備忘メモ #06 CSA Security Guidance v5を読む

2024年7月15日にCSA(Cloud Security Alliance)から"Security Guidance for Critical Areas of Focus in Cloud Computing v5"（以下、CSA Security Guidance v5）が発行されていましたので、斜め読みしたメモを残します。

CSA Security Guidanceとは

CSA Security Guidanceは、クラウドセキュリティに関する普及啓発活動を国際的に行っている非営利法人が発行している、クラウドセキュリティに関するベストプラクティスを体系的にとりまとめたものです。初版（v1）は2009年4月に発行されたので、今回のv5で約15年経ったことになります。
初版が発行された頃は、まだクラウドセキュリティに関するまとまった文書が少なく、様々な機会に参考にしていた記憶があります。
初版が約80ページだったのに対して、v5は300ページ近くあるので、この15年でいろいろな知見が蓄積されたと感慨深いです。

Security Guidance for Cloud Computing v5 | CSA

v5の注目ポイント

前の版（v4）が発行されたのが2017年7月なので、v5は7年ぶりの改訂になります。章構成にあたるドメインも次の表のように大幅に変更されていて、知らずに読むと別の文書のようです。

表 CSA Security Guidanceのドメイン比較（V5 / V4）

ページ数も約150ページ→約300ページと倍増していますが、公式ページによると、特に次の内容が追加されています。

• Zero Trust

• Generative AI

• CI/CD

• Security Monitoring and Operations

• Resilience

• Cloud Telemetry and Security Analytics

• Data Lakes

実際に中身を読んでみると、6章のモニタリングのところがかなり充実している気がします。SEIMやData Lakeを使ったログ収集や、生成AIを用いたモニタリングなど、新しい技術要素の事例がたくさん載っていました。また、FaaS(Function as a Service)のセキュリティにこれだけページ数を割いている文書はあまりないと思いました。
全体として、ボリュームが多くて読むのが大変ですが、現時点でのクラウドセキュリティのベストプラクティスをほとんど網羅していると思います。日本語訳が大変そうですが、CSAジャパンからいずれ翻訳版が発行されることを期待します。