注目される ISMAP:アマゾンが考える本音とガバナンスの整合性 | ScanNetSecurity
2023.02.05(日)

注目される ISMAP:アマゾンが考える本音とガバナンスの整合性

2021年、議員や行政府職員のLINEアカウントの情報(通信内容や履歴)が中国など海外のサーバーに保存されていることが、安全保障上の問題になったことを覚えているだろう。

研修・セミナー・カンファレンス
注目される ISMAP:アマゾンが考える本音とガバナンスの整合性
  • 注目される ISMAP:アマゾンが考える本音とガバナンスの整合性

 2021 年、議員や行政府職員の LINE アカウントの情報(通信内容や履歴)が中国など海外のサーバーに保存されていることが、安全保障上の問題になったことを覚えているだろう。「いまさらそれを問題にするか?」と思わないでもなかったが、政府機関や関係者が海外サービスの利用に制限がかけられることはやむを得ない面もある。

 その後、政府は事業者にデータ保存先の情報公開を義務付けるなど対策を行った。関連して注目されたのが ISMAP という制度だ。ISMAP は、政府情報システムのためのセキュリティ要件を評価するもの。

 データ安全保障の議論は以前から存在した。ISMAP は「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(2018年:サイバーセキュリティ戦略本部)の決定に基づいて検討が進められた。2020年からこの基準に適合するクラウドサービスの登録申請が始まっている。

 安全保障の観点から、政府機関や重要インフラ事業者は、国内の安全なクラウドサービスの利用が推奨されている。ISMAP が注目されるのは、審査をパスした事業者のサービスがリストとして公開され、調達案件や開発案件で参照される(ことが予想される)からである。ISMAP 登録支援コンサルなるサービスも登場している。

●セキュリティ対策とコンプライアンス認証・標準を両立させる

 ところで、ISMAP は重要インフラ事業者など、安全保障と直結する企業・組織だけの問題かというとそうでもない。ガバナンスやコンプライアンスはどの企業にも求められている。近代の企業経営において決して軽んじることができない存在だ。

 営利企業の本音としては資格や認定制度に思うところはありそうだが、ISMAP に限らずセキュリティ基準や規制については大義名分がある。多くの企業は自主的なセキュリティ対策に加え、ガバナンスやコンプライアンスについて、第三者または公的機関の認証または監査に向き合う必要もある。PIC DSS のように認定取得が実質的に義務化(取得しなければ事業ができない)しているものもある。

 半面、ガバナンスやコンプライアンス関連の認証や基準は、規制や取得が目的になりがちで取得維持のコストもばかにならない。セキュリティ対策は、本来自社や顧客を守るためのもので、決して強制されたり、認定バッジをもらうために行うものではない。

 企業は、セキュリティと認証標準との折り合いをどうつければいいのか。ひとつのアプローチとして「コンプライアンスとはただ法令遵守することではなく、楽をするためのものだ」と主張するのは、AWS セキュリティソリューションアーキテクト 中島 智広 氏である。本稿は昨年開催された Internet Week 2021 の同氏講演内容をもとに筆者がまとめたものである。

 中島氏によれば、事業の成長に応じた統制は必要であるが、それが成長を妨げるようなことになっては本末転倒だという。コンプライアンスは、説明責任を下支えする手段であり、ガバナンスとアジリティを両立させるものとすべきだという。


《中尾 真二( Shinji Nakao )》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. サイバー攻撃と対策を関ヶ原合戦になぞらえ ~ 伊東“隊長”と Proofpoint 増田氏が描く「戦国絵巻」

    サイバー攻撃と対策を関ヶ原合戦になぞらえ ~ 伊東“隊長”と Proofpoint 増田氏が描く「戦国絵巻」

  2. 韓国最大規模のサイバーセキュリティイベント ISEC2018 開催

    韓国最大規模のサイバーセキュリティイベント ISEC2018 開催

  3. もしある日 警察が来て あなたが逮捕されたら

    もしある日 警察が来て あなたが逮捕されたら

  4. さらに高くなったハードルを超えてきた?~ 学生らの素晴らしいポテンシャルが垣間見えた [MBSD Cybersecurity Challenges 2019]

  5. 「情報ネットワーク法学会 第11回研究大会」「コンピュータセキュリティシンポジウム2011」 他(セミナー情報)

  6. 知的財産の保護と不正商品の排除を広く訴えかける(ACA)

  7. セキュリティ業界初の eスポーツ大会 無事終了、主催企業 LogStare 社の選抜チーム 堂々20位

  8. 「サイバー攻撃に気づいた組織とまだ気づいていない組織のふたつしかない」~本日から開催の CODE BLUE 基調講演から

  9. PCI DSS要件の脆弱性スキャンとペネトレーションテストを内製化する2日間研修(fjコンサルティング)

  10. セキュリティを高めつつも威圧感を出さずに万引き防止対策を実現(マイティカード)

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×