2021 年、議員や行政府職員の LINE アカウントの情報(通信内容や履歴)が中国など海外のサーバーに保存されていることが、安全保障上の問題になったことを覚えているだろう。「いまさらそれを問題にするか?」と思わないでもなかったが、政府機関や関係者が海外サービスの利用に制限がかけられることはやむを得ない面もある。
その後、政府は事業者にデータ保存先の情報公開を義務付けるなど対策を行った。関連して注目されたのが ISMAP という制度だ。ISMAP は、政府情報システムのためのセキュリティ要件を評価するもの。
データ安全保障の議論は以前から存在した。ISMAP は「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(2018年:サイバーセキュリティ戦略本部)の決定に基づいて検討が進められた。2020年からこの基準に適合するクラウドサービスの登録申請が始まっている。
安全保障の観点から、政府機関や重要インフラ事業者は、国内の安全なクラウドサービスの利用が推奨されている。ISMAP が注目されるのは、審査をパスした事業者のサービスがリストとして公開され、調達案件や開発案件で参照される(ことが予想される)からである。ISMAP 登録支援コンサルなるサービスも登場している。
●セキュリティ対策とコンプライアンス認証・標準を両立させる
ところで、ISMAP は重要インフラ事業者など、安全保障と直結する企業・組織だけの問題かというとそうでもない。ガバナンスやコンプライアンスはどの企業にも求められている。近代の企業経営において決して軽んじることができない存在だ。
営利企業の本音としては資格や認定制度に思うところはありそうだが、ISMAP に限らずセキュリティ基準や規制については大義名分がある。多くの企業は自主的なセキュリティ対策に加え、ガバナンスやコンプライアンスについて、第三者または公的機関の認証または監査に向き合う必要もある。PIC DSS のように認定取得が実質的に義務化(取得しなければ事業ができない)しているものもある。
半面、ガバナンスやコンプライアンス関連の認証や基準は、規制や取得が目的になりがちで取得維持のコストもばかにならない。セキュリティ対策は、本来自社や顧客を守るためのもので、決して強制されたり、認定バッジをもらうために行うものではない。
企業は、セキュリティと認証標準との折り合いをどうつければいいのか。ひとつのアプローチとして「コンプライアンスとはただ法令遵守することではなく、楽をするためのものだ」と主張するのは、AWS セキュリティソリューションアーキテクト 中島 智広 氏である。本稿は昨年開催された Internet Week 2021 の同氏講演内容をもとに筆者がまとめたものである。
中島氏によれば、事業の成長に応じた統制は必要であるが、それが成長を妨げるようなことになっては本末転倒だという。コンプライアンスは、説明責任を下支えする手段であり、ガバナンスとアジリティを両立させるものとすべきだという。
![中国の攻撃者が好む脆弱性一覧/カタール政府特製マルウェア/権威主義国家の米選挙“政治利用” ほか [Scan PREMIUM Monthly Executive Summary 2022年10月度] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/39660.jpg)
