注目される ISMAP:アマゾンが考える本音とガバナンスの整合性 | ScanNetSecurity
2024.04.14(日)

注目される ISMAP:アマゾンが考える本音とガバナンスの整合性

2021年、議員や行政府職員のLINEアカウントの情報(通信内容や履歴)が中国など海外のサーバーに保存されていることが、安全保障上の問題になったことを覚えているだろう。

研修・セミナー・カンファレンス セミナー・イベント
注目される ISMAP:アマゾンが考える本音とガバナンスの整合性
注目される ISMAP:アマゾンが考える本音とガバナンスの整合性 全 1 枚 拡大写真

 2021 年、議員や行政府職員の LINE アカウントの情報(通信内容や履歴)が中国など海外のサーバーに保存されていることが、安全保障上の問題になったことを覚えているだろう。「いまさらそれを問題にするか?」と思わないでもなかったが、政府機関や関係者が海外サービスの利用に制限がかけられることはやむを得ない面もある。

 その後、政府は事業者にデータ保存先の情報公開を義務付けるなど対策を行った。関連して注目されたのが ISMAP という制度だ。ISMAP は、政府情報システムのためのセキュリティ要件を評価するもの。

 データ安全保障の議論は以前から存在した。ISMAP は「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(2018年:サイバーセキュリティ戦略本部)の決定に基づいて検討が進められた。2020年からこの基準に適合するクラウドサービスの登録申請が始まっている。

 安全保障の観点から、政府機関や重要インフラ事業者は、国内の安全なクラウドサービスの利用が推奨されている。ISMAP が注目されるのは、審査をパスした事業者のサービスがリストとして公開され、調達案件や開発案件で参照される(ことが予想される)からである。ISMAP 登録支援コンサルなるサービスも登場している。

●セキュリティ対策とコンプライアンス認証・標準を両立させる

 ところで、ISMAP は重要インフラ事業者など、安全保障と直結する企業・組織だけの問題かというとそうでもない。ガバナンスやコンプライアンスはどの企業にも求められている。近代の企業経営において決して軽んじることができない存在だ。

 営利企業の本音としては資格や認定制度に思うところはありそうだが、ISMAP に限らずセキュリティ基準や規制については大義名分がある。多くの企業は自主的なセキュリティ対策に加え、ガバナンスやコンプライアンスについて、第三者または公的機関の認証または監査に向き合う必要もある。PIC DSS のように認定取得が実質的に義務化(取得しなければ事業ができない)しているものもある。

 半面、ガバナンスやコンプライアンス関連の認証や基準は、規制や取得が目的になりがちで取得維持のコストもばかにならない。セキュリティ対策は、本来自社や顧客を守るためのもので、決して強制されたり、認定バッジをもらうために行うものではない。

 企業は、セキュリティと認証標準との折り合いをどうつければいいのか。ひとつのアプローチとして「コンプライアンスとはただ法令遵守することではなく、楽をするためのものだ」と主張するのは、AWS セキュリティソリューションアーキテクト 中島 智広 氏である。本稿は昨年開催された Internet Week 2021 の同氏講演内容をもとに筆者がまとめたものである。

 中島氏によれば、事業の成長に応じた統制は必要であるが、それが成長を妨げるようなことになっては本末転倒だという。コンプライアンスは、説明責任を下支えする手段であり、ガバナンスとアジリティを両立させるものとすべきだという。


《中尾 真二( Shinji Nakao )》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  2. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  3. レンズの受注や製造を停止 ~ HOYAグループで不正アクセスに起因する可能性が高いシステム障害

    レンズの受注や製造を停止 ~ HOYAグループで不正アクセスに起因する可能性が高いシステム障害

  4. TwoFive メールセキュリティ Blog 第4回「あなたはいくつご存知ですか?…メール暗号化。STARTTLS、MTA-STS、DANE」

    TwoFive メールセキュリティ Blog 第4回「あなたはいくつご存知ですか?…メール暗号化。STARTTLS、MTA-STS、DANE」

  5. 神奈川県相模原市、個人情報の非開示処理をせず開示文書交付

    神奈川県相模原市、個人情報の非開示処理をせず開示文書交付

ランキングをもっと見る
PageTop