、分割スペース毎にパネルが設けられることにより区画されて
います。これらの扉やパネルの強度や固定方法はその専有区画を区画する上で重要な指標になる
ことから、ラック列の両側面のパネルにも鍵を設ける、あるいは、(利用者のセキュリティ区画
である)ラックの内側からネジで留めることにより、ラックの外部からのアクセスでは外れない
ようにする等の工夫がされています(分割ラックにおいても同様の工夫がなされている物があり
ます)。
一方で、将来の拡張性を確保する為、隣接するラック間のパネルの一部が取り外し可能になって
いる、あるいは開口部が設けられているラックも存在します。例えば、通常、ラック間の情報通
信機器をネットワークケーブルで繋ぐ際には一度ラックの底面(上面)へ線を出し、隣接するラ
ックの底面(上面)へ送りますが、これらのラックでは利用者の利便性を上げるためにラックの
側面にケーブル用の開口部が設けられています。この開口部は隣接するラックの利用者が同一で
あれば問題とはなりませんが、そうでない場合、隣接するラックの利用者が専有区画に侵入でき
てしまうためラック間の開口部には容易に開閉することが不可能な構造で、尚且つ隣接する双方
のラックからアクセスしなければ開閉が出来ない仕掛けにすることにより、区画内のセキュリテ
ィを保つ工夫がなされています。
また分割ラックは1本のラックを「1/2ラック」や「1/4ラック」といった単位で利用者が
共有することから、例えば、ネットワークケーブル及び電源ケーブルをラックの底面より入線す
る場合、それぞれの線が下段の利用者のスペースを通ることになります。そのため、このままで
は上段のラックの利用者の重要なネットワークケーブル及び電源ケーブルが下段の利用者の区
画内で無防備な状態になってしまうことから、図 21で示されるラックのように区画専用のケー
ブルダクトを設けセキュリティを確保する工夫がなされているものがあります。
- 87 -
通線ダクト
イメージ提供:河村電器産業
NDシリーズラック
図 21 分割ラックにおける通線ダクト
5.2.4 ラック内に対するアクセス制御
データセンターで採用されているラックの扉には錠が設けられているのが一般的です。多くのラ
ックの用いられる錠は、扉に取り付けられた取手が錠の操作によって固定-開放される構造にな
っていて、解錠することで取手を引き上げ、捻る動作が可能となり、これらの動作により扉を解
放することが可能となる仕組みになっています。ラックの鍵には大きく分けて汎用鍵と個別鍵の
2種類がありデータセンターではラック毎に個別鍵を採用するのが主流となっています。また個
別鍵の上位にはマスター鍵が設定されており、データセンター事業者が管理用に使用しています。
図 22 汎用鍵とマスター鍵の違い
汎用鍵に比べて個別鍵を採用すればセキュリティは増しますが、ラックの数と同数の鍵を用意し
なければならないというデメリットも生まれます。数台のラックであれば良いのですが、数十台
のラック相手の作業となると鍵束を持たなくてはならず、更にどの鍵でどのラックが開閉出来る
のかをラックのナンバーと鍵のナンバーを照合しながら開閉するため利便性が損なわれます。こ
うした問題を解決するためにラックのハンドル(取っ手)にダイヤル錠がビルトインされたもの
を採用するケースもあります、こちらの場合、ダイヤルナンバーの運用管理をデータセンター事
業者側で行うパターンと利用者側で行うパターンに分かれます。
- 88 -
最近では、物理的な鍵やダイヤル錠を用いずに電気的に取手の固定と開放を行う電子錠タイプの
ラックを採用するデータセンターが増えてきています。この電子錠の採用により、膨大な数の物
理的な鍵を管理するコストを削減することが可能になりました。また、電子錠の制御にも様々な
パターンがあり、単純に遠隔(管理センター等)から開閉を行うだけのものから、本人認証シス
テムとの連携、更に入退管理システムやログ管理と連携したシステム等、様々なシステムが登場
し、採用されるケースも目立ってきています。こうしたシステムを利用することにより、ラック
の扉の施錠状態監視やこじ開け等に対する警報機能といったセキュリティに関する機能だけで
なく、インターネットからの予約や監査時のログデータの活用等様々な新しい機能を利用者に提
供することが可能になってきています。
図 23 様々なタイプの鍵とその性質
- 89 -
5.3 入退管理システム
データセンターには施設の性格上、入館、入室に対して非常に厳しい管理を施すと同時に、デー
タセンターの利用者に対し十分な利便性を確保するといった、相反する要求が課されています。
入退管理に関わるシステムはその相反する条件を実現するセキュリティ上、最も重要ともいえる
システムです。本節ではその入退室管理システムに求められる機能と、その動向について紹介し
ます。
5.3.1 入退管理システムに求められる機能
入退管理システムでは、基本的な機能として誰が(WHO)、いつ(WHEN)、何処に(WHRER)
アクセスしたかを認識し、セキュリティゲートや施解錠機構に伝達し、証跡として記録する機能
を持っています。これらの機能を用いることで下記のような機能を実現することが出来ます。
-インターロック
サーバー室の前室等で、前室内にいる人間を確定し共連れを防止する為、入室後、入り口側出口
側の両方の扉が施錠された状態にならないと出口側の解錠操作が出来なくなる機能。
-アンチパスバック
正確な入退室の管理や記録取得の為、サーバー室等の入室・退室で本人認証を行わずに入退室す
ると次回入退室を拒否される機能。
-TPMOR
PMOR(Two Person Minimum Occupancy
Occupancy Rule)
ule)
常に2人以上在室していなければいけない機能。(最初入室者と最後の退室者は2人同時でない
と入室/退室が出来ない)
-エスコ
エスコートルール
ビジターや臨時の入館者に対しての記録を残すため、(データセンター要員の)誰が(利用者、
データセンター出入り業者等の外部者の)誰をエスコートしたかを記録する機能。
-グローバルアンチパスバック
一つの区画だけではなく、複数の区画を跨ぐ場合の制限を与える機能。例えばデータセンターに
入館しないと中のサーバー室等の区画に入室出来ない、あるいは、中のサーバー室で正常に退室
処理をしないとデータセンターから退館出来なくなる機能がある。
-時間指
時間指定/ワンタイムパス
日付と時間を指定して本人認証後のアクセス権限を付与、無効にする機能です。方式としては、
- 90 -
システム側で一部の入室権限について日付時間を指定して有効にする、あるいは、あらかじめ利
用可能な時間帯を設定したトークン(ワンタイムパス)を配布するといった方式あります。
-緊急モ
緊急モード
緊急時に入室権限を変更する機能。緊急時には全ての人に権限を付与するパニックオープンの考
え方と、逆に、全ての人の権限を停止するパニッククローズの2つの考え方があります。
-自動バックアップ・リストア
自動バックアップ・リストア
通常の運用では有りませんが、システム設定内容、データベース、履歴を自動でバックアップす
る機能も非常に重要です。障害発生時においてもデータベースを簡単にリストア出来る事で素早
い復旧・証跡の確保が可能になります。
-外部連携
データのインポート機能、エクスポート機能、API、DDL、SDKによるデータベース更新機能。
(大企業の人事異動時等にデータ更新を素早く簡単に行うことができます
-レポート作
レポート作成
入退室記録を多彩なフィルタ、問い合わせの組み合わせによって抽出し、的確なレポートを素早
く作成する機能(システムに用意されるテンプレートに則ったレポートだけでなく、データセン
ターの監査対応等のケースにおいては、外部からデータベースに接続してカスタムレポートを作
成する必要がある場合もある)。入退室管理システムにおいて最も重要なのがこのレポート機能
とも言えます。
以上の項目の多くは一般的な物であり、これまで大きな変化は起きていませんでした。そのため、
入退管理システムの刷新の頻度は低くなりがちでしたが、近年では他のシステムを複合化させる
ことにより、より高度な機能を、利用者の負担を少なく、かつ安価に実現できるよう着実に発展
を続けています。
入退管理システムでは敷地への入場、建屋への入館、サーバー室への入室、そしてラック内ヘの
アクセス制御をトータルで管理し、これらの記録を一定期間保存します。重要なこととして、入
退室のアクセス制御だけでは無く、画像監視システムとの補完関係によって初めてこれらの区画
のセキュリティが保てると言う事です。入退室管理だけでは、全ての入退室管理の記録を正確に
残すことは出来ません。一定時間以上の扉開放や共連れ入室、扉こじ開け、本人認証しないで出
入り出来る扉等で異常が有った場合には入退室管理システムでは記録を残す事が出来ない為、画
像監視システムや侵入検知システムと組み合わせ、「誰が、いつ、何処に」入退室したかを記録し
ておく事が重要になります。
- 91 -
5.3.2 入退管理システムの歴史
図 24 第1世代と第2世代の入退管理システムの比較
最も古い入退管理システムは1980年代にアメリカにて生まれました。第一世代入退管理ステム
と呼ばれるホストコンピューターベースのシステムは、ミニコンやオフコンを中心に構成され
8bitマイコンを使ったエッジデバイスとシリアル通信(RS232C,RS485等)で結んだ物でした。
その後、1995年以降に通信インフラ、及びコンピュータの普及によって、ウィンドウズベース
のクライアントサーバー型分散処理及びイーサネットを利用した第ニ世代入退管理システムと
呼ばれるシステム構成が主流となりました。データベースも大きく進化しリレーショナルデータ
ベースとなりデータの全部一致、一部一致によるデータ検索/レポート作成等、管理面に於いて
大きな進歩を遂げました。また媒体に関しても、非接触ICカードの低価格化による普及によって
2000年頃には現在の形が出来上がっていきました。また、この世代のシステムでは、それまで
シリアル通信であったコンピュータとコントローラー間通信がTCP/IPとなり、帯域や通信距離
等の制限が大幅に緩和されました。
この第ニ世代入退管理システムでは当初サーバーで中央集権的に入室許可判断をするアーキテ
クチャをとっていましたが、エッジデバイスの処理装置が16Bit、32BitCPUへと高速化するこ
とで分散処理がなされる様になり、サーバーの役割は、データ管理、操作、表示端末、ログの保
存/加工/表示する物とへと変化していっています。また、エッジデバイスにもバリエーション
が生まれ、接続するカードリーダー/扉の違いで、集中管理で8リーダー16扉程度を実現する
規模の物と、デバイス側で分散処理する2リーダー(1扉または2扉)タイプの物の二種類に分
かれています。前者は事務所の様に多くの扉を管理するのに適し、後者は営業所や支店など扉の
少ないところ、扉との距離が離れた場所に適し、加えてレイアウト変更等の場合の対応が容易と
いう利点も持ち合わせています。
5.3.3 最新の入退管理システム
現在、一般的に用いられている第三世代入退管理システムでは、旧世代のウィンドウズベースサ
ーバーからLINUXベースのアプライアンスサーバーへと変化しています。また、クライアントに
- 92 -
おいてもWebベース、シンクライアントへの移行が起きており、これにより保守コストを抑え、
障害時の復旧がより早く簡単に出来るシステムが実現されています。こういったシステムでは、
他のアプリケーションとの連携にAPIやSDKを用意するなど、オープンアーキテクチャ指向が見
られ、導入時に様々なカスタマイズが可能となっています。このオープンアーキテクチャ化はソ
フトウェアだけでなく、機器間あるいは、他のセキュリティシステムとの接続インターフェース
も汎用化し、例えば既存のイーサネットインフラストラクチャを活用可能になりました。このこ
とは、イーサネットによるネットワークインフラ構築を前提としたデータセンターでの導入に於
いては非常に重要な要素となっています。加えて、エッジデバイスでも電気錠に入退室管理シス
テムの構成要素の全てを組み込むという変化が起きています。この変化によりシステムはよりシ
ンプルなものとなり、コストダウンが期待できます。また、この動きと並行するように、画像カ
メラシステムとの統合/一体化の流れやグローバルシステム化(VPNを使った遠隔による管理)
が進んでおり、図 25のような最新の入退管理システムシステムを構成しています。
イメージ提供:ビデオテクニカ
図 25 最新の入退管理システムの構成例
これまでのシステムではサーバーからコントローラー迄がネットワーク接続になっていて、コン
トローラーからは、電気錠、カードリーダーへ専用のケーブルが配線されていましたが、最新の
システムではこれらの配線が電気錠に全て組み込まれ、サーバーからカードリーダー迄全て一本
のネットワーク配線で完結します(図 26 参照)。
イメージ提供:ビデオテクニカ
図 26 最新の入退管理システム導入による配線の変化
- 93 -
このシステムには様々なメリットがあります。まず、システムがシンプルになることでデータセ
ンター事業者がセキュリティシステム全体を把握しやすくなり、より効果的にシステムを管理す
ることが可能になり、障害のリスクを低減することにつながります。また、導入においても、ネ
ットワーク工事を完了させ、扉に電気錠一体型コントローラーを設置し結線するだけで扉側工事
が完了し、サーバーの設置についても、サーバー自体はアプライアンス、かつクライアントは
Webベースになっていますので大幅な行程の短縮/縮小=コスト削減が可能になっています。加
えて、従来のシステムではシステムの配線(例えばサーバーとコントローラーの通信線)に工作
をすることでシステムを攻撃される可能性がありましたが、次世代のシステムでは、すべてのシ
ステムが金属きょう体の電気錠の中で完結することになり、外部からの工作を困難にすることが
できます。
- 94 -
5.4 本人認証システム
本人認証システムの目的は、入退室管理システムの骨格をなす、誰が(WHO)、何時(WHEN)、
何処(WHERE)に入退室出来るか?の“誰”を識別し認証することにあります。本人認証では、
主張された身元(アクセス権限者であるかどうか)の検証を行いますが、この検証を行うために
は被認証者の確認情報が必要となります。本人認証システムで用いられる被認証者確認情報は、
一般に以下の3つがあります。
(1) 被認証者の記憶を用いた本人認証 (暗証番号による認証など)
(2) 被認証者の所持品を用いた本人認証 (カードによる認証など)
(3) 被認証者の生体情報を用いた本人認証 (指紋認証など)
これらの被認証者情報を組み合わせた本人認証は、2要素認証、または、多要素認証と呼ばれ、
技術的な観点から、一般的に本人認証に関する高い強度がある(≒他人になりすましされにくい)
と認識されています。以下の節ではこれらの本人認証について紹介します。
5.4.1 被認証者の記憶を用いた本人認証システム
被認証者の記憶による本人認証では、確認情報として、被認証者のみが記憶している情報を使い
本人認証を行ないます。一般によく用いられている記憶情報の例としては、暗証番号を用いた本
人認証がこれに当たります。暗証番号を被認証者確認情報として用いる場合、本人認証システム
の設計では、暗証番号は身元を主張する被認証者のみが知っていることが前提になっていること
を留意する必要があります。また、被認証者の記憶による本人認証では、暗証番号等の漏えいを
本人が気付かず、被害などにあって初めて気が付く、場合によっては、気が付かないまま不正に
利用されるといったことも考えられます。
5.4.2 被認証者の所持品を用いた本人認証システム
「所持品による本人認証」では、被認証者確認情報として、被認証者が所持する媒体を利用しま
す。この媒体の例としてICカードなどが挙げられますが、広い意味では、家の鍵、通帳とハンコ、
クレジットカード、パスポート、運転免許書なども「所持による本人認証」の道具と考えること
もできます。
「所持品による本人認証」においては重要なポイントがふたつあります。ひとつは、「所持品に
よる本人認証」に利用する所持物が、複製(偽造)されにくいこと、もうひとつは、所持物の発
行、失効、再発行のプロセスが確立されていることです。後者については特に盗難、紛失に対応
した失効プロセスが重要です。一例として24時間体制の受付窓口の整備等は「所持品による本
人認証」にとっては重要な意味を持つと言えます。
「所持品による本人認証」の例として磁気ストライプカードを用いた本人認証があります。磁気
- 95 -
ストライプカードには低コストで導入が容易であるというメリットがありますが、磁気記録情報
を不正に読み出して複製を容易に作成できてしまう課題があり、より複製困難なICカードの登
場・低価格化もあり現在ではあまり用いられなくなっています。
ICカードを用いた「所持品による本人認証」では特に暗号技術を用いたICカードを、暗号技術的
トークン(Cryptographic Token)と呼ぶことがあります。こうした暗号技術を用いる本人認
証は、ネットワーク上での通信を前提にして設計されている為、遠隔での認証が可能になるとい
った特徴があります。暗号技術的トークンでは、ICチップに暗号で使用される「鍵」が格納され、
その「鍵」を使ってICトークン内部において演算をすることで、トークン、ないし、利用者の本
人認証を行ないます。このようなトークンでは、「複製(偽造)」の脅威に対抗するため本人認
証に利用する「鍵」を保護する仕組みが盛り込まれています。
近年では以上のような「所持による本人認証」に耐えうる機構が盛り込まれたICカードが登場し
様々な場面で用いられていますが、標準化され大量に配布されたICカードは、ありとあらゆる手
段でそのぜい弱性が研究されているとも言え、実際に暗号技術を駆使したICカードであっても、
電力解析、タイミング解析、故障利用解析といったICカードに対する色々な攻撃方法が検証され
ています。そのため、「所持による本人認証」に使われるICカード等についてのセキュリティの
評価や認定は非常に重要な意味を持っています。例えば、米国においては、FIPS (Federal
Information Processing Standards)140-2といった暗号製品の信頼性を評価・認定するた
めの米国政府調達基準が定められています。
5.4.3 生体情報を用いた本人認証システム
生体認証は、利用者確認情報として、利用者の生体に基づくデータ(生体認証情報)により利用
者を本人認証する方法です。代表的なものとして利用者の特性としての指紋、音声、虹彩、顔の
形などを識別することにより本人認証を行なうものがあります。表 8に主な生体認証の種別、用
いる生体情報、特徴を示します。
- 96 -
表 8 主要な生体認証の種類とその特徴
種別
生体情報
特徴
指紋隆線の特徴点等を用いて本人認証など、
認証方式が数多くあり、また、比較的低コス
指紋
トな入力装置も多い。一般に認証精度は高い
が、不鮮明指紋の場合等、対応できないケー
スがある。最も広く普及している。
虹彩の模様を特徴コード化して本人認証する
方式。認証精度は最も高い部類であるが、操
虹彩
作性、未対応、高い認証コストが課題となっ
身体的
ている。
特徴
顔部品の特徴点、部品配置、輪郭、立体形状
等を用いて本人認証する方式である。入力が
顔
簡便で詐称抑止効果が高い。認証精度の向上、
耐環境性が課題である。
手、指等の血管パターンを特徴コード化して
静脈
本人認証する。比較的新しい生体情報であり、
精度等は未知数な面がある。
音声波形を分析し、特徴コード化して本人認
証する。操作性が高く、電話での本人認証等
音声
において優位性がある。個別暗証番号の割り
当てにより音声だけで1対1認証が可能であ
行動的
るが、雑音等の耐環境性が課題となっている。
特徴
署名の字体、署名時の書き順・筆圧等の動的
特徴を用いて本人認証する。操作は簡単だが
署名
模倣される可能性がある。日本ではあまり使
われていないが、欧米での利用実績は多い。
イメージ提供:ビデオテクニカ
生体認証では、暗証番号などの記憶に基づく本人認証における「忘れる」、「他人に知られる」
といった問題や、カードなどの所持に基づく本人認証における「紛失」、「盗難」、「置き忘れ」
の問題を回避できるとされています。一方で、生体情報はアナログな性質を持つため、他人を利
用者と誤認する危険性を排除できない・利用者であるのに利用者でないと認識してしまうといっ
た問題もはらんでいます。
生体認証では登録と本人認証という二つのステップが必要となります。登録のステップでは、ま
ずシステムに生体情報を入力し、それに対して特徴量抽出処理が施される必要があります。これ
により個人を識別する「登録用生体認証情報」が生成され、これを利用者の属性と共にシステム
- 97 -
に保存されます。本人認証のステップでは登録時と同様、入力された生体情報から「認証用生体
情報」が生成され、これとあらかじめ登録されている登録用生体情報とを照合することで、類似
度を算出し、この類似度をしきい値判定することにより、認証用生体情報と登録用生体情報との
一致/不一致が判定されます。一致と判定された場合、生体情報の入力者はこの登録用生体情報
の属性に基づく利用者であると本人認証されます。このように、生体認証では複雑な処理を行う
必要があるため、所持品を用いた本人認証に比べ、処理に時間が掛かってしまうという問題があ
ります。
また、生体認証には生体認証に自分のデータを先ず呼び出し、次に自分のデータを読込ませて比
較し照合(ベリフィケーション)を行うタイプの物と、自分の生体データを呼び出さずに本人識
別(アイデンティフィケーション)を行うタイプの物が存在しており、後者のタイプは被認証者
が自分のデータを呼び出す手間が省けるため利便性が高いですが、前者に比べて登録者数が増え
るとレスポンスが落ちてしまうという弱点もあります。
Match-on-Card (MOC)と呼ばれるシステムでは生体認証情報がICカード上に格納され、更
に、照合処理等もICカード上で行う仕組みをとっています。このため、MOCを採用したシステ
ムでは生体認証情報がICカードから出ない仕組みが可能になります。これは、ICカードを紛失し
た場合などにおいても基本的に重要な情報がICカード外に出ず、ICカード保有者のプライバシー
を守ることや、生体認証情報が盗聴されることによるなりすましの危険性を防ぐといったことに
おいても重要な意味を持っています。MOCに用いられるICカードは、一般的に耐タンパを有し
ているものが使用され、物理的な攻撃なども含めカードの複製を防ぐメカニズムを有しています。
生体認証の性能は、2つの数値によって表現されます。一つは他人を本人として認証してしまう
他人受け入れ率(FAR:False Acceptance Rate)、もう一つは、本人を本人でないとして認
証してしまう本人拒否率(FRR:False Rejection Rate)です。これらは、しきい値の設定によ
っても変化するため、本人認証に対するセキュリティ要件や利便性などの要件により適切なしき
い値を設定することが必要となります。また、性能の他に生体認証では、「未対応」と称される
本人認証に適応できない人が存在することにも注意が必要です。
本人認証システムには運用的な側面に近いところでの課題が多いと言われます。例えば、「利用
者の記憶による本人認証」では、暗証番号などの漏えいに関連した脅威を低減するためには、暗
証番号等の変更などの運用で補う必要があります。また、「所持による本人認証」では、その所
持物を紛失や盗難した場合、紛失したその所持物の失効処理を行い再発行するといった手続きを
行う必要があります。「生体情報を用いた本人認証」の場合、利用者確認情報である生体認証情報
自体が、取替えのきかない身体的な特徴であり、利用者の記憶による本人認証おける暗証番号の
変更や、所持物の本人認証における失効、そして再発行といったことを行なうこと自体が難しい
という課題を抱えています。
5.4.4 データセンターにおける本人認証システム
生体認証は高い確度で本人認証を行えるシステムではありますが、セキュリティ的に言えば、入
室権限を持った人間が、捨て身で妨害行為や不正行為を行った場合は抑止力とはなりえません。
- 98 -
本人認証システムが効果を発するのは、正確なアクセス制御の実施に加え、証拠となる本人性の
確認が行われることによって、不正行為を行なった場合に本人が行ったということが発露する、
という部分の抑止力であり、その点を十分に留意する必要があります。その為、入退管理システ
ム、本人認証システム、画像監視システムそして設備と運用の相互補完を考えデータセンター全
体で物理的セキュリティをデザインされていることを確認することが重要と言えます。
- 99 -
5.5 画像監視システム
画像監視システムとは、侵入者や不正行為の監視・記録を目的に、データセンター内外にカメラ
を設置して、ライブでのモニタリング及び画像を記録保存するシステムのことを言います。
現在、一般に用いられている画像監視システムを大きく分類するとネットワークタイプとアナロ
ググタイプに分けることが出来ます。近年のデータセンターにおいては、システムの拡張性に優
れる等の点からネットワークタイプの画像監視システムが主流になっています。本節では、ネッ
トワークタイプの画像監視システムに主眼を置きその構成を紹介、最後にデータセンターにおけ
る画像監視に求められる個々のデバイスの「機能」について整理します。
5.5.1 画像監視システムの基本的な構成
近年、一般的に用いられるネットワークタイプの画像監視システムの構成は、ネットワークカメ
ラ、PoE給電スイッチ、サーバー・ストレージ、モニタリング・オペレーションPCと、そのう
えで実行される監視ソフトウェアに大きく分けることができ、全てイーサネットで接続されてい
ます。
-監視ソ
監視ソフトウェ
フトウェア
監視ソフトウェアは、データセンター要員による監視支援と、記録の閲覧等の機能を提供します
(図 27に監視ソフトウェアのスクリーンショットを示しています)。特にデータセンターにお
ける監視ソフトウェアでは、統合管理システム等の他のシステムとの連携を考慮し、オープンプ
ラットフォーム型のソフトウェアが望ましいと言えます。
イメージ提供:KTシステムズ
Milestone ビデオマネジメントシステム
図 27 監視ソフトウェアのスクリーンショット例
- 100 -
-ネットワークカ
ネットワークカメラ
IPカメラとも呼ばれ、一般的にはIPアドレスとMACアドレスまたはGUID(Globally Unique
Identifier)でネットワーク上識別されます。現在は高画質のメガピクセルカメラ(100万画素)
が主流で、このタイプを使用すると人の顔の判明がつきやすくなるためセキュリティ性が高くな
ります。機能的な機能を持ったカメラとしては、夜間少ない光源でも録画可能なDay&Night機能、
また屋外では日光等の光源が直接カメラに入った場合でも補正してきれいな画像を撮影できる
ダイナミックレンジ機能を持つカメラがあり、設備や運用と効果的に組み合わせることによって、
高いセキュリティを実現出来ます。
★BOX型
箱型カメラタイプ
・ベーシックなタイプのカメラ。カメラ自体の存在を意識させ、抑止効果を期待したい
場合に用いられることがある。
AXIS
P1353
BOSCH NTC-265-PI
BOSCH NBN-733V
イメージ提供:KTシステムズ
目立たない埋込(半埋込)カメラタイプ
★ドーム型
・BOX型に並ぶベーシックなタイプのカメラ。環境のデザインに溶け込ませ、ぞんざ
い感を意識させず監視したい個所に用いられる場合がある。高い耐衝撃や防塵性を持つ
モデルもある。
AXIS
P3014
AXIS
P3364
BOSCH NDN-733V
イメージ提供:KTシステムズ
★旋回型
パン・チルト・ズーム(PTZ)ができるカメラタイプ
・操作PCからカメラの横旋回/縦旋回/ズームが可能な為、要員操作し、不審な被写体
を特定して監視する為のカメラとして有効。PTZ機構の為、きょう体や消費電力が大き
くなり、設置個所に制約を受ける場合がある。
- 101 -
AXIS
214PTZ
AXIS P5534
BOSCH VG5-836
イメージ提供:KTシステムズ
★屋外型 水/埃の浸入に対して保護があるカメラタイプ
・主に屋外で用いられる為、防水・防塵の機能に加え、日差し対策や飛来物対策、画策
対策や夜間監視の為の赤外線投光機能といった屋外固有の機能を持つ。
AXIS
P1353-E
AXIS P3364-LVE
(赤外線投光機能付き)
BOSCH NEI-30
(赤外線投光機能付き)
イメージ提供:KTシステムズ
-PoE
PoE給電ハブ
配線の簡略化の為、ネットワークカメラではPoEによる給電を採用したタイプがよく用いられま
す。IPカメラに用いられるPoEには1ポートで15.4Wのタイプ(IEEE802.3af)と30WのPoE
Plusタイプが主に用いられています。通常のIPカメラは15.4Wで給電可能ですが、PTZ型は
30WのPoE Plusを使用するケースが多くなります。
-サーバー・ストレー
サーバー・ストレージ
・ストレージ
サーバーに監視ソフトウェアをインストールしてシステムを構築します。画像監視システムは、
24時間稼働のためより安定したサーバースペック(CPU等)及びOSが要求されます。また、解
像度が高くなるほど画像の情報量が多くなる、画像データを常時書き込する必要がある、といっ
た点からHDDへの書き込み速度が重要なポイントになります。書き込み速度がカメラからの画像
転送速度に対応しきれない場合、システム障害の要因となる為、システムを設計する際に注意が
必要です。
サーバーのHDD容量はセキュリティ上求められる記録保存日数と画像サイズ・サンプリングレー
トにより決定されます。特に、証跡として特定の利用者からのみデータの長期保存を求められる
場合もある為、画像監視システムにはそういった需要に対応出来るフレキシビリティが必要にな
る場合もあります。加えて、証跡としての利用を想定している場合は保存用HDDの構成は、冗長
構成をとることが望まれます。
また、監視カメラでの記録保存方式は、HDDを有効に使用するため、人や物体が動いた時だけ記
録保存するモーション録画が一般的になっており、その前後の記録も保存できます(プリ/ポス
- 102 -
ト録画)。但し、証跡として利用する場合はデータの完全性が求められる為、こういった方式を
利用することは避ける必要があります。
-モニタリング
モニタリング/
タリング/オペレーション端末
オペレーション端末
通常、汎用的なPCが使用されます、同時表示台数により必要スペックが決まりますが、同時表
示台数が多い場合やデュアルモニター(同時に2画面表示)以上を行う場合は、高いスペックの
端末が要求されます。
5.5.2 データセンターの画像監視システムに求められる機能
データセンターのような大規模な建造物における画像監視システム構築のポイントとしては、建
物の外部・内部においてできるだけ死角を作らないカメラ配置を行う必要がある、大量のカメラ
を接続するといった要件を満たすことが求められます。
加えて、証跡として残す必要のある画像に関しては一定以上の画質と完全性を保っての記録を求
められるため、十分なストレージ要領による保存期間の確保、画角にあった解像度をもったカメ
ラの選択、高画質の帯域でも快適にシステム稼働させるためのネットワークの構築、万が一の障
害時の復旧長期化を防ぐための維持/管理プランの策定といった様々な用件が実現されているこ
とを確認する必要があります。
例えば、データセンターに対する厳しい要求基準ではラック列ごとの監視が求められる場合があ
りますが、そういった基準に対して16:9の画像を9:16の縦長画像(コリド―ルフォーマッ
ト)に変換することのできる画像監視システムを有効に活用することで、ラック間の通路/廊下
をより鮮明に撮影することが可能になります(図 28)。
イメージ提供:KTシステムズ
図 28 コリドールフォーマットのイメージ
- 103 -
5.6 火災検知システム
5.6.1 自動火災報知設備について
消防法施行令第21条では、防火対象物の規模・用途・面積等により自動火災報知設備の設置義
務の有無が規定されています。全防火対象物は消防法施行令別表第1に掲げる(1)項から(2
0)項のいずれかに該当します。データセンターの場合は(15)項の「事業所」に該当し、延
べ床面積が1,000㎡以上のデータセンターにおいては防火対象物全体に自動火災報知設備の
設置義務が生じます。
・自動火災報知設備
自動火災報知設備は自動的に火災を捉え、防火対象物の関係者等に報知する設備で、受信機・発
信機・中継器・表示灯・地区音響装置・感知器から構成されます(図 29)。
イメージ提供:能美防災
図 29 自動火災報知設備のコンポーネント
感知器は熱を感知する物、煙を感知する物、炎を感知する物、あるいはこれらを複合した物が存
在し、それぞれにおいて複数の検知方式の物が存在しています。図 30にそれらの種類を整理し
た物を示します。
- 104 -
図 30 火災感知器の方式
5.6.2 データセンターにおける火災の特徴
データセンター(主にサーバー室)の安全対策を考慮する上で重要なことは、サーバー室で火災
が起こった場合に、どのような状況になるのかしっかり理解することにあります。ここでは、サ
ーバー室で発生する火災の性状について説明します。
図 31(左)は、一般のオフィスで火災が発生した場合に、どのように煙が広がっていくかを示
したものです。写真では、煙は燃焼の熱による上昇気流に乗り、天井面に到達した後に、層を形
成しながら水平方向に広がっていくことがわかります。したがって、天井面に消防法で定められ
た前述の煙感知器を設置することで、有効に火災を検知します。
では、サーバー室のように、室内で強制的な循環空調が行われている場合はどうでしょうか。図
31(右)のように、発生した煙は空調気流があるため天井面に層をつくることができず、拡散
し希釈されながら室内全体に充満します。このような火災では、一般の煙感知器が作動した時点
では、既に室内全体に非常に高い濃度の煙や有毒ガスが充満しています。このような状況では、
高濃度の煙によって視界が遮られ、有毒ガスによる危険にもさらされるため、人が室内に入って
対応することはほぼ不可能であり、初期消火を行おうとしても非常に困難な状態となります。
このように、サーバー室の火災性状は、空調機による循環空調があることにより、一般の事務室
等での火災とは大きく異なるという点を認識する必要があります。つまり、データセンターにお
いては、一般的な自動火災報知設備が異常を検知した段階では煙が充満しているため、サーバー
等機器の即時復旧が困難になっている可能性が高いことを、十分認識しておかなければなりませ
ん。
- 105 -
イメージ提供:能美防災
図 31 一般的なオフィス(左)と一般的なサーバー室(右)での煙の広がり方の違い
5.6.3 データセンターで求められる防災システム
サーバー室の火災について注意しなければならないのは、前述のように、室内全体に非常に高い
濃度の煙が充満した状態で検知しても、原状回復までに莫大な時間とコストがかかるということ
です。また、実際に受ける被害に加え、重要なデータ及びソフトの消失ならびに社会的信用の失
墜など、測りしれない損害を受けるケースもあります。したがって、安全対策を考える上では、
火災の予兆を検知するフィジカルセキュリティについて検討することが重要となります。このよ
うな要求に応えるセキュリティとして、「火災予兆検知システム」があります。
「火災予兆検知システム」は、監視区画を1点で監視するスポット型のセンサーとは異なり、監
視区画の空気(サンプリングエア)を多数の吸引孔を設けたサンプリング配管を通じて、常時、
区画全体の平均濃度を監視します。サーバー室などにおける空調設備による気流と設置例とシス
テム構成の一例を図 32に示します。
イメージ提供:能美防災
PROTECVIEW
図 32 火災予兆システムの設置方法(左)とシステム構成(右)
火災予兆センサーは、超高感度から低感度まで広いレンジで検出可能です(減光率0.001~
20%/m)。消防法で定められた2種の煙感知器(公称作動濃度10%/m)に比べ、10,000倍
の検知感度を持っており、警報出力は減光率0.01%/mから可能です。これにより、循環気流に
て希釈され薄まった煙を早期に検出することができます。火災予兆センサーの煙を検知する検出
部には、レーザーダイオードを使用し、煙粒子による散乱光の総出力量を検出する「総散乱光受
- 106 -
光方式」(粒径による制限を受けない)を採用しているため、燻焼によって生じる煙(白煙)か
ら有炎燃焼によって生じる微粒子の煙(黒煙)まで、幅広い粒子径の煙を高感度で検出すること
ができます。火災予兆検知警報盤には、監視区画の環境濃度がリアルタイムでバーグラフ表示さ
れると共に、デジタル数字でも表示されるため、現在の監視区画の状況を容易に監視することが
できます(図 33)。
イメージ提供:能美防災
PROTECVIEW
図 33 火災予兆警報盤の外観
近年データセンター事業者は、火災を予兆段階から早期に検知し被害を最小限に抑えることが、
事業を継続的に維持できると考え、また、社会的責任を果たすことも含め、事業継続計画(BC
P:Business Continuity Plan)の中に早期火災検出対策を導入し始めています。一方で、火
災予兆システムは、センサーによる検出では、検出された区画しか判明せず、火災予兆箇所の特
定はできません。その為、火災予兆の箇所を特定するための手順を明確にしておくこと、火災予
兆発生時の初期対応についての運用フローを明確にしておくといった、運用体制と組み合わせて
火災予兆検知システムを導入することがBCP上重要となります。
- 107 -
5.7 侵入検知システム
本節で紹介する侵入検知システムは、特定の物理的セキュリティ区画への不正なアクセスを検知
し、それを必要な要員へと通報するシステムの事を示します。この節では侵入検知システムを構
成するセンサーと、それらを集約して侵入検知時に警報を出すセンター装置に関して説明します。
5.7.1 侵入検知システムのセンサー
侵入検知システムにおけるセンサーは、マグネットセンサーやガラスセンサーといった「点」の異
常を検知する物から、フェンスセンサーのような「線」の異常を検知する物、そして、パッシブセ
ンサーや画像センサーのような「面・空間」の異常を検出する物へと進化してきました。ここでは
侵入検知システムに接続される、いくつかの代表的なタイプのセンサーを紹介します。
-マグネットセンサー
マグネットセンサーはドアやサッシの開閉を、磁石とリードスイッチの組み合わせによって検出
するセンサーです。非常に安価であり誤報も少ない為、様々な場所で用いられますが、サッシに
填められたガラス自体が破壊された場合は検知することが出来ない為、下記のガラスセンサーと
組み合わせて運用するといった工夫が必要です。
-ガラスセンサー
ガラスセンサーはガラスの破壊時に発生する特定の周波数の震動を検知するセンサーです。
-フェンスセンサー
フェンスセンサーにはトラップ方式、同軸ケーブル方式、光ファイバー方式、赤外線ビーム方式
といった様々な検出方法を使ったセンサーが存在しています。
トラップ方式は、フェンス上に張り巡らせたワイヤーの張力を端部に設置したセンサーで検知し
ます。この方式の特徴としては、小域での施工コストに優れる、天候の影響を受けにくい、とい
った点が挙げられます。同軸ケーブル方式は、フェンス上に張り巡らせた同軸ケーブルに接触し
た時の変形を検知します。特徴としては複数同時発生した侵入の検知が可能、侵入地点を特定可
能、広域での施工コストに優れているといった点が挙げられます。光ファイバー方式は、フェン
ス上に張り巡らせた光ファイバーへかかった圧力を、ファイバー内を走るレーザー光のリング干
渉を使って検知します。特徴としては、最長5kmの広域監視が可能、光検出の為、ワイヤーや
ケーブルのように雪等が付着し誤動作することがない、広域での施工コストに優れているといっ
た点が挙げられます。赤外線ビーム方式はここまで紹介した方式とは違い、センサー間の空間を
赤外線ビームで結び、侵入者がビームを遮ることにより警報を出す仕組みになっています。特徴
としては、最も普及している、施工コストに優れている、侵入者以外の小動物や木枝等による誤
報が多いといった特徴があります。
- 108 -
-パッシブ
パッシブセンサー
パッシブセンサーは人体等の熱源の発する遠赤外線を複数の区画で検出、その変化パターンによ
って熱源の移動を検出するセンサーです。センサーのタイプごとに検出する空間や変化のパター
ンに様々なタイプがあり、設置個所における動線等を十分に検討した上で設置するセンサーのタ
イプを決定する必要があります。
また、センサーによっては画策防止の為の様々な工夫が施されているものがあります。
-画像センサー
侵入検知システムにおける画像センサーは監視カメラの画像を処理し、人の動きを検出するセン
サーです。ここまで紹介してきたセンサーと同様に侵入があった場合に検知する機能に加え、実
際に画像センサーがとらえた画像を監視員が確認することで現場の状態を把握し、素早く次の手
を打つことが出来る、あるいは後日証跡として利用することが出来るという特徴があります。
画像センサ-
侵入者そのものを異常として
捉える画像認識技術を応用
したセンサ-。
パッシブセンサ-
人体の発する熱で侵入者を
感知します。
操作表示器
コントロ-ラ-
システムの中枢機器
コントローラーから
離れた場所で操作
します。
マグネットセンサー
ドアの開放やこじ開けを感知
します。
カ-ドリ-ダ-
出入口付近の屋外
に設置し、警備の
セット/解除操作を
行います。
コミュニケーション
ポインター
ガラスセンサー
エリアのセンサーの
状態を表示します。
ガラスが割られたり、切断され
た場合に感知します。
イメージ提供:セコム
AX
図 34 侵入検知(防犯管理)システムの構成例
5.7.2 センター装置
データセンターの建屋、あるいはデータセンターが入居するような大規模な物件では、その規模
から中央監視装置、防災監視盤を備えた中央監視室が設置されていることが一般的となっていま
す。その為、侵入検知システムの中心となるセンター装置(侵入警報盤・警備主装置などとも称
される)や、画像監視システムのモニター装置等も中央監視室に設置されることが多いです。ま
た、近年では設備監視・防災・防犯を統合して管理する統合管理システムも登場してきています。
一般に侵入検知のセンター装置は、中央監視室のデータセンター要員や警備員によって監視され、
必要に応じて対処が実施されます。施設によっては警備会社に監視を委託する、あるいは、中央
監視室での監視に加え、万が一に備えて警備会社にも接続することで、警備員の派遣や警察・消
防への通報経路を多重化する事例もあります。
- 109 -
5.8 統合管理システム
5.8.1 「統合管理」とは
今日のデータセンターは、その運用におけるセキュリティ、安全性、および効率性のために、さ
まざまなシステムに依存しています。また、提供するサービスによっては、データセンター要員
は、施設の物理インフラ(施設の電源、空調、セキュリティシステムなど)だけではなく、その
施設内に収容されている事業者自身、あるいは利用者の情報システム(サーバー、ストレージ、
ネットワーク機器など)を管理する責任を負っています。この物理インフラと情報システムの2
つはもともと関連し合っていて、一方が変化すると、もう一方も影響を受けます。
運用の観点から言えば、それぞれのインフラの調達、管理、および保守は、別々の部門が行っ
ていることが多いと考えられます。通常は、物理インフラについては施設部門とエンジニアリン
グ部門が責任を負い、情報システムについては情報システム部門が責任を負います。稼動中のデ
ータセンターの環境が日々変化する場合、こうしたシステムの分割管理は施設の運営を困難にし
ています。
複数のシステム間を統合的に管理するシステムを用い、データセンターの全体像を可視化するこ
とで、従来の分割管理によって発生していた問題に対する解決が可能ですが、それを実現するた
めには、さまざまなシステムからの情報を集計し、十分な情報に基づいて意思が決定できるよう
な形で提供する必要があります。
では、「理想的な」統合管理システムとはどういうものなのでしょうか。それは、単独のソフト
ウェアパッケージで構成されており、データセンター要員がそれを使用することで、あらゆる基
本的なニーズに対処することができ、また、インターフェースに一貫性があり、個々の役割に関
する特定の疑問に答えるのに必要となる情報とツールを備えている単一のシステムになるでし
ょう。図 35では本節までに紹介した「入退管理システム」「画像監視システム」や「侵入検知
システム」(「物理的セキュリティシステム」と総称)に加えビルディング・オートメーションシ
ステム(BAS)やビルディングエナジーマネジメントシステム(BEMS)、ビルディングインフォメ
ーションモデリング(BIM)そして、データセンターインフラストラクチャマネジメント(DCIM)と
いった既存のシステムがどのような管理策を包括しているかを例示しています。この図からわか
るように、現時点では単一のシステムでデータセンターのすべての情報を管理する「理想的な」
ツールは(残念ながら)ありません。これは、既に役割を特化したツールへの需要が高いことや既
に利用しているシステムへの投資を保全したいという市場の要求によるものだと考えられます。
- 110 -
管理策の
実施個所
環境的脅威の管理策
人為的脅威の管理策
資産管理
DCIM
設備設計・計画
空調・電源設備
ネットワーク機材
サーバー
入退室管理
映像監視・記録
ラック
管理
マグネットセンサー
建屋
ラック開
センサー
パッシブセンサー
漏水センサー
空調制御
電源制御
消費電力センサー
サーバー室
温・湿度センサー
ラック
BAS/BEMS
フェンス
センサ
敷地
BIM
物理セキュリティ
システム
図 35 既存のシステムと管理策の関係の一例
では、「現実的な」統合管理システムを実現する方法について、以下に詳しく説明していきまし
ょう。
5.8.2 統合管理システムを構成する要素
実際のところ、物理/ITインフラ管理システムは、データセンターのサイズによっては、何十、
何百ものソフトウェアコンポーネントで構成されることがあります。そうしたコンポーネントを
それぞれ分類するためのモデルとして、図 34 に示されるような3つのモデルがあります。
「監視」「制御」「自動化」のコンポーネント
「分析」「計画」「設計」「提供」のコンポーネント
統合的な「ダッシュボード」コンポーネント
- 111 -
統合的な
「ダッシュボード」
コンポーネント
コンポーネント間で共通の
ユーザーインターフェース
「監視」「制御」
「自動化」
のコンポーネント
「分析」「計画」
「設計」「提供」
のコンポーネント
コンポーネント個別の
ユーザーインターフェース
コンポーネント個別の
ユーザーインターフェース
図 36 統合管理システムのコンポーネント
「監視」「制御」「自動化」のコンポーネントは、安全性と信頼性、そしてセキュリティの確保
された日々のデータセンター運用には欠かせません。これらのコンポーネントは、主要な運用パ
ラメータに関するリアルタイムな時系列情報と、タイムリーな方法での対応に必要となるツール
を提供し、以下の手法によってデータセンターの運用を円滑にします。
1.
データセンターが計画通りに機能していることを確認する。
2.
事前に設定された自動応答をトリガーとして、可用性と効率性を維持する。
3.
任意の時点でのデータセンターの全体的なステータスを表示する。
「分析」「計画」「設計」「提供」のコンポーネントは、統制された方法で施設を管理・運営す
るために必要なツールを提供してくれるので、データセンターの可用性を確保するのに欠かせま
せん。
これらのコンポーネントにより、次のことを確実に行うことができます。
1.
加えられる変更について、その影響をシミュレートし「分析」する
2.
変更を効果的なものにする為のするための「計画」「設計」
3.
新たな機能の効率的な「提供」
4.
データセンター内の資産の追跡
データセンター要員とシステムとのインターフェースとなるダッシュボードコンポーネントは、
データセンターのパフォーマンスに関する重要な情報を統合するための手段となります。その情
報は、集計するだけでなく、有意義かつ実用的な形で提示されなければなりません。データの視
覚化(ダッシュボードの主な機能の1つ)により、他のすべてのコンポーネントを1つにまとめ
ることで、データセンターの全体像を確認することができます。
運用ダッシュボードに含まれる情報の典型的な例として、次のものがあげられます。
- 112 -
データセンター内の入退室記録
最新の重要な警告
平均温度と平均湿度
特定期間における高温度と高湿度
IT負荷とデータセンターの総負荷
ダッシュボード
PUE可視化
レイアウト/搭載管理
リモートアクセス
イメージ提供:シュナイダーエレクトリック
StruxureWareTM Data Center
図 37 運用ダッシュボードの表示画面例
5.8.3 セキュリティにおける統合管理のユースケース
物理的なセキュリティシステムは、通常は相互に連係して適切なレベルの保護を提供する複数の
異なるシステム、またはサブシステムで構成されます。代表的なサブシステムには、ここまでの
節で紹介されてきた入退管理システム、本人認証システム、画像監視システム、侵入検知システ
ムなどが含まれ、それぞれが物理的なセキュリティシステムの機能として働きます。
実際にはこれらのシステムは、それぞれの端末、ソフトウェア、およびインターフェースととも
に、独立した異なるシステムとして、それぞれのシステムの運用を担当するデータセンター要員
のコンソールに表示される場合が多く、それらのシステム間にはインタラクションがほとんどな
いため、対応するアクティビティとイベントとの相互関係を確認することは困難です。
こうした問題に対し、統合セキュリティシステムは、
図 38の表示画面例に示されるように、データセンター施設に対する状況認識を広める形でこれ
- 113 -
らの個々のシステムを1つにまとめることによってその解決を目指します。その結果、任意の時
点のデータセンター施設のセキュリティ状態をリアルタイムで把握しやすくなります。
イメージ提供:シュナイダーエレクトリック
Continuum SecureView
図 38 統合管理システムにおけるセキュリティ機能の表示画面例
前セクションで示したコンポーネントモデルについて言えば、このクラスのシステムで使用可能
となる機能は、「監視」「制御」「自動化」に関するものが中心となります。これらの機能は、
リアルタイムな情報と自動応答を提供することで、日々の運用を支援します。加えて、一部の「分
析」「計画」「設計」「提供」機能は、手続きに関するポリシーがどの程度改善されたかを分析・
把握できるように、イベントの履歴確認(目視およびレポートベース)という形で提供されます。
ダッシュボードレベルでは、重要な情報を、個々の要件に対し必要に応じて集計することができ
ます。
以下では、典型的なシナリオを用いて、実際にこれらのシステムが統合管理によってどのように
機能するかを紹介します。
-シナリオ1
リオ1:ビデオとアクセスイベ
ビデオとアクセスイベントの関連付
ントの関連付け
関連付け
概要:
運用センターでは、「入退管理システム」の端末に「アンチパスバック違反」の警告が表示され、
次いでサーバー室内のデータセンター要員からインターホンで連絡が入ります。このアラームは
その要員がサーバー室に存在すべきでないことを示し、そのデータセンター要員が誤って誰か他
のデータセンター要員の後に続いてサーバー内に入ってしまったことが疑われます。その時点で
は、口頭でデータセンター要員に事態を確認し、センターで入退許可操作を行うことで通過させ
ますが、より詳細な調査が望まれます。そのためにビデオを見直し、該当する要員がいつサーバ
ー室に入り、誰と共連れをしたのかを確認することができなければなりません。つまり、「画像
監視システム」の端末の所へ行って、複数のカメラの録画ビデオを早送りし、その瞬間を見つけ
る必要があるということです。
統合がどのように役立つか:
統合セキュリティシステムを用いれば、違反者が最初に施設に入館してからセキュリティ区画へ
- 114 -
アクセスするまでの記録を、違反者の入館後の行動に関するビデオクリップをして出力すること
ができます。ビデオクリップはアクセスイベントの前後の時間の画像を自動的に探索して、その
要員の辿った経路、本人認証の記録の確認、およびセキュリティ境界を超える際の画像を切り出
します。無関係なビデオを見ることで時間を無駄にすることがないので、問題のあるイベントは
すぐに発見されます。
一緒に進入した別の要員とともにその要員の共連れ時の画像が取られ、次にその画像が、アンチ
パスバック規則が実施中であり共連れが禁止されているという警告とともに、Eメール等で双方
の要員に対して送信されます。
結果:
不審なアクセスイベントへの素早い解決が可能になります。さらには、強力なセキュリティのイ
メージを利用者やデータセンター要員に印象付け、不正な行為を抑止することができます。
-シナリオ2
リオ2:例外処理時
例外処理時の
理時の監査証跡
監査証跡
概要:
情報セキュリティに関する基準の多くは、その施設が、施設全体から特定の資産に至るまで、ア
クセス制御の証拠を提供できなければならないと定めています。入退管理システムのログを活用
することでこういった要求に対し基本的な情報を提供することができる、ということは明らかで
す。
ここではデータセンターへ機器を搬入または搬出する請負業者のためにドアを開ける必要があ
るような「例外処理」のケースを考えてみましょう。この場合、事前登録がない為、本人認証シ
ステムは使用できない場合があり、画像監視システム等の画像記録を確認しセキュリティが保た
れるようにしなければなりません。ビデオの更新は、システムがリンクしていない場合は煩雑に
なることがあります。
統合がどのように役立つか:
統合セキュリティシステムでは、あらゆるシステム入力でビデオトリガーにリンクすることが出
来ます。この場合、機器搬入出口周辺のカメラとドアの侵入検知のマグネットセンサーとをリン
クさせることで、ドアが開くと常にドアの内側と外側のカメラでビデオが録画するように設定し
ます。加えて、ダッシュボード上のイベントログにフィルタを適用することで、特定のドアや警
告の種類を設定し、重要なイベントだけを強調することができます。
こうした「例外的な」イベントをデータセンター要員が毎日確認することで、データセンター内
のすべての活動が規定された手順に従って実行されたことと、潜在的なセキュリティ違反が検証
されていることを確認することができます。また、同様の原理が侵入検知システム、火災検知シ
ステム、その他のシステムへの入力にも、簡単に適用できます。
結果:
アラーム確認プロセスを単純化することにより、セキュリティを確実に改善することができます。
- 115 -
それぞれの「例外的な」警告の確認を非統合システムで要求するのは、通常は極めて厄介で実用
的ではありませんが、統合セキュリティシステムを用いることで容易に実現可能になります。
-シナリオ3
リオ3:セキュリティ以外
セキュリティ以外の
以外のこと
概要:
より安全なデータセンターの運営のために、セキュリティ以外の要素にも目を向けてみましょう。
施設内で火災検知システムにより火災が検知された場合、すぐにさまざまな懸念が生じます。そ
の1つは、火災が検知された区画にいる利用者やデータセンター要員の身の安全です。
従来の分割管理システムで作業する場合に可能性のありそうなシナリオを考えてみましょう。火
災検知システムは、検知区画の情報を提供します。その区画と入退管理システムの端末上の関連
する区画を相互参照して、その場所に誰がいるのかを判断するためマスターレポートを作成しま
す。さらに、画像監視システムを使って火災が検知された区画の監視カメラのライブ画像を取り
出し、実際にその場所に人がいないかどうかを確認することもできます。こうした手続きはすべ
て手動によるもので時間がかかるため、緊急時に備えて最小化したいものです。
統合がどのように役立つか:
火災検知システムを入退管理システムへ接続することで、所定の操作の多くを自動化することが
可能になります。また、ダッシュボード上では火災アラーム区画の状態は、地図上の場所のよう
に表示され、問題の区画の内部および周囲には対応するカメラがポップアップ表示されるため、
当該区画の視覚情報が即時に得られます。同時に、被災エリアと、データセンター全体のマスタ
ーレポートが自動で生成され、データセンター施設内に誰がいるのかを判断することができます。
緊急応答手続きが引き継がれ、データセンター要員は、地域の消防当局と連絡を取り合ったり、
館内放送システムを利用して案内を行ったり、整列場所へ移動してマスターレポートに照らして
人数を確認したりと、さまざまな活動に移ります。
結果:
このような緊急時におけるシステム運用の自動化により、データセンター要員は状況に対して有
効な対応を行うための情報を、システムを通じて容易に、素早く得ることができるようになりま
す。このことにより、全体的な状況をより的確に把握することができ、結果として利用者やデー
タセンター要員の安全性が高まります。
5.8.4 データセンター環境管理における統合管理のユースケース
データセンターの可用性を確保できるかどうかは、データセンター施設内のさまざまな電源、空
調、およびその他の物理インフラの状態をリアルタイムに把握することだけではなく、データセ
ンターに収容されている各資産の状態をいかに的確に把握しているかにもかかっています。
問題は、通常のデータセンターではそれらが施設およびインフラの容量を超えないように効果的
に管理される必要があり、最適化された変動的なターゲットが必要であるということです。ダイ
- 116 -
ナミックな変更と、(特にコロケーション環境に)設置された機器の多様さのため、施設の現在
の状態をリアルタイムで把握することは困難が伴います。
データセンターインフラ管理(Data Center Infrastructure Management,:以下、DCIM)シ
ステムは、データセンター施設の全体像のより的確な把握を支援するよう設計されており、施設
の状態をリアルタイムで監視・管理するためのツールを備えることで上記の双方に対応していま
す。図 39ではDCIMシステムの管理画面の例(上:ラック内の機材管理画面
下:サーバー室内の
温度分布管理場面)を示しています。前出のコンポーネントモデルに基づくならば、このシステム
は、「監視」「制御」「自動化」と「分析」「計画」「設計」「提供」を両立する為に相補的情
報がバックグラウンドで交換される統合型システムということが出来ます。
イメージ提供:シュナイダーエレクトリック
StruxureWareTM Data Center
図 39 DCIMシステムの管理画面例
「監視」「制御」「自動化」のコンポーネントは、主にサーバー室等に設置されたシステムのた
めにリアルタイムな情報と自動応答を提供することで、日々の運用を支援してくれます。「分析」
「計画」「設計」「提供」は十分にサポートされていて、十分な情報に基づいた制御された変更
が行えるようにしてくれるため、サーバー室等に十分な能力があり、可用性が影響を受けないこ
とを確認することができます。ダッシュボードレベルでは、利用者にリアルタイムでの情報を提
- 117 -
供し、稼働中のデータセンターの状態と健全性に関する見識をもたらすために、重要な情報を集
計することができます。
典型的なシナリオを用いて、実際にはどのようになるかを検討してみましょう。
-シナリオ4
リオ4:十分な施設・
施設・設備容量
設備容量があ
容量がある
があるか?
概要:
業界の現在のトレンドは、ラックスペースを高密度に使用する方向へと推移しています。利用者
が古いサーバーを新しいものに交換する際は、より強力な仮想化プラットフォームと、ハードウ
ェアを確実に有効活用できるシステムを選ぼうとします。
結果として1ラックあたりの負荷が増加し、十分な電源供給能力と空調能力を確保しようと努め
ている物理インフラチームの不安の原因となります。大切なことは、インフラチームは施設全体
における収容力を高めることだけではなく、スペース内の特定の高密度ラックについても同様の
責任を負っているということです。
当然ながら、これは重要な問題です。間違えばデータセンターサービスの全体的な可用性に悪影
響をもたらすおそれがあるからです。
統合がどのように役立つか:
DCIMはこの問題に対して2つの方向からアプローチします。すなわち、さまざまな物理パラメ
ータ(電力消費、温度など)の監視と、設置済み機器(ラック内の機器に至るまで)のデータベ
ースの細かな管理です。
サーバー室内および個々のラック内のセンサーで行われる温度測定により、そのスペースでの全
体的な温度分布を把握することができます。データセンターにデータを供給している配電盤や各
ラックに設置された電力監視機器は、個々の機器の消費電力を監視するための分電盤(PDU)レ
ベルに至るまで、どこで電力が使われているか、施設能力に対してどの程度の余裕を持って稼動
しているのかを、詳細に示すことができます。
設置済み機器のデータベースは、通常負荷および最大負荷の情報に照らして相互参照することが
できるため、ラックに設置された機器の正確なモデルを詳細に追跡するのに役立ちます。
これらの情報はすべてDCIMシステムによってシームレスに統合されるため、施設の状態を総合
的に把握し、多くの情報に基づいて戦略的な判断を下すことができます。
結果:
電力および空調システムの現在および過去のトレンドデータの確認に基づいて、物理インフラチ
ームは、限界に近い状態で稼動しているラックと、優先順位付けが可能で必要なインフラのアッ
プグレードを計画しているラックとを識別することが可能になりました。また、新規に設置した
機器は、どのようなものでもより低いレベルで稼動している場所に向けられ、現在の能力が最大
限の効果が得られるようになります。
その結果、実際の要件に基づいた、一歩先んじた戦略的なインフラのアップグレードが可能とな
り、施設がその仕様上の限界範囲内で安全に稼動しており高い可用性が確保されていることを確
- 118 -
認できるようになります。
-シナリオ5
リオ5:冗長設計
長設計は主要インフラストラクチャ
インフラストラクチャーを保
ーを保護してく
してくれるか
れるか?
概要:
データセンターはその業務の性質上、主要インフラは冗長度が極度に高い設計になっています。
ただし、データセンター内では日々絶え間なく変更が生じるため、システムが正しく構成されて
いること、設計によるリスクを最小化できていることを、定期的に確認する必要があります。
ベストプラクティスは、これらのコアシステムがいかなる単一障害点(SPOF:Single Point of
Failure)をも持たないという確認を必要とします。システムの冗長運用を本当の意味で確認し、
運用ポリシーに準拠するためには、機能テストを定期的に実施する必要がありますが、理想的に
はこのテストは、オフラインサイトではなく、また利用者の利便性に影響を及ぼしたりすること
なく、必要に応じて実施できるのが望ましいと考えられます。
統合がどのように役立つか:
DCIMシステムでは、本質的にシステムの一部として維持されている、機器の詳細な構成データ
ベースによって、仮想シナリオのシミュレーションを実行して、特定の電源供給を「取得する」
ことがデータセンターの運用にどのように影響しているのかを示すことができます。
与えられたシナリオでは、オフラインで取得される機器とデータセンター内の特定の機能の可用
性と、その機能が喪失した場合に生じる波及効果を記したリストが生成されます。
結果:
シミュレーションの結果に基づき、物理インフラチーム、ITインフラチームのいずれかが、冗長
システムが計画通りに稼動するように、戦略を定義し、システム構成に変更を加えることが可能
になります。重要な点として、そうしたシミュレーションは、運用に影響を及ぼすことなくいつ
でも実行でき、定期的なシステム点検(四半期ごと、毎月など)に含めることもできます。
その結果、データセンター要員は、自分たちの冗長システムが正しく稼動していて、施設の可用
性も確保されているという一定の安心感のもとで運用を実施することができます。
-シナリオ6
リオ6:施設の
施設の運用を
運用を自動化によ
自動化によっ
によって改善で
改善できるか?
概要:
通常のデータセンターでは、さまざまなセンサーや機器からおびただしい量のデータが得られま
す。ほとんどのDCIMシステムで使用可能なトレンディング機能を用いてこのデータの履歴を確
認することにより、長期にわたるデータセンター施設の運用について役立つ見識を得ることがで
き、受け身ではなく、積極的な対策を実施することができます。
そうしたデータをリアルタイムで受け取れるこの機能は、間違いなく有用で重要な機能です。ま
た(運用効率の改善におけるプラス効果と、インシデントに対するタイムリーな応答を伴うのが
理想ですが)システムからより多くを得るということは理にかなっています。
これを達成するために、典型的な運用イベントに対する応答プロセスを効率化するための、警告
- 119 -
表示、自動化、およびエスカレーション機能を提供するDCIMシステムの能力に注目する必要が
あります。
統合がどのように役立つか:
最初の例は、サーバー室内の空調ユニットの1つで発見された水漏れが、重大なアラームとして
DCIMで事前定義されています。
システムは、高優先度のアラームとして監視ステーションに表示されるだけではなく、関連付け
られた空調室内機を自動的にシャットダウンし、保守担当のデータセンター要員に対してアラー
ムの詳細(タイプ、場所、その他の関連情報など)を記したEメールまたはSMS通知を送信する
ように設定されます。
別の例では、特定のラック上のユニットが「バッテリー使用」で稼動を開始したことを、UPS監
視が示しています。統合監視システムはどの仮想マシンがラック上のサーバーのシャットダウン
に影響を受けるかを検知し、自動的に仮想化環境の管理システムに通知します。仮想化環境の管
理システムはその通知に応答して、影響を受けた仮想マシンを健全なラックへ移動します。
別の状況では、ローカルとラックレベルの両方で、サーバー室内全体を通じて設置され温度セン
サーが、二つの異なるレベルで情報を提供してくれます。ただし、注意しなければならないのは、
どのレベルで問題が発生するのかによって利用者の反応は異なりやすいので、各アラームのニー
ズに合わせたカスタマイズがなされるようにシステムを構成できるようにするのが望ましいと
いうことです。
例えば、ラックでの局在的かつ過渡的な過熱(現在の最大しきい値に基づく)が発生した場合、
関連する区画で別空調装置が自動的に始動すると同時に、データセンター要員に対して必要に応
じて確認と修正を行うようアラームが通知されます。ただし、サーバー室内全体の温度センサー
が温度の全体的な増加を示している場合、それはシステムにより複雑な問題が存在するサインで
ある可能性があります。それに応答して、施設チームに対し自動的に通知が送信され、上位のデ
ータセンター要員にEメールによるエスカレーションが行われ、そのメールがダッシュボード上
で重要なアラームとして表示されます。
結果:
各アラームのメリットを検討し、適当なしきい値を割り当てることにより、最適な応答方法を判
断することが可能になります。通知は、問題の修正のために適切なデータセンター要員に宛てら
れ、必要に応じて、その重要度に従ってさらに上位のデータセンター要員等へとエスカレーショ
ンされます。その結果、適切なデータセンター要員への通知をシステムが「知的に」優先度を付
けて送信するため、問題への対応が大幅に改善し、可用性に影響しかねない重要な問題を回避す
ることができます。
- 120 -
5.9 ネットワークセキュリティサービス
データセンター側は、データセンターの利用者に対しネットワークセキュリティサービスを提供
する場合があります。本節では簡単にネットワークセキュリティサービスをどのように提供し、
提供するサービスのスペックの測り方、そして、サービスを提供する際のチェックポイントを紹
介します。以下に本節で紹介するDoS対策(ADS;Anti DoS System)ファイアウォール、IDS
(Intrusion Detection System:侵入検知システム)/IPS(Intrusion Prevention System)、
メールフィルタリング、アンチウイルス、WAF(Web Application FireWall)といった各サー
ビスの提供箇所および役割をまとめたものを図 40に記載します。
イメージ提供:セコムトラストシステムズ
図 40 サービスの提供箇所および役割
5.9.1 サービスの提供方法
サービスを提供するに当たり、ネットワークセキュリティサービスをネットワークのどの箇所で
実現するか検討する必要があります。サービスを複数の利用者で共有して利用させる場合は、各
利用者のトラフィックを集約できる箇所が望ましいため、ネットワークの比較的上位の箇所とな
ります。対して各利用者専有で利用させる場合では、各利用者のネットワークの集約している箇
所、例えばインターネット回線の入線ライン上になります。実現する箇所の違いについては、後
述の-該当サービスを実現する資源は共有か専有か-にて述べます。
次に、ネットワークセキュリティサービスを実現する方法ですが、アプライアンスとソフトウェ
アの2通りが考えられます。アプライアンスの場合は、メーカーやベンダーから提供される機器
を利用し実現します。ソフトウェアの場合は、サーバーを用意し、サーバー内にソフトウェアを
導入することで実現します。アプライアンスはメーカーやベンダーのサポートがありますが、そ
の分高価となるのが一般的です。対してソフトウェアにはメーカー、ベンダーがサポートしてい
るものとオープンソースのものが存在します。オープンソースを利用した構築は比較的安価に実
現可能ですが、サービス全体として見ると、メーカーやベンダーのサポートに関するノウハウを
含む、運用全てのノウハウをデータセンター側で持つ必要がでてくるため、運用品質の如何によ
ってサービスの品質や運用負荷が大きく左右される恐れがあります。また、ソフトウェアの場合
は、仮想サーバーの上で動作可能なもの(仮想アプライアンス)もあります。クラウド環境でこ
- 121 -
れらのサービスを構築する場合には、運用(ファイアウォールの設定など)を利用者に任せるこ
とができるメリットがあります。
5.9.2 サービスのスペックの測り方
ネットワークセキュリティサービスを実現する機器には、機器のメーカーや機種毎に様々なスペ
ックが用意されています。ここで言うスペックとは、例えば、100Mbpsまで処理できる、収容
できるポート数が多い等の指標を指します。データセンター事業者は、サービスを用意する場合
に利用者に安定してサービスを提供するために必要な環境(スペック)を理解しておく必要があ
ります。特に、既存のネットワーク等の環境が存在せず、新規で構築する場合には、必要なスペ
ックを測るのに苦労します。どの程度のサービスレベルを利用者に提供する必要があるのかを理
解する必要があります。
また、基盤を作成する際には、ある程度スペックに余裕を持って選択する必要があります。機器
によっては、アップデートを繰り返すことによって必要な処理数が増え、処理可能な値が低下す
る可能性もあります。機器スペックの公称値は各メーカーやベンダーが共通のものを利用してい
るとは限らないという理由もあります。可能であれば、利用予定の環境を想定した検証や、実環
境に実際に導入するテスト利用をお勧めします。
5.9.3 サービスを利用してもらう際のチェックポイント
ネットワークセキュリティサービスの種類によって、データセンターでは無償で(標準で)提供
している場合と、有償で提供している場合があります。といっても、標準のサービス利用費用に
含まれるか、別途有償かの違いの場合が多数だと考えられます。しかし、無償と有償のサービス
が存在する場合、双方のサービスレベルには違いが存在する可能性もあり、また、標準でサービ
スを付加しすぎると、利用者にとって必要の無い費用がサービス費用に含まれる可能性も出てく
るため、標準で提供するサービス内容の検討が必要です。例えば、ファイアウォールのような機
器は一般に普及しているため、シンプルな利用方法であれば利用者側でも運用が可能です。しか
し、IDS/IPSやWAF、ADSといった機器の運用については高い専門知識が必要となります。そ
れらの機器を利用者側で用意する場合においても、導入から運用まで全てサポートするマネジメ
ントサービスを提供する会社もあるため、自社で全てを用意する必要がないことも考慮する必要
があります。
データセンター事象者は用意するサービスに関して利用者に対し複数のサービスをデータセン
ター側から一括で提供を受けることで、監視・運用のサービスレベルの均一化が図れるなどとい
った、複数のサービスを連携することによるメリットを説明する必要があります。また、情報の
共有面や対応速度面でも、単一のデータセンターが複数のサービスを一括で提供する方が、複数
のサービス提供会社で情報共有するよりメリットが大きいと考えられます。
以下に、利用者側でサービスとポリシーの整合性確認の際によく参照される項目を紹介します。
- 122 -
-該当サービスを
該当サービスを実現
サービスを実現する
実現する資源
する資源は
資源は共有か
共有か専有か
ここで言う資源とは、例えばファイアウォールのサービスを利用する場合の、ファイアウォール
の容量を指します。その資源を、複数の利用者で共有するか、または利用者単体で専有するかの
違いです。共有の資源においては利用者毎のカスタマイズを柔軟にしようとすれば、データセン
ターの運用が大変になり(運用コストが上がる)、データセンターの運用コストを抑えようとする
と利用者毎の柔軟性が犠牲になるというトレードオフの関係が成立します。その対策として専有
化や仮想アプライアンスによる仮想的な専有化が考えられます。
資源を共有した場合の利用者のメリットをしては複数の利用者で資源を共有することで専有に
比べ安価にサービスを利用することができます。デメリットとしては、複数の利用者を統合して
運用するため専有に比べ障害の発生確率が上がることが考えられます。また、他利用者要因で共
有の資源に問題が発生した場合、複数の利用者に同時に影響が出る可能性もあります。
専有で利用した場合のメリットは、共有利用のデメリットが解消されることであり、デメリット
は共有利用のメリットが無くなることになります。専有利用の方が共有利用に比べ高価となりま
すが、共有利用では利用できない機能や、サービスレベルの向上が考えられます。
-日次や
日次や月次、
月次、緊急時
緊急時のレポートや連絡
のレポートや連絡の
連絡の有無や内容
利用者は、ネットワークセキュリティサービスのレポートの閲覧や、緊急時の通報等を希望する
場合があります。例えば、ファイアウォールのトラフィックの情報をデータセンター側が用意し
たWebページ上で確認できる、IDS/IPSやWAFでぜい弱性を付く攻撃を検知した場合に利用者
に対し即時でレポートが提出される、といったサービスがあります。このようなログは、障害時
や監査の際に利用できる利点があります。
-サービスの設定
サービスの設定変更
設定変更に
変更に伴う制限について
サービスによって、設定変更を実施する際の制限を明確にする必要があります。例えば、設定変
更可能な時間帯、設定変更までの時間の約束、設定変更による金銭の発生等が上げられます。場
合によっては、利用者が緊急でデータセンター側に依頼する場合があるため、制限を明確にして
おく必要があります。
-サービスを受
サービスを受けられるトラフィック制
れるトラフィック制限の有無や限度
サービスによって、トラフィックの制限を明確にする必要があります。例えば、ある期間(一日
や一ヶ月等)のトラフィックに制限値を設け、制限値までしかサービスを利用できなくさせる(ま
たは保証しない)、ある値を超えた場合は別途費用が発生する等です。
-サービスを受
サービスを受けられるプロトコ
れるプロトコル制限の有無
サービスによって、サービスを受けられるプロトコルを明確にする必要があります。例えば、U
TM(Unified Threat Management)のウイルスチェック機能を利用する場合は、HTTP、FTP、
SMTPだけしか対象とせず、それ以外のプロトコルについては対象外といったような内容です。
- 123 -
-サービスを受
サービスを受けられる時間
れる時間帯
時間帯の内容
サービスによって、サービス提供時間帯を明確にする必要があります。例えば、24時間365日
での品質を保証するのか、平日日中帯のみ品質を保証するのかです。利用者側からすれば24時
間365日利用できることが望ましいですが、サービス提供のための費用を削減するため、平日日
中帯と制限することも考えることができます。
-障害対応
障害対応時間
サービスによっては、障害対応可能な時間を明確にする必要があります。よくある形態としては、
平日9時~18時といった平日日中帯のみや、平日休日問わず24時間365日対応する形態があり
ます。また、障害を復旧するにあたり、目標時間を定めるかどうか検討する必要もあります。官
公庁や金融等の重要のシステムの場合、利用者側のサービス利用条件として障害対応時間に制限
がある場合があります。
5.9.4 サービス毎の特筆事項
-DoS対策
DoS対策(
対策(ADS:
ADS:Anti DoS Sy
System)
stem)サービス
ADSにて対応するDoS攻撃は、主にネットワークの帯域幅やサーバーの資源を枯渇させるよう
な攻撃となります。ぜい弱性を突いた結果、CPUの使用率が100%になるといったような攻撃
も対応できますが、そのような攻撃はIDS/IPSにて対応することが一般的です。
ADSの設置位置ですが、資源を枯渇させる攻撃のためよりインターネット側に近い箇所に設置す
るべきです。攻撃により、ファイアウォールやIDS/IPSといった他の資源が先に尽きる可能性が
あるため、ADSはそれらよりインターネット側に設置する必要があります。
なお、執筆時点ではIDS/IPSやWAFと比べてADSの機器は高価なものとなっています。また、
DoS攻撃自体の発生よりもファイアウォールやIDS/IPSにて対応可能な攻撃発生する可能性が
高いという点にも留意が必要です。
ADSについてもフェイルオープン機能が備わっているものがあるため、確認の必要があります。
-ファイアウォールサービス
ファイアウォールに関しては、比較的データセンター毎で提供される機能自体に大きな違いはあ
りませんが、ファイアウォールの性能監視や死活監視画面のようなレポートに差がある場合があ
ります。
-メールフィルタサービス
基本的なサービスは、機密情報の漏えい、ウイルスの遮断、スパムメールのフィルタリングです
が、メールの添付ファイルを自動的にzipファイル化しパスワードを宛先側に送付してくれたり、
添付ファイルの送信サイズを制限したり、添付ファイルの拡張子に制限をかけたりできます。
他にも、私用メールの有無や、メール文面内の特定キーワードの制限、社員毎の制限等の詳細な
設定が可能です。メールフィルタサービスを安価に提供する場合には、資源を利用者で共有利用
- 124 -
させ、基本的なサービスのみ提供し、より詳細な設定が必要な場合は専有利用の提案も検討する
必要があります。
-アンチウイルスサービス
アンチウイルスサービスは、ゲートウェイ型のアプライアンスまたはソフトウェアで提供します。
アンチウイルス機能は、ベンダーが提供するパターンファイルと被疑のファイルを比較すること
によって、マルウェアを検出します。パターンファイルは、高頻度で更新されますので、常に
最新のものになっているように管理することが重要です。
-IDS/IPS (Intrusion Detection Sy
System/ Intrusion Prevention Sy
System)
stem)サービス
IDSとIPSの違いですが、IDSは検知のみを行い、IPSは防御(遮断)まで行います。IDS/IPSの
どちらを選択するかですが、他の防護手段を用意せずに高いセキュリティレベルを実現する必要
がある場合はIPSを選択するべきです。一方でIPSを利用する場合、正常通信の誤遮断や機器障害、
パッチ適用等によるネットワーク断のリスクがあるため、どうしても停止できないようなシステ
ム上に導入する場合は、IDSの選択肢もあります。IDS/IPSは提供する機能の性質上、ルーター
やスイッチ、ファイアウォールなどの比較的単純な処理をする機器より障害が多いということを
考慮する必要があります。またIPSの場合、ハードウェア障害時には通信をIPSの検査エンジンに
通さず通過させるフェイルオープン機能というものが備わっている場合があります。障害時の影
響を左右させるものであるため、こちらの有無の確認も必要です。
IDS/IPSの検知/防御方式には、シグネチャ型、アノマリ型、振る舞い検知型があります。シグネ
チャ型は、攻撃パターンのデータベースとのマッチングにより攻撃を検知するもので、最も一般
的ですが、データベースに存在しない攻撃の検知・防御はできません。アノマリ型は、通常時の
状態をプロファイルに設定し、違反した場合に異常とみなす方式で、未知の攻撃でも検知できる
場合がありますが、誤検知防止のため、プロファイルのチューニングが必要となります。振る舞
い検知型は、ワームや不正アクセスの振る舞いで攻撃を検知する方式で、未知のワーム・ゼロデ
イ攻撃にも対応可能ですが、IDS/IPSの負荷が高くなる傾向があります。
IDS/IPSで検知・防御を実施した結果はデータセンター側がレポートとして提供する場合は、日
次や月次のタイミングで定期的に利用者側が確認します。レポートの内容としては、検知時刻、
送信元/宛先IPアドレス、送信元/宛先ポート、検知したルール名、検知した通信の詳細(Webサ
イトにアクセスした際に検知したのであれば、URLや攻撃と判断した文字列等)が記載されるた
め、サービス検討の際には、どのような項目をレポートとして出力するか検討する必要がありま
す。
-WAF(
WAF(Web Application Firewall)
Firewall)サービス
WAFの提供方法には、ブラックリスト型とホワイトリスト型の2種類があります。ブラックリス
ト型は、IDS/IPSと同様に、シグネチャを用いて予め決められたルールにのっとる通信パターン
を検知・遮断する方法です。レポートの提供方法も似たような形式となります。一方ホワイトリ
スト型は、正常な通信パターンを予めWAFに登録しておくことで、正常な通信のみ通過させる
- 125 -
方法です。
一見両方とも同じような効果に見えますが、ブラックリスト型はシグネチャが提供されない限り
未知の攻撃の検知・防御が不可能なため対応が遅れる場合があり、予め正常な通信のみを通すよ
う強制するホワイトリスト型の方がセキュリティレベルは高くなります。データセンター側が利
用者と連携を取りながら設定する場合は、利用者側とデータセンター側が綿密に連携する必要が
あり、頻繁にWAFで防御するシステムのWebアプリケーションを改修する場合は、利用者側と
データセンター側の負担が増加します。データセンター側が設定を全くせず、WAFの設定の利
用権のみ利用者に譲渡するサービスもあります。
WAFの中には、WebサーバーあるいはWebアプリケーションサーバーにインストールするタイ
プのものがあります(ホスト型)。この場合は、Webアプリケーションの特性によって防御する
通信のパターンをチューニングすることができるので便利です。アプライアンスの場合は、この
チューニングをどの程度柔軟に実施できるかどうかを確認する必要があります。
WAFについても他の機器同様、フェイルオープン機能が備わっているものがあるため、ネット
ワークに対しインラインで設置している場合には確認の必要があります。
- 126 -
執筆協力者一覧(会社名順)
後藤 武志
NECネッツエスアイ 株式会社
佐藤 隆明
NECネッツエスアイ 株式会社
土谷 尚
NECネッツエスアイ 株式会社
遠山 尚孝
株式会社 KTシステムズ
宮地 英和
河村電器産業株式会社
有本 一
シュナイダーエレクトリック株式会社
鈴木 良信
シュナイダーエレクトリック株式会社
トニー クラークス
シュナイダーエレクトリック株式会社
山崎 訓由
新日鉄住金ソリューションズ株式会社
亀村 昭寛
住友電気工業株式会社
田口 雄二
住友電気工業株式会社
月足 新
住友電気工業株式会社
今村 武英
住友電気工業株式会社
森口 雅弘
住友電気工業株式会社
松本 泰
セコム株式会社
水戸 和
セコム株式会社
藤川 春久
セコムトラストシステムズ株式会社
毛利 信雄
セコムトラストシステムズ株式会社
深田 航
セコムトラストシステムズ株式会社
川出 章
TIS 株式会社
植田 聡
日本カバ株式会社
西山 利明
日本カバ株式会社
小川 三奈津
日本カバ株式会社
鈴木 彰人
日本カバ株式会社
田中 伸佳
日本電気株式会社
宮山 直喜
一般財団法人 日本品質保証機構
上野 天徳
一般財団法人 日本品質保証機構
吉方 敬
能美防災株式会社
住谷 健
ビデオテクニカ株式会社
福田 次郎
三菱総合研究所 (JDCC事務局)
清水 健
株式会社 野村総合研究所
小泉 充
株式会社 野村総合研究所
高 元伸
ヤフー株式会社
データセンター セキュリティ ガイドブック
Ver1.0
2013年08月発行
特定非営利活動法人日本データセンター協会
Japan Data Center Council (略称:JDCC)
http://www.jdcc.or.jp
付録.A セキュリティ区画-脅威-管理策-基準対照表
区画
セキュリティ
レベル
管理策の実施場所
レベル1
駐車区画(敷地内)
外周フェンス
正面来客口
機器搬入・搬出口
エントランス
レベル2
区画
従業員出入口
建屋窓・外壁
検査区画
管理策
ISMS(ISO27002)
門扉(正門、裏門)
敷地区画
脅威
レベル3
手荷物検査室
レベル4a
オフィス
レベル4b
サーバー室
(前室含む)
レベル5a
ラック
レベル5b
重要設備室
(ネットワーク、
電気、空調設備室等)
共有区画
重要区画
画像監視システム(0ルクス対応、動体検知)
施錠可能かつ強固・十分な高さを持つ門扉
侵入検知システム(パッシブセンサー)
侵入(乗り越え)
防犯灯
カメラ付きインターフォン
立哨警備
画像監視システム(0ルクス対応、動体検知)
施錠可能かつ強固・十分な高さを持つ門扉
侵入検知システム(パッシブセンサー)
侵入(破壊)
防犯灯
カメラ付きインターフォン
立哨警備
車両事故(接触〔対 画像監視システム(0ルクス対応、動体検知)
物〕)
施錠可能かつ強固・十分な高さを持つ門扉
画像監視システム(0ルクス対応、動体検知)
搭乗者受付
不審車両
車両受付ゲート(ナンバー識別、RFID、IC)
巡回警備
画像監視システム(0ルクス対応、動体検知)
フェンス(忍び返し含む、強度のあるもの)
防犯システム(パッシブセンサ)
侵入(乗り越え)
防犯システム(フェンスセンサー)
防犯灯
巡回警備
画像監視システム(0ルクス対応、動体検知)
フェンス(強度のあるもの)
防犯システム(パッシブセンサ)
侵入(破壊)
防犯システム(フェンスセンサー)
防犯灯
巡回警備
来館者受付(事前入館申請含む)
不審者の侵入
画像監視システム
(訪問内容確認含む) 立哨警備
カメラ付きインターフォン
画像監視システム(置き去り、持ち込み検知)
危険物の持ち込み
立哨警備
不審者侵入・
画像監視システム
危険物の持ち込み 立会い
画像監視システム
搬入物品の盗難
立会い
強固かつ施錠可能なシャッター等の開口部設備
入退管理システム(共連れ検知)
画像監視システム
共連れ
カメラ付きインターフォン
立哨警備
入退管理システム
画像監視システム
不審者の侵入
カメラ付きインターフォン
立哨警備
画像監視システム(0ルクス対応、動体検知)
(破壊による)侵入 防犯システム(ガラスセンサー)
巡回警備
フラッパーゲート
不正侵入
画像監視システム
立哨警備
ローターゲート
入退管理システム(共連れ検知)
共連れ
画像監視システム
立哨警備
持込み検査(金属探知、X線透視)
不審物持ち込み
立哨警備
画像監視システム
不正侵入
入退管理システム(ICカード・生体認証)
画像監視システム
不正侵入
入退管理システム(ICカード・生体認証)
フリーアクセス床の特殊ボルトによる固定
画像監視システム
不正滞留
入退管理システム(在室カウント)
画像監視システム
共連れ
入退管理システム(前室での共連れ検知)
画像監視システム
危険物持ち込み
水、火気、電磁ノイズ源等の持ち込み禁止ルール
火災
火災予兆検知
画像監視システム
情報の不正持ち出し
記録媒体の持ち込み禁止ルール
画像監視システム
不正操作
ラック扉管理(ICカード・生体認証)
(破壊・改ざん)
ラック
画像監視システム
不正操作(破壊)
入退管理システム(ICカード・生体認証)
火災
火災検知システム
基準における言及
FISC 安全対策基準(第8版)
9.1.1(d) [建物・敷地の障壁設置]
設備5‐3[侵入防止(装置)]
設備5‐4[照明]
9.1.1(c) [建物・敷地の入場管理]
設備16‐2[防犯]
9.1.1(d) [建物・敷地の障壁設置]
設備5‐3[侵入防止(装置)]
設備5‐4[照明]
9.1.1(c) [建物・敷地の入場管理]
9.1.1(d) [建物・敷地の障壁設置]
JEITA ITR-1001C
Ⅱ‐2(監視)
Ⅱ‐10[侵入防止]
Ⅱ‐2(監視)
Ⅱ‐10[侵入防止]
Ⅱ‐2(監視)
Ⅱ‐2(監視)
Ⅱ‐10[侵入防止]
Ⅱ‐2[監視]
Ⅱ‐10[侵入防止]
Ⅱ‐2[監視]
設備16‐2[防犯]
Ⅱ‐10[侵入防止]
Ⅱ‐2[監視]
Ⅱ‐2[監視]
Ⅱ‐2[監視]
データセンター独自の価値基準に基づいた管理策
9.1.2(a) [入退記録]
Ⅱ‐11[入退管理]
9.1.1(d) [建物・敷地の障壁設置]
設備5‐2[侵入防止(塀・柵)]
Ⅱ‐10[侵入防止]
設備5‐3[侵入防止(装置)]
Ⅱ‐2[監視]
設備5‐3[侵入防止(装置)]
Ⅱ‐2[監視]
設備5‐4[照明]
Ⅱ‐10[侵入防止]
Ⅱ‐2[監視]
Ⅱ‐2[監視]
9.1.1(d) [建物・敷地の障壁設置]
設備5‐2[侵入防止(塀・柵)]
Ⅱ‐10[侵入防止]
設備5‐3[侵入防止(装置)]
Ⅱ‐2[監視]
設備5‐3[侵入防止(装置)]
Ⅱ‐2[監視]
設備5‐4[照明]
Ⅱ‐10[侵入防止]
Ⅱ‐2[監視]
Ⅱ‐2[監視]
9.1.1(c) [建物・敷地の入場管理]
設備16‐1[出入管理]
Ⅱ‐11[入退管理]
9.1.1(f) [扉・窓の侵入検知]
設備16‐2[防犯]
Ⅱ‐2[監視]
9.1.1(c) [建物・敷地の入場管理]
設備16‐1[出入管理]
Ⅱ‐11[入退管理]
9.1.1(c) [建物・敷地の入場管理]
設備16‐2[防犯]
設備16‐2[防犯]
Ⅱ‐2[監視]
Ⅱ‐2[監視]
9.1.1(f) [扉・窓の侵入検知]
設備16‐2[防犯]
Ⅱ‐2[監視]
9.1.2(a) [訪問者監督]
設備16‐2[防犯]
Ⅱ‐2[監視]
9.1.2(a) [訪問者監督]
9.1.6(c)[荷受場の外部扉]
設備19[扉]
Ⅱ‐10[侵入防止]
設備16‐1[出入管理]
Ⅱ‐11[入退管理]
設備16‐1[出入管理]
Ⅱ‐2[監視]、Ⅱ‐11[入退管理]
設備16‐1[出入管理]
Ⅱ‐11[入退管理]
設備16‐1[出入管理]
Ⅱ‐2[監視]、Ⅱ‐11[入退管理]
設備16‐2[防犯]
Ⅱ‐11[入退管理]
設備16‐2[防犯]
Ⅱ‐2[監視]
設備16‐2[防犯]
Ⅱ‐11[入退管理]
設備16‐2[防犯]
Ⅱ‐2[監視]、Ⅱ‐11[入退管理]
9.1.1(f) [扉・窓の侵入検知]
Ⅱ‐2[監視]
9.1.1(f) [扉・窓の侵入検知]
設備15[開口部防犯]
Ⅱ‐2[監視]
Ⅱ‐2[監視]
9.1.2(b) [アクセス管理・記録]
Ⅱ‐11[入退管理]
9.1.1(f) [扉・窓の侵入検知]
Ⅱ‐2[監視]
Ⅱ‐2[監視]
9.1.2(b) [アクセス管理]
Ⅱ‐11[入退管理]
9.1.2(b) [アクセス管理]
Ⅱ‐11[入退管理]
9.1.2(b) [アクセス記録]
Ⅱ‐2[監視]
Ⅱ‐2[監視]
(9.2.7(a) [装置・情報の持出禁止]) 設備16‐2[防犯]
Ⅱ‐2[監視]
Ⅱ‐2[監視]
9.1.2(b) [アクセス管理]
Ⅱ‐11[入退管理]
9.1.2(b) [アクセス記録]
Ⅱ‐2[監視]
9.1.2(b) [アクセス管理]
設備45‐1[出入管理]
Ⅳ‐14[入退管理]
9.1.2(b) [アクセス記録]
設備45‐1[出入管理],2[防犯] (Ⅱ‐2[監視])
データセンター独自の価値基準に基づいた管理策
9.2.1(a)[不必要な接触の最小化]
(運用61[作業管理])
9.2.1(a)[不必要な接触の最小化]
(運用61[作業管理])
(Ⅱ‐2[監視])
9.1.2(b) [アクセス管理]
設備27‐1[入室者チェック]
Ⅳ‐14[入退管理]
9.1.2(b) [アクセス記録]
設備45‐1[出入管理]
(Ⅱ‐2[監視])
9.2.1(d)[潜在的な脅威の抑止]
Ⅲ‐22[電磁ノイズ源の持込禁止]
9.2.1(d)[潜在的な脅威の抑止]
Ⅲ‐22[電磁ノイズ源の持込禁止]
9.2.1(d)[潜在的な脅威の抑止]
設備37[火災報知]
Ⅲ‐17[火災報知]
9.2.7(a) [装置・情報の持出禁止]
9.2.7(a) [装置・情報の持出禁止]
9.1.2(b) [アクセス管理]
(運用61[作業管理])
Ⅱ‐17[ラック]
9.1.2(b) [アクセス管理]
(運用61[作業管理])
Ⅱ‐17[ラック]
9.1.2(b) [アクセス記録]
(運用61[作業管理])
(Ⅱ‐2[監視])
9.1.1(f) [扉・窓の侵入検知]
設備55[侵入防止(施錠)]
Ⅳ‐14,Ⅴ-10[施錠]
データセンター独自の価値基準に基づいた管理策
9.2.1(d)[潜在的な脅威の抑止]
設備57[火災報知]
Ⅳ‐6[火災報知]
付録B.関連ドキュメント一覧
No.
名前
カテゴリ
発行元
発行
URL
分量
出典項
基準・ガイドライン
ISO/IEC 27001:2005 Information technology -- Security
1 techniques -- Information security management systems -Requirements
JIS Q 27001:2006 情報技術 - セキュリティ技術 - 情報セキュリティ
2
マネジメントシステム - 要求事項
ISO/IEC 27002:2005 Information technology -- Security
3 techniques -- Code of practice for information security
management
JIS Q 27002:2006 情報技術 - セキュリティ技術 - 情報セキュリティ
4
マネジメントシステムの実践の為の規範
マネジメント
システム
International Organization for
Standardization
2005
http://www.iso.org/iso/home/st
ore/catalogue_tc/catalogue_det 34ページ
ail.htm?csnumber=42103
P.66,70
マネジメント
システム
日本工業標準調査会
2006.5
http://www.jisc.go.jp/index.html 33ページ
P.66,70
マネジメント
システム
International Organization for
Standardization
2005
http://www.iso.org/iso/home/st
ore/catalogue_tc/catalogue_det 115ページ
ail.htm?csnumber=50297
P.66,71
マネジメント
システム
日本工業標準調査会
2006.5
http://www.jisc.go.jp/index.html 138ページ
P.66,71
ISO/IEC 20000-1:2011 Information technology -- Service
5
management -- Part 1: Specification
マネジメント
システム
International Organization for
Standardization
2011
http://www.iso.org/iso/home/st
ore/catalogue_tc/catalogue_det 26ページ
ail.htm?csnumber=51986
P.66,71
6 JIS Q 20000-1: 情報技術 - サービスマネジメント - 第1部:仕様
マネジメント
システム
日本工業標準調査会
2007.4
http://www.jisc.go.jp/index.html 29ページ
P.66,71
ISO/IEC 20000-2:2012 Information technology -- Service
7
management -- Part 2: Code of practice
マネジメント
システム
International Organization for
Standardization
2012
http://www.iso.org/iso/home/st
ore/catalogue_tc/catalogue_det 85ページ
ail.htm?csnumber=51987
P.66,71
JIS Q 20000-2: 情報技術 - サービスマネジメント - 第2部:実践の
8
ための規範
ISO 22301:2012 Societal security -- Business continuity
9
management systems --- Requirements
マネジメント
システム
マネジメント
システム
日本工業標準調査会
2007.4
http://www.jisc.go.jp/index.html 35ページ
P.66,71
International Organization for
Standardization
2012
10 ISO 9001:2008 Quality management systems -- Requirements
マネジメント
システム
International Organization for
Standardization
2008
11 JIS Q 9001 品質管理システム - 要求事項
12
JIS Q 15001:2006 個人情報保護マネジメントシステム - 要求事
項
13 IT-1002A 情報システムの設備環境基準
14 ITR-1001C 情報システムの設備ガイド
マネジメント
システム
マネジメント
システム
日本工業標準調査会
2008.12
日本工業標準調査会
2006.5
データセンター
社団法人 電子情報技術産業協
2011.4
会
データセンター
社団法人 電子情報技術産業協
2011.3
会
16
ANSI/TIA-942-A Telecommunications Infrastructure Standard for
データセンター
Data Centers
17
ANSI/BICSI 002-2011 Data Center Design and Implementation
Best Practices
データセンター
Building Industry Consulting
Service International
2011
18 G1-031Phisical Protection of Computer Servers
データセンター
Royal Canadian Mounted Police
2008.3
19 GO-ITS 25.18 Physical Security Requirements for Data Centers
データセンター
Government of Ontario
2012.11
20 Tier Standard: Topology
階層系
Uptime Institute
2010.6
21 Tier Standard: Operational Sustainability
階層系
Uptime Institute
2010.6
22 SYSKA CRITICALITY LEVEL DEFINITION
階層系
Syska Hennessy Group, Inc.
2005.4
23 IBM-DP Facility Reliability Requirement
階層系
IBM Inc.
--
24 データセンター ファシリティ スタンダード
階層系
NPO 日本データセンター協会
2010.10
25
データセンター
クラウドサービス利用のための情報セキュリティマネジメントガイドラ
クラウド
イン
経済産業省
商務情報政策局
情報セキュリティ政策室
総務省
情報通信政策局
情報セキュリティ対策室
総務省
情報通信政策局
情報セキュリティ対策室
総務省
報通信政策局
情報通信政策課
総務省
情報流通行政局
情報流通振興課
総務省
情報流通行政局
情報流通振興課
2011.4
2012.8
2011.4
26 ASP・SaaSの情報セキュリティ対策に関する研究会報告書
クラウド
27 ASP・SaaSにおける情報セキュリティ対策ガイドライン
クラウド
28 ASP・SaaSの安全・信頼性に係る情報開示指針
クラウド
29 IaaS・PaaSの安全・信頼性に係る情報開示指針
クラウド
30 データセンターの安全・信頼性に係る情報開示指針(第2版)
データセンター
31 データセンター利用ガイド
データセンター
NPO ASP・SaaS・クラウドコンソー
2010.10
シアム
32 クラウド情報セキュリティ管理基準
クラウド
NPO 日本セキュリティ監査協会
33
クラウドサービス利用者の保護とコンプライアンス確保のためのガイ
クラウド
ド
2008.1
2008.1
2007.11
2011.12
2011.12
2012.8
NPO ASP・SaaS・クラウドコンソー
2011.7
シアム
34 CSA Guidance v2.16
クラウド
Cloud Security Alliance
2009.12
35 CSA Cloud Controls Matrix v1.1
クラウド
Cloud Security Alliance
2010.12
クラウド
European Network and
Information Security Agency
2001.11
Cloud Computing: Benefits, risks and recommendations for
36
information security
37 Cloud Computing: Information Assurance Framework
クラウド
38 医療情報システムの安全管理に関するガイドライン 第4.1版
医療
39 医療情報を受託管理する情報処理事業者向けガイドライン
医療
40
ASP・SaaS 事業者が医療情報を取り扱う際の安全管理に関するガ
医療
イドライン 第1.1版
政府機関の情報セキュリティ対策のための統一基準群(平成24年度
41
政府
版)
42 金融機関等コンピュータシステムの安全対策基準(第8版)
European Network and
Information Security Agency
厚生労働省
医政局
政策医療課
医療技術情報推進室
経済産業省
商務情報政策局
情報経済課
2001.11
2009.3
2012.10
総務省
2010.12
情報流通行政局情報流通振興課
内閣官房
情報セキュリティセンタ
公益財団法人 金融情報システ
ムセンター
2012.4
2011.3
金融
公益財団法人 金融情報システ
ムセンター
2013.3
44 PCI DSS(Payment Card Industry Data Security Standard)v2.0
信販
Payment Card Industry Security
Standards Council
2010.10
45 PA DSS(Payment Application Data Security Standard) v2.0
信販
Payment Card Industry Security
Standards Council
2010.10
46 公共ITにおけるアウトソーシングに関するガイドライン
自治体
総務省
2003.3
47 LGWAN-ASPサービス接続/変更/解除申込書様式
自治体
財団法人 地方自治情報センター --
48 校務分野におけるASP・SaaS事業者向けガイドライン
教育
総務省情報流通行政局情報流通
2010.10
振興課
43
金融機関等コンピュータシステムの安全対策基準・解説書(第8版
追補)
金融
49 情報通信ネットワーク安全・信頼性基準
通信
FIPS PUB31 "Guidelines for Automatic Data Processing Phisical
50 Security and Risk Management(データ処理における物理セキュリ
ティ及びリスクマネジメント)"
政府(海外)
51
NIST SP800-30 rev.1 "Risk Management Guide for Information
Technology Systems(ITシステムの為のリスクマネジメントガイド)"
政府(海外)
NIST SP800-53 rev.4 "Security and Privacy Controls and
52 Assessment Procedures for Frderal Information Systems and
政府(海外)
Organizations (連邦政府情報システムにおける推奨セキュリティ/プ
NIST SP800-116 "A Recommendation for the Use of PIV
53 Credentials in Phisical Access Control Systems (物理アクセスコン 政府(海外)
トロールにおける個人識別情報検証クレデンシャル活用のための
P.66,73
P.66
39ページ
P.66
http://www.jisc.go.jp/index.html 15ページ
P.66
http://www.jisc.go.jp/index.html
一般財団法人 日本品質保証機
構
Telecommunications Industry
Association
15 JQA情報システム及び関連設備の運用基準
http://www.iso.org/iso/catalogu
24ページ
e_detail?csnumber=50038
http://www.iso.org/iso/home/st
ore/catalogue_tc/catalogue_det 30ページ
ail.htm?csnumber=42180
総務省 総合通信基盤局 電気通
信事業部 電気通信技術システム 1987.2
課
National Bureau of Standards
(現:National Institute of
1974.1
Standarts and Technology
National Institute of Standarts
and Technology
2012.9
National Institute of Standarts
and Technology
2010.5
National Institute of Standarts
and Technology
2008.11
http://it.jeita.or.jp/document/se
5ページ
tsubi/ITR1001-1002/1002.htm
http://www.jeita.or.jp/japanese/
standard/book/ITR137ページ
1001C/index.html
http://www.jqa.jp/service_list/in
3ページ
fosecu/service/info/data.html
P.66,77
http://tiaonline.org/node/773
118ページ
P.27,66,81
361ページ
--
--
--
48ページ
--
12ページ
P.66,80
17ページ
P.66,80
--
--
--
P.66
https://www.bicsi.org/book_deta
ils.aspx?Book=BICSI-002-CM11-v4&d=0
http://www.rcmpgrc.gc.ca/physecsecmat/pubs/g1-031-eng.htm
http://www.mgs.gov.on.ca/stdpr
odconsume/groups/content/@
mgs/@goits/documents/resourc
elist/stdprod_102024.pdf
http://www.uptimeinstitute.com
/publications
http://www.uptimeinstitute.com
/publications
http://www.syska.com/expertise
/markets/features/criticalfacilities-criticality.asp
http://www935.ibm.com/services/jp/ja/itservices/jp-so-its-datacenterassessment-workshop.html
http://www.jdcc.or.jp/news/arti
cle.php?nid=eccbc87e4b5ce2fe2 159ページ
8308fd9f2a7baf3&sid=38
http://www.meti.go.jp/press/20
11/04/20110401001/201104010
01.html
http://www.soumu.go.jp/main_so
siki/joho_tsusin/policyreports/c
housa/asp_saas/index.html
http://www.soumu.go.jp/main_so
siki/joho_tsusin/policyreports/c
housa/asp_saas/index.html
http://www.soumu.go.jp/menu_n
ews/snews/2007/071127_3.html
http://www.soumu.go.jp/menu_n
ews/snews/01ryutsu02_02000030.html
http://www.soumu.go.jp/menu_n
ews/snews/01ryutsu02_02000030.html
http://www.aspicjapan.org/busin
ess/datacenter/pdf/datacenter_
vol1.pdf
P.66,79
--
69ページ
--
5ページ
P.81
7ページ
P.81
4ページ
P.81
5ページ
P.81
41ページ
P.81
--
28ページ
--
76ページ
--
9ページ
--
115ページ
--
25ページ
--
http://www.mhlw.go.jp/shingi/20
153ページ
10/02/s0202-4.html
http://www.meti.go.jp/press/20
12/10/20121015003/201210150
03.html
http://www.soumu.go.jp/menu_n
ews/snews/01ryutsu02_01000009.html
http://www.nisc.go.jp/materials/
index.html
http://www.fisc.or.jp/publication
/disp_target_detail.php?pid=225
P.66,77
95ページ
http://www.jasa.jp/about/result
187ページ
/pdf2011/2011_cloud_doc02.pdf
http://www.aspicjapan.org/infor
mation/press/pdf/110712.pdf
http://www.cloudsecurityallianc
e.org/
http://www.cloudsecurityallianc
e.org/
http://www.enisa.europa.eu/act
/rm/files/deliverables/cloudcomputing-risk-assessment
http://www.ipa.go.jp/security/p
ublications/enisa/index.html
P.66,77
P.83
22ページ
P.83
131ページ
P.83
--
P.85
599ページ
P.87
https://www.fisc.or.jp/publicatio
-n/disp_target_detail.php?pid=266
https://www.pcisecuritystandar
ds.org/security_standards/docu 86ページ
ments.php
https://www.pcisecuritystandar
ds.org/security_standards/docu 65ページ
ments.php
--
P.88
--
http://www.soumu.go.jp/denshiji
195ページ
ti/pdf/060213_03.pdf
P.89
https://www.lasdec.or.jp/cms/1
-5,7639,41.html
P.89
http://www.soumu.go.jp/menu_n
ews/s59ページ
news/01ryutsu02_01000004.html
http://www.soumu.go.jp/menu_s
eisaku/ictseisaku/net_anzen/an 27ページ
shin/
http://www.dtic.mil/cgi107ページ
bin/GetTRDoc?AD=ADA406247
http://csrc.nist.gov/publications
/nistpubs/800-3095ページ
rev1/sp800_30_r1.pdf
http://nvlpubs.nist.gov/nistpubs
/SpecialPublications/NIST.SP.8 457ページ
00-53r4.pdf
http://csrc.nist.gov/publications
/nistpubs/800-116/SP80071ページ
116.pdf
--
--
--
P.32
--
--
ドキュメント
A 安全・安心まちづくりハンドブック
B Crime Prevention Through Environmental Design
書籍
書籍
C 組織内部者の不正行為によるインシデント調査
調査報告書
D
監査基準委員会報告第18号『委託業務にかかる統制リスクの評
価』
安全・安心まちづくり研究会
Timothy D.Crowe Diane L.Zahm
独立行政法人 情報処理推進機
構
1998
2000
日本公認会計士協会
2003.1
2012.7
調査報告書
Statement on Standards for Attestation Engagements (SSAE) No.
E
16 "Reporting on Controls at a Service Organization"
米公認会計士協会
調査報告書
2011.6
--http://www.ipa.go.jp/security/fy
23/reports/insider/index.html 104ページ
http://www.hp.jicpa.or.jp/special
ized_field/pdf/00534-http://www.aicpa.org/Research/
Standards/AuditAttest/Pages/
SSAE.aspx
--
P.43
P.43
P.46
P.65
P.65
Copyright © 2013 JDCC All Rights Reserved
付録C.国内関連団体一覧
団体名
一般財団法人 日本規格協会
一般財団法人 日本情報経済社会推進協会
一般財団法人 日本品質保証機構
一般社団法人 電子情報技術産業協会
公益財団法人 金融情報システムセンター
特定NPO法人 ASP・SaaS・クラウドコンソーシアム
特定NPO法人 日本セキュリティ監査協会
URL
www.jsa.or.jp
www.jipdec.or.jp
www.jqa.jp
www.jeita.or.jp
www.fisc.or.jp
www.aspicjapan.org
www.jasa.jp
備考
各種JIS規格の原案作成・発行・出版等
ISMS適合性評価制度の運用等
情報システム安全対策適合証明制度の運用等
「IT-1002A 情報システムの設備環境基準」の発行等
「金融機関等コンピュータシステムの安全対策基準」の発行等
データセンター情報開示制度の運用等
情報セキュリティ監査制度の運用等
一般社団法人 情報サービス産業協会
公益社団法人 防犯設備協会
BICSI(Building Industry Consulting Service International) 日本支部
www.jisa.or.jp
情報サービス産業分野における業界団体
www.ssaj.or.jp
防犯設備士・総合防犯設備士の認定等
www.bicsi-japan.org 情報配線の設計・施工にかかわる資格の認定等
内閣官房 情報セキュリティセンター
独立行政法人 情報処理推進機構
経済産業省 商務情報政策局 情報政策課 情報セキュリティ政策室
総務省 情報流通行政局 情報流通振興課 情報セキュリティ対策室
www.nisc.go.jp
www.ipa.go.jp
www.meti.go.jp
www.soumu.go.jp
国内の情報セキュリティ政策における中核組織
各種調査報告、米国NISTの資料の邦訳等を公開
経済産業省における情報セキュリティ政策を主管する
総務省における情報セキュリティ政策を主管する
Copyright © 2013 JDCC All Rights Reserved

 Download  Report
PDFファイル 187KB - JISC 日本工業標準調査会

PDFファイル 187KB - JISC 日本工業標準調査会

D.e-ComⅡラッキングガイド (DC1版)

D.e-ComⅡラッキングガイド (DC1版)

【TG 1】資金調達とステークホルダーとの取り決め

【TG 1】資金調達とステークホルダーとの取り決め

株式会社水野鉄工所 超軽量バルブスプリングリテーナ

株式会社水野鉄工所 超軽量バルブスプリングリテーナ

第 12 回 食品成分の分析技能試験 参加試験所の募集

第 12 回 食品成分の分析技能試験 参加試験所の募集

先端分野に関する国際標準化への 取組事例

先端分野に関する国際標準化への 取組事例

Paperzz.com

Your Paperzz

© Copyright 2026 Paperzz