公共機関や金融機関のクラウド移行、セキュリティやリスク管理、規制対応の壁はどう越えられるのか：AWS Security and Risk Management Forumリポート（2/2 ページ）

[齋藤公二，＠IT]

　3つ目のクラウドに関係する日本の法律については、経済安全保障推進法に注目しておくべきだとした。

　「経済安全保障推進法は、企業の経営層からの関心が極めて高いテーマです」（高野氏）

クラウド選定に影響する「経済安全保障推進法」の本格運用、企業に求められる対応とは

　続いて登壇した、西村あさひ法律事務所 弁護士・ニューヨーク州弁護士の桜田雄紀氏は、「経済安全保障推進法の本格施行に向けた展望と対応」と題して、クラウドとの関係性や現在の状況、今後の展望を解説した。

西村あさひ法律事務所の桜田雄紀氏

　経済安全保障推進法は、2022年5月に公布された、安全保障に関連する経済施策を1つの法律にまとめたオムニバス形式の法律だ。「重要物資等のサプライチェーンの強靭化」「重要技術の官民連携育成・支援」「基幹インフラ役務の安定的な提供の確保」「機微な技術分野の発明に係る特許非公開化」という4つの柱で構成されている。このうち、クラウドの活用に特に関わるのは「基幹インフラ役務の安定的な提供の確保」で、2024年春に運用がスタートする見込みだ。

　「これは、重要インフラ事業者の特定の設備導入や維持管理等の委託に当たって、政府の事前審査を受けなければならないという制度です。国家関与が疑われるようなサイバー攻撃事案が多発したことを受け、不正機能を組み込まれたり、脆弱性を放置されたりするおそれを避けることが背景にあります。設備導入等が行われる前にリスクを把握・排除するため、重要設備がわが国の外部からの妨害に利用されるおそれがあるかどうか審査します」（桜田氏）

　企業にはどのような対応が求められるのか。桜田氏は、幾つかのポイントを挙げてアドバイスした。

　「どの企業が規制対象事業者になるかは最終的には決まっていませんが、まずは公表されている規制対象事業者の指定基準案を踏まえて、該当するかどうかの確認が必要です。設備導入・委託に当たっては、審査や事前相談に時間がかかる可能性があることを意識し、規制対応をスケジュールに組み込む必要があります。導入委託のプロジェクトはリスク管理や法務などの担当者の関与が必要です。規制対象事業者に該当し得る場合は、想定される重要設備を念頭に、使用機器、ベンダーなどをリストアップし、属性チェック、契約対応を含め、リスク管理措置を検討します。導入後も、規制対象となり得るため、継続的なリスク管理が必要です」（桜田氏）

デジタル庁が明かす、ガバナンスクラウドにおけるセキュリティアプローチ

　続いて登壇した、デジタル庁 シニアエキスパート（クラウドコンピューティング）の 山本教仁氏は、「ガバメントクラウドでのセキュリティの考え方〜範囲の絞り込みと日々の監視・修正」と題して、日本政府がどのようにクラウドセキュリティに取り組んでいるかを紹介した。

デジタル庁の山本教仁氏

　「ガバメントクラウドでは、NISTなどの標準的なセキュリティ基準をフレームワークにしつつ、セキュリティでやるべきことを整理しています。管理側のセキュリティガバナンスと利用側のセキュリティガバナンスの2つの軸がありますが、大きな特徴は、利用者が1億2000万人と非常に多いこと、政府698システム・地方公共団体1741団体のシステムと大規模な環境になることです。スケーラブルなアプリケーションやインフラに対して、どうガバナンスを効かせていくのか、その両立が課題になってきます」（山本氏）

　そこで採用しているのが、アクセスを1カ所に集める従来型のゲートキーパー方式によるガバナンスではなく、自動化をキーにしたガードレール方式でのガバナンスだ。

　「ITコンプライアンス違反となる操作を未然に防ぐこと（予防的統制）と、違反の疑いや違反の予兆をリアルタイムに検知すること（発見的統制）により、スケーラビリティや柔軟性を維持しつつ、技術ガバナンスを実現しています。具体的には、ポリシーや設定内容をテンプレート化し、テンプレートを確認することでシステム構成の確認を行います。また、予防的・発見的統制で、現場での迅速で柔軟な対応と全体把握を行います。ダッシュボードで全体として見たい情報をリアルタイムに確認します」（山本氏）

　また、責任共有モデルにより、利用者の責任範囲を絞ってセキュリティを検討したり、セキュリティ対策の範囲を絞り込み、日常的な監視で重大な状況になる前に修正したりする環境を整えている。具体的なツールとしては、IaC（Infrastructure as Code）によるCI/CD（継続インテグレーション／継続デリバリ）や、アラートの自動化などのChatOpsの実践、CloudWatchダッシュボードでの監視などだ。

利用者自身で責任を担うためのガバナンスを整備し、リスク管理していく必要がある

　AWSでは200以上のサービスを提供しているが、その中で、セキュリティ、アイデンティティー、コンプライアンスに関連するサービスは数多い。新サービスの1つ「Amazon Security Lake」では、クラウド、オンプレミス、カスタムソースからのデータをリージョン全体で一元化し、データレイクで管理・分析できるという。

　「さまざまなデータを管理・分析して、何が起きているかを可視化し、リスクを統制していく必要があります。AWSでは、デジタル統制に関して、お客さまと3つの約束をしています。企画・設計段階からの統制（ソブリン・バイ・デザイン）、透明性と保証による信頼、チームとしての変化への対応です。例えば、ソブリン・バイ・デザインによって、データ暗号化、IAMによるユーザーやアクセス権の管理、モニタリングとログ記録、Amazon Macieによる個人情報保護を実現しています」（瀧澤氏）

　続いて登壇した、有限責任監査法人トーマツ マネージングディレクターの片寄早百合氏は、「クラウドの利用に当たっては、先行して取り組んだ企業がさまざまな課題を解決してきた経緯があります。今後は、利用者側でクラウドサービスのリスクの把握と正しい評価を行う必要があります」と指摘し、こう解説した。

トーマツの片寄早百合氏

　「責任共有モデルを正しく理解した上で、利用者自身で責任を担うためのガバナンスを整備し、リスクを管理していく必要があります。具体的には、想定外のランニングコストの発生、脆弱（ぜいじゃく）な認証とアクセス管理、既存システムとの統制と責任の乖離（かいり）、不適切なセキュリティ設定による攻撃の脅威、外部委託者へのアクセス権の不備、安全を確認できないストレージへの機密情報保管、短納期の開発に対するルールや仕組みの不整備、クラウドに適さないシステムアーキテクチャなどです」（片寄氏）

　実際のリスクアセスメントでは、アプリケーション、インフラ、ガバナンス、データ管理、外部規制、監視、アクセス管理という7つのリスク分類に基づいて網羅的に問題点を識別していくことが大事だとした。

　AWSにおけるリスクマネジメントやセキュリティでは、優れた可視性や制御の自動化を実現できる。また、最高水準のプライバシーとデータセキュリティを実現する他、セキュリティパートナーとのエコシステムや包括的なセキュリティとコンプライアンス管理機能も提供する。リスクを正しく把握した上で、こうしたメリットを活用することが重要だ。