注目される ISMAP:アマゾンが考える本音とガバナンスの整合性 | ScanNetSecurity
2024.03.29(金)

注目される ISMAP:アマゾンが考える本音とガバナンスの整合性

2021年、議員や行政府職員のLINEアカウントの情報(通信内容や履歴)が中国など海外のサーバーに保存されていることが、安全保障上の問題になったことを覚えているだろう。

研修・セミナー・カンファレンス セミナー・イベント
注目される ISMAP:アマゾンが考える本音とガバナンスの整合性
注目される ISMAP:アマゾンが考える本音とガバナンスの整合性 全 1 枚 拡大写真

 2021 年、議員や行政府職員の LINE アカウントの情報(通信内容や履歴)が中国など海外のサーバーに保存されていることが、安全保障上の問題になったことを覚えているだろう。「いまさらそれを問題にするか?」と思わないでもなかったが、政府機関や関係者が海外サービスの利用に制限がかけられることはやむを得ない面もある。

 その後、政府は事業者にデータ保存先の情報公開を義務付けるなど対策を行った。関連して注目されたのが ISMAP という制度だ。ISMAP は、政府情報システムのためのセキュリティ要件を評価するもの。

 データ安全保障の議論は以前から存在した。ISMAP は「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(2018年:サイバーセキュリティ戦略本部)の決定に基づいて検討が進められた。2020年からこの基準に適合するクラウドサービスの登録申請が始まっている。

 安全保障の観点から、政府機関や重要インフラ事業者は、国内の安全なクラウドサービスの利用が推奨されている。ISMAP が注目されるのは、審査をパスした事業者のサービスがリストとして公開され、調達案件や開発案件で参照される(ことが予想される)からである。ISMAP 登録支援コンサルなるサービスも登場している。

●セキュリティ対策とコンプライアンス認証・標準を両立させる

 ところで、ISMAP は重要インフラ事業者など、安全保障と直結する企業・組織だけの問題かというとそうでもない。ガバナンスやコンプライアンスはどの企業にも求められている。近代の企業経営において決して軽んじることができない存在だ。

 営利企業の本音としては資格や認定制度に思うところはありそうだが、ISMAP に限らずセキュリティ基準や規制については大義名分がある。多くの企業は自主的なセキュリティ対策に加え、ガバナンスやコンプライアンスについて、第三者または公的機関の認証または監査に向き合う必要もある。PIC DSS のように認定取得が実質的に義務化(取得しなければ事業ができない)しているものもある。

 半面、ガバナンスやコンプライアンス関連の認証や基準は、規制や取得が目的になりがちで取得維持のコストもばかにならない。セキュリティ対策は、本来自社や顧客を守るためのもので、決して強制されたり、認定バッジをもらうために行うものではない。

 企業は、セキュリティと認証標準との折り合いをどうつければいいのか。ひとつのアプローチとして「コンプライアンスとはただ法令遵守することではなく、楽をするためのものだ」と主張するのは、AWS セキュリティソリューションアーキテクト 中島 智広 氏である。本稿は昨年開催された Internet Week 2021 の同氏講演内容をもとに筆者がまとめたものである。

 中島氏によれば、事業の成長に応じた統制は必要であるが、それが成長を妨げるようなことになっては本末転倒だという。コンプライアンスは、説明責任を下支えする手段であり、ガバナンスとアジリティを両立させるものとすべきだという。


《中尾 真二( Shinji Nakao )》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  3. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  4. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

ランキングをもっと見る
PageTop