注目される ISMAP:アマゾンが考える本音とガバナンスの整合性 | ScanNetSecurity
2024.03.28(木)

注目される ISMAP:アマゾンが考える本音とガバナンスの整合性

2021年、議員や行政府職員のLINEアカウントの情報(通信内容や履歴)が中国など海外のサーバーに保存されていることが、安全保障上の問題になったことを覚えているだろう。

研修・セミナー・カンファレンス
注目される ISMAP:アマゾンが考える本音とガバナンスの整合性

 2021 年、議員や行政府職員の LINE アカウントの情報(通信内容や履歴)が中国など海外のサーバーに保存されていることが、安全保障上の問題になったことを覚えているだろう。「いまさらそれを問題にするか?」と思わないでもなかったが、政府機関や関係者が海外サービスの利用に制限がかけられることはやむを得ない面もある。

 その後、政府は事業者にデータ保存先の情報公開を義務付けるなど対策を行った。関連して注目されたのが ISMAP という制度だ。ISMAP は、政府情報システムのためのセキュリティ要件を評価するもの。

 データ安全保障の議論は以前から存在した。ISMAP は「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(2018年:サイバーセキュリティ戦略本部)の決定に基づいて検討が進められた。2020年からこの基準に適合するクラウドサービスの登録申請が始まっている。

 安全保障の観点から、政府機関や重要インフラ事業者は、国内の安全なクラウドサービスの利用が推奨されている。ISMAP が注目されるのは、審査をパスした事業者のサービスがリストとして公開され、調達案件や開発案件で参照される(ことが予想される)からである。ISMAP 登録支援コンサルなるサービスも登場している。

●セキュリティ対策とコンプライアンス認証・標準を両立させる

 ところで、ISMAP は重要インフラ事業者など、安全保障と直結する企業・組織だけの問題かというとそうでもない。ガバナンスやコンプライアンスはどの企業にも求められている。近代の企業経営において決して軽んじることができない存在だ。

 営利企業の本音としては資格や認定制度に思うところはありそうだが、ISMAP に限らずセキュリティ基準や規制については大義名分がある。多くの企業は自主的なセキュリティ対策に加え、ガバナンスやコンプライアンスについて、第三者または公的機関の認証または監査に向き合う必要もある。PIC DSS のように認定取得が実質的に義務化(取得しなければ事業ができない)しているものもある。

 半面、ガバナンスやコンプライアンス関連の認証や基準は、規制や取得が目的になりがちで取得維持のコストもばかにならない。セキュリティ対策は、本来自社や顧客を守るためのもので、決して強制されたり、認定バッジをもらうために行うものではない。

 企業は、セキュリティと認証標準との折り合いをどうつければいいのか。ひとつのアプローチとして「コンプライアンスとはただ法令遵守することではなく、楽をするためのものだ」と主張するのは、AWS セキュリティソリューションアーキテクト 中島 智広 氏である。本稿は昨年開催された Internet Week 2021 の同氏講演内容をもとに筆者がまとめたものである。

 中島氏によれば、事業の成長に応じた統制は必要であるが、それが成長を妨げるようなことになっては本末転倒だという。コンプライアンスは、説明責任を下支えする手段であり、ガバナンスとアジリティを両立させるものとすべきだという。


《中尾 真二( Shinji Nakao )》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. GMOイエラエSOC用賀 エピソードゼロ:IERAE DAYS 2023 レポート

    GMOイエラエSOC用賀 エピソードゼロ:IERAE DAYS 2023 レポート

  2. サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

    サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

  3. 人かAIか? 生成方法別フィッシングメール打率比較

    人かAIか? 生成方法別フィッシングメール打率比較

  4. パナソニック他 大手が続々「Cloudbase」を採用、日本人が日本企業のために作るクラウドセキュリティプラットフォーム

  5. 「10年後の予測より今足元にある課題解決」~ 情シス信頼のブランド ソリトンシステムズ Security Days Spring 2024 四講演紹介

  6. 新しい総務省ガイドラインに適合する「クラウドのデータ消去」とは? 自治体で行われた実証実験 結果報告

  7. Google & 米Yahoo! の迷惑メール対策強化について~ JPAAWG 緊急ウェビナーで喫緊課題への具体的な疑問が続出

  8. ここを押さえておかないと情報が漏れる/システムが停止する ~ アカマイが語る Web への攻撃の変化

  9. フィッシング対策協議会、Google と 米Yahoo の送信者向けガイドライン解説資料ほか 公開

  10. 世界で最初にXDRを提唱した男のビジョンとは? パロアルトネットワークス講演

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×