政府統一基準に対応したAWSクラウド利用のセキュリティリファレンスの紹介@AWS Summit Tokyo 2017
2017-07-14
複雑化するセキュリティへの取り組みはガイドラインやセキュリティリファレンスを活用し、リスクベースアプローチによる対応が有効
AWS Summit TokyoはAmazon Web Services (AWS) が、世界中をサーキットする「AWS Summit」シリーズの中でも、世界最大規模のクラウドカンファレンスで、5月30日(火)~ 6月2日(金)の4日間で延べ19,000を超えるお客様が来場しました。基調講演に加え、お客様事例、AWSクラウドの最新動向など100以上のセッションが提供され、PwCあらた有限責任監査法人(以下、PwCあらた)も2つのセッションにゲストスピーカーとして登壇しました。
Dive Deep Day~「NISC 統一基準への AWS クラウドの対応」
5月30日にAWS Summitの業種やソリューションに特化したトラックである「Dive Deep Day」に開催されたパブリックセクターシンポジウムにて「政府 統一基準への AWS クラウドの対応」と題したパネルディスカッションが200名近い公共機関のお客様または公共機関を担当するAWSのパートナー企業様を対象に開催されました。
政府統一基準に対応した AWSクラウド利用のセキュリティリファレンスが2017年3月に公開され、その取り組みについて作成に携わった各社が背景や内容、今後の展望などについて議論を行いました。
内閣サイバーセキュリティセンター(以下、NISC)が2016年8月31日に、国内の政府機関が準拠すべき指針「政府機関の情報セキュリティ対策のための統一基準(平成28年度版)」(以下、政府統一基準)を改定し、クラウドの選定および利用の際の基準を追加したことを受け、PwCあらたをはじめ、アクセンチュア株式会社、株式会社NTTデータ、富士ソフト株式会社の4社が共同で、政府統一基準に対応したAWSクラウド利用のセキュリティリファレンスを作成しました。2017年3月23日よりセキュリティリファレンスの無償提供を開始し、AWS Summit Tokyoでセキュリティリファレンスや活動の取り組みを紹介しました。
政府統一基準により公共におけるクラウド移行が推進
最初にモデレーターであるアマゾン ウェブ サービス ジャパン株式会社の大富部 貴彦氏が、公共におけるクラウド移行や諸外国のクラウド移行状況を紹介しました。米国は政府機関がFedRAMPというクラウド利用の統一基準を策定し、クラウドベンダーはこの基準に適合することで安全性を示し、クラウド移行を推進してきたことを述べ、日本でも同様な動きが政府統一基準で起きるのではないかと言及しました。
クラウドの利用においてはクラウド事業者とユーザーの責任分界点を理解して対応を検討することが重要
次に、PwCあらたの桒野 拓磨(くわの たくま)が、今回作成したリファレンスについて説明しました。
日本の公共や金融業界などではなかなか進まないクラウド利用について、政府統一基準の改定に合わせてリファレンスを作り活用していくことで推進していきたいと語りました。今まではクラウド事業者が公開しているサービス仕様が業界の基準やガイドラインに対応できているかを独自に調査・解釈・判断しなければならないという大きな課題があったが、このリファレンスを参照することで負担感が軽減されることが期待できると述べました。
このリファレンスは、利用者にとって使いやすいように作成し、AWSクラウドで定義している責任共有モデルに基づき、どこからどこまで利用者が責任を持ち、どこからどこまでAWSが責任を持つのか、という役割分担を念頭に置いています。
そのことからセキュリティリファレンスの構成が「統一基準における遵守事項」「ユーザーの対応指針」「AWSクラウドで実現可能なこと」根拠となる「AWSクラウドの情報」として整理されていることを紹介しました。
クラウドでは、認証や監査による客観的な事実の積み上げによりセキュリティを担保
アクセンチュア株式会社の土屋 光司氏から、コンサルタントの立場からクラウド利用時の一般的な課題に対し、AWSクラウドでの対策について紹介がありました。
一般的な課題として、データが海外のデータセンターにある場合、国内法以外の法令が適用されるリスク、データセンター関係者からの情報漏えいリスク、ディスク廃棄時の情報漏えいリスクを挙げ、AWSクラウドによる認証や監査の客観的な事実の積み上げによる解決策を提示しました。
同様に、富士ソフト株式会社の渡辺 露文氏は、SIerの立場からクラウドの課題を紹介しました。AWSクラウドの責任共有モデルに基づき、AWSが顧客データにアクセスすることが無いこと、AWSクラウド利用時はデータの暗号化やアクセス制御などを利用者が自由に設定できることでその懸念はクリアしており、セキュリティリファレンスにはその根拠を記載したことを述べました。
政府統一基準に対応したAWSクラウド利用のセキュリティリファレンスは公共以外の業界でも有効
続いて、株式会社NTTデータの青木 健太郎氏が、リファレンス公開後の反響を紹介しました。
公開当初、1週間で10件弱、ターゲットとしている公共のクライアントからの問い合わせに加え、金融機関をはじめ多くの業界から問い合わせがありました。政府統一基準のターゲットとなるカバレッジが公共だけでなく幅広い業界から注目を集め、活用が検討されていることを伝えました。
公共パートナーミーティングにて「セキュリティリファレンスの活用事例とクラウド導入の評価アプローチ」をテーマに講演
6月1日にAWS Summitにて、AWSのパートナー限定の公共パートナーミーティングが開催され、100名近い方々が参加されました。
公共パートナーミーティングでは、4社を代表してPwCあらたの饒村 吉晴(じょうむら よしはる)がセキュリティリファレンスの説明に加え、自身によるクライアントへのサービス提供実績をもとに、具体的な活用事例やセキュリティに関連してクラウド導入の評価アプローチについて講演しました。
政府統一基準改定の背景とセキュリティリファレンスの役割
急増するサイバー攻撃に対応するため2014年11月6日にサイバーセキュリティ基本法が成立し、それを受けて、各省庁がサイバーセキュリティに関するガイドラインを策定しました。
さらにさまざまな業界でクラウドの活用が進む中、政府機関においてもサービスの充実、エコシステムの活用、柔軟なニーズへの対応を図るためクラウドの利用が拡大している背景からクラウドの選定および利用の際の基準を追加するかたちで政府統一基準が改定され、その改定文書に呼応しセキュリティリファレンスを作成し公開しました。
昨今エンタープライズクラウド、クラウドファーストなどと言われるように、IoTやAIやFintechなどの経営改革を推進するドライバーの社会基盤としてクラウドの検討と活用が急速に進んでいます。そのような背景を受け、セキュリティへの対応をはじめ、より安全で信頼性の高いクラウドの利用が重要であることを本セッションの冒頭説明として述べました。
続いて5月30日のセッションと同様に、今回作成したセキュリティリファレンスの説明を行い、セキュリティリファレンスの活用事例をAWSパートナー向けに紹介しました。
セキュリティへの取り組みはリスクベースアプローチによる対応が有効
昨今、複雑化するサイバーセキュリティへの対応として、金融機関をはじめとした当局がリスクベースアプローチの重要性を述べています。
セキュリティへの取り組みは、技術的リスクに応じた個々の対応にとどまらず、企業全体の管理態勢・プロセス・組織なども含めてリスクアセスメントすることが重要です。
その際にガイドラインやセキュリティリファレンスを活用して大局的な視点で判断し、リスクベースアプローチで対応することが有効なアプローチです。
PwCの支援事例
そして講演者の饒村自身がリードしているクライアントの支援事例として、政府統一基準を活用と整理について紹介を行いました。
政府統一基準の遵守事項に基づいてインタビューなどにより、「現状」「課題」を把握し、「対応方針案」「他社事例」などの情報を提示し、課題と対応の一覧化を行い、整理します。
整理された課題と対応の一覧を、企業活動(経営方針および規定/業務プロセス/組織/技術 など)のどの対策によるものか、政府統一基準のどのセキュリティ対策(3章 情報の取り扱い/4章 外部委託/6章 セキュリティ要件 など)によるものかを分類し、サイバーセキュリティの「脅威」「発生可能性」「脆弱性」「影響度」などから定量的に優先度付けを行います。優先度が高い母集団に重点を置き、リスクベースアプローチで対応の検討と計画化を行います。
改善に向けたロードマップを作成し、策定したロードマップに基づいて、具体的な改善策を実施します。その際にセキュリティリファレンスを活用しAWSクラウドによる対応も含めて再評価し、セキュアなクラウドの利用やクラウドのサービス機能も含めて包括的な対応を検討することが有効なアプローチです。
クラウド導入時にはセキュリティをベースに周辺のリスクについてもリスクアセスメントすることが効果的
続いて、セキュリティに関連してクラウド導入時の留意すべき課題として「外部委託管理」「開発・運用の標準化」「TCO計算」「マイグレーション計画」などがクライアントから寄せられると紹介しました。
クラウド導入時にはセキュリティは最低限の評価を行い、セキュリティをベースとしてシステムリスク管理全般を評価することが有効であることを紹介し、セキュリティを主要な評価対象としつつ、周辺のコントロールについても気付きレベルで評価を行い、全社的なリスク管理対応を示すことでクライアント、とくにマネジメントの理解が得られクラウド活用が進むと述べました。
さらに5月30日のAWS Summitのパブリックセクターシンポジウムにおいて、NISCの副センター長である三角内閣審議官が「政府におけるサイバーセキュリティ戦略」をテーマに講演されていた内容の一部を紹介しました。
「今まさにオリンピック・パラリンピックの対策としてリスクアセスメントとコンティンジェンシープランを検討している。そこではサイバーセキュリティだけを議論しているわけではなくて、業務にどんなリスクがあるかという戦略的なアセスメントを横断的に行っている。サイバーセキュリティは原因事象の一つにしかすぎないため、部分最適ではなく全体最適のリスクアセスメントとコンティンジェンシープランの検討が重要である。」
総括として、三角内閣審議官の話と今回の説明を紐づけ、サイバーセキュリティもクラウドもリスクベースアプローチにより全体最適の検討と対応が非常に重要で、是非こういったアプローチについて考察頂き、セキュリティリファレンス含めてビジネスに活用頂きたいと内容と説明を締めくくりました。お困りのことがあればPwCのプロフェッショナルがご支援させて頂きますとして講演の最後の挨拶としました。
