「説明責任」は経営者の務め
クラウドのセキュリティ責任共有モデルとは
新規システムだけでなく、既存システムもクラウドに移行し「リフト&シフト」を進めるなど、多くの企業がクラウドを積極的に活用しています。しかし、クラウドへの移行はシステムの俊敏性や柔軟性を高められるといったメリットがある一方、サイバー攻撃によるデータの侵害や漏えいなどが心配という声も根強くあります。NEC主催イベントNEC Visionary Week 2022では「経営者が知るべき『クラウドとデータのセキュアな利活用』とは?」と題したセッションを開催。クラウドセキュリティのベースとなる「セキュリティ責任共有モデル」の本質をひも解きながら、経営者の説明責任などについて考えました。
SPEAKER 話し手
アマゾン ウェブ サービス ジャパン合同会社
松本 照吾 氏
セキュリティ アシュアランス本部 本部長
シングルサインオンのソリューションエンジニア、セキュリティおよびBCPのコンサルティング、AWSのプロフェショナルサービスを経て現職
NEC
淵上 真一,CISSP
サイバーセキュリティ戦略統括部
統括部長
ベンチャー系システムインテグレータでのネットワークエンジニア経験を活かして専門学校グループを運営する学校法人に転職。組織のセキュリティコントロールを担当する傍ら、司法、防衛関連のセキュリティトレーニングを手掛ける。2018年よりNECグループのセキュリティ戦略統括を担当
責任の境界を確認。その認識を3者で共有する
淵上:クラウドセキュリティを考える上で理解しておきたいのがAWSも採用している「セキュリティ責任共有モデル」という考え方です。どのような考え方なのでしょうか。
松本氏:セキュリティ責任共有モデルとは、クラウドサービスで採用されている考え方ですが、クラウド特有のものというわけではありません。例えば、業務委託契約などでも、委託する側と受託する側で「ここまでは委託側の責任」「ここからは受託側の責任」と責任の境界を互いに確認します。基本的にはそれと同じ考え方となります。クラウドの場合は、データセンターのファシリティ、インフラを構成する仮想化基盤のハードウェアなどのセキュリティ責任はクラウド事業者側が負い、その上で稼働するアプリケーションやOS、そしてデータなどのセキュリティ責任はユーザ企業側が負うのが一般的です。
淵上:日本ではNECのようなシステムインテグレータがシステム開発を担ったり、ソリューションを開発して提供したりする場合が少なくありません。その場合の責任共有は、どうなりますか。
松本氏:先ほどは、わかりやすくユーザ企業とクラウド事業者に分けましたが、境界を確認するという考え方は同じです。適切なセキュリティ運用を設計し、そのために適切なツールや機能を組み合わせて仕組みを構築することはユーザ企業の大きな責任ですが、その責任を部分的にシステムインテグレータが負うことになります。
インシデントの一因であるスキマを埋める取り組み
淵上:立場に応じて責任を分担するのですね。一方、セキュリティインシデントやセキュリティトラブルの多くが曖昧な責任の境界の「スキマ」で発生している印象を受けます。
松本氏:今日のクラウドサービスの責任境界は、やや複雑な状況にあります。例えば、OSにセキュリティパッチをあてるのはユーザ企業の役割ですが、AWSはセキュリティパッチを効率的に適用するための機能などを提供しています。このような機能を利用していたが、正しく使いこなせず、それがインシデントにつながるようなケースも懸念されます。
そこで、そのようなスキマを是正しようとする動きがあります。ISMAP(Information system Security Management and Assessment Program)という制度をご存じでしょうか。これは政府情報システムのためのセキュリティ評価制度で、ISMAPが求める要求をクリアし、事前に登録されているクラウドでなければ、日本政府の調達に参加することはできません。
興味深いのは、その要求の中でクラウド事業者にセキュリティ機能や、その機能を使いこなすための情報を提供し、ユーザ企業やシステムインテグレータのセキュリティ強化を支援するよう求めていること。つまり「そんな機能があるとは知らなかった」「正しく使いこなせなかった」というようなスキマを埋めようとしているのです。
淵上:必要な機能や情報の提供を新たにクラウド事業者の責任と定めた。同時に、その機能や情報を正しく理解し、使いこなすことをシステムインテグレータやユーザ企業の新しい責任としたわけですね。
松本氏:ともすると、セキュリティは「誰かが対応してくれる」と考えがちで、それがスキマを生む一因となっていました。そのスキマを埋める動きが進んでいるのだと思います。
もちろんAWSも取り組みを進めています。AWSは暗号化やデータの自動バックアップなど、セキュリティシステムを構成するさまざまな部品を提供していますが、どんなによい部品があっても、それらを適切に組み合わせ、使いこなせるスキルを持った人がいなければ十分に価値を発揮できません。そこでNECなど多くのパートナーと協力しながら、そのスキルを持つ「アーキテクト」「ビルダー」と呼ぶ人材の育成に取り組んでいます。また、ユーザ企業のお客様向けにも、できあがった仕組みの信頼性を評価するスキルを養うためのプログラムを提供しています。
経営者が最も意識すべきポイントは説明責任
淵上:セキュリティ責任共有モデルの中でユーザ企業の経営者はどんなことを意識すべきでしょうか。
松本氏:新しい技術が次々に登場し、ITを利用するシーンもさらに拡大している現在、セキュリティのために取り組まなければならないことは無数にあります。昨日までは安全といっていたのに、今日になって脆弱性が見つかったと報告がある。そんなことも珍しくありません。セキュリティ担当者であっても起こっていることのすべてを把握することは難しいでしょう。このような状況で、経営者がすべてを把握したり、管理したりするのは現実的ではありません。まずはクラウド事業者やシステムインテグレータに任せられる部分は任せ、自社の責任範囲に集中すべきでしょう。
さらに自社の責任境界の中でも経営者が最も意識しなければならないのが「説明責任」です。平時は、どんなセキュリティ方針を定め、どのように保護しているかを顧客などに説明する。もしセキュリティインシデントが発生してしまったら、何が起こり、どんな被害が出ているか、どう対応するかを説明するのは経営者が果たすべき重要な役割です。ですから、クラウド事業者やシステムインテグレータを選定する際にも、法規制や公的な認証制度への対応状況はもちろん、情報開示に適切に対応してくれるかなど、自身の説明責任の視点も取り入れることをお勧めします。
ベストプラクティスは武道の型のようなもの
淵上:セキュリティは完成がありません。安全性を維持し続けることも経営者が意識すべきことではないでしょうか。
松本氏:ご指摘の通りです。クラウドサービスに新しい機能が次々と追加される。スマホアプリのようにユーザ企業が提供するサービスが頻繁にアップデートされる。変化の多さはクラウドの特徴です。その変化に対応することは、クラウドセキュリティでは欠かせない視点です。
例えばAWSはシステムに脆弱性が生まれていないかをチェックし続ける機能を提供し、その変化に対応しています。また、AWSは世界中の企業や公的機関など、幅広いお客様に利用されていますが、それらの事例を基に、その時点の理想的なアーキテクチャモデルを作成し、ベストプラクティスとして公開しています。パートナーやお客様は、それらを参考にしてシステムをレビューして、安全性や信頼性を評価し続けることができます。
淵上:ベストプラクティスが反映されたフレームワークを使うことは、効率的にセキュリティを高める上でも有効ですね。
松本氏:武道の「型」のようなものではないでしょうか。ベストプラクティスの通りである必要はありませんが、ベストプラクティスがなぜそうなっているのかを知れば、自分たちのシステムやセキュリティに対する理解が深まります。
淵上:だから、自分たちはこのようなシステムやセキュリティにしている──。自分たちのシステムやセキュリティに対する理解の深さは、説明責任を果たす上でも重要ですね。最後に読者へのメッセージをお願いします。
松本氏:セキュリティ責任共有モデルや説明責任の話をすると、責任の境界といった言葉を使ったりするため、どうしても責任を押しつけ合う姿をイメージしてしまうかもしれません。しかし、セキュリティ責任共有モデルの目的はクラウドの価値を引き出すこと。クラウド事業者、システムインテグレータ、ユーザ企業が「協力」して最適な環境を構築していくためのものです。AWSは、みなさんと共に理想的なクラウド活用環境を実現していきたいと考えています。
淵上:たしかに私も責任の所在を明らかにすることに意識を向けがちでした。セキュリティ責任共有モデルは、みんなで協力してクラウドの価値を引き出すためのもの──。示唆に富む言葉ですね。システムインテグレータであるNECも、その一員として、クラウドの価値の向上に貢献していきたいと思います。