SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

クラウド時代のセキュリティ・リテラシー(PR)

対談:再度問われる、クラウドの法的課題と日本企業のセキュリティガバナンス【弁護士 高橋郁夫氏×日本HP 藤田政士氏】

 国内でクラウドサービスの利用が進む一方、クラウド環境はセキュリティや法的な課題も含めユーザーにとって不明瞭で分かりにくい点も多い。クラウドのもたらす大きなメリットとリスクのバランスを、企業はどのように捉えればよいのだろうか。今回の対談では、弁護士で日本クラウドセキュリティアライアンス (CSAジャパン)監事の高橋郁夫氏と日本HP藤田政士氏に、クラウド時代の企業リスクや法的課題、セキュリティガバナンスやBCPのあり方などについて議論してもらった。

セキュリティの懸念を除けば、クラウドは「大きなオポチュニティ」

藤田 クラウド時代の企業リスクやセキュリティについて考える対談シリーズは今回で3回目です。今回は広義のリスクマネジメントも含めて、ガバナンスやリーガルなことを中心にお話しいただければと思います。

 高橋郁夫氏
BLT法律事務所代表 弁護士
一般社団法人 日本クラウドセキュリティアライアンス (CSAジャパン)監事
宇都宮大学講師
▲高橋 郁夫氏
BLT法律事務所代表 弁護士/宇都宮大学講師
日本クラウドセキュリティアライアンス (CSAジャパン)監事

高橋 まずはリスクそのものについて考えると、リスクとは不確実性のなかから引き起こされるものです。不確実性からはリスクだけではなくオポチュニティ(機会)も生まれる可能性があります。広い目で見れば企業やビジネスはリスクもオポチュニティもある不確実な中で、どう進んで行くかということでもあると思うのです。

 いかにオポチュニティをとるか。そのためにどうリスクに対処するか。人間はある程度の安全網がないと動けませんから、リスクに対してどう対処できるか知るのは大事です。「怖いですよ」「大変ですよ」と脅威ばかり目を向けて萎縮してしまうと先に進めなくなります。リスクを考えるときにここが大事なところです。

藤田 その考えはクラウドにもよく当てはまります。クラウドだと将来が不確実でも始められるというメリットがあります。例えばビジネスが急にヒットしてもクラウドなら容易に拡張できます。いろんな意味で参入障壁が低い。しかしリスクもあります。あらためてリスクやガバナンスを考えていければと考えています。

高橋 企業経営や意思決定の体系化、枠組みをどうしていくかというテーマになりそうですね。2005年ごろの内部統制ブームではいろんな議論がありました。いわゆる「COSOキューブ」から内部統制の3つの目的カテゴリーと5つの構成要素をベースに議論していた記憶があります。

 振り返ると、情報伝達が鍵だったように思います。ビジネスの関係者がどうミッションを遂行していくか、どのような基準で具体的な行動指針にあてはめていくか。その評価基準はどうあるべきかなど。

藤田 J-SOXのときはCOSOキューブがありました。しかしクラウド時代のいま、そうした指針になる枠組みがないというのが実情です。COSOキューブは企業や国などある程度閉じた世界のためのもの。クラウドはグローバルですから前提が大きく異なります。

高橋 法律は国ごとに定められていますから、確かに国を出る、あるいは国をまたぐと法律が異なることが問題になります。ENISA(2004年3月に設立された欧州連合(EU)の機関)の「クラウドコンピューティング:情報セキュリティに関わる利点、リスクおよび推奨事項」(参考:日本語訳PDF)にはリスクのマッピングがありました。中でもリーガル系の項目はハイリスクだと指摘がされています。 

藤田 従来のオンプレミスで運用しているシステムと比較すると、クラウドのリスクは複雑です。技術的な制約もあり、現実には、全部クラウドに移行できるわけではないので、混在環境となります。その場合の運用の指針やセキュリティリスク対応は一筋縄ではいきません。

 セキュリティの懸念を除けばクラウドは「大きなオポチュニティ」です。システムの構想を練り、エンジニアを探す、など不要ですぐに開始できますから。対象が新興国なら停電や自然災害のリスクもありますから、クラウドを使うというのは不可避です。ただしリスクもあります。

藤田 ビジネスで海外展開を考えるとクラウドしか考えられないけれど、そうしたリスクも考慮して制御していかなくてはならないということですね。

 

クラウドに関わる全ての人へ!CSA認定「クラウドセキュリティ研修」

 クラウドサービスが普及しつつある中で、セキュリティの問題を認識しつつも何をしたら良いかわからない方が多いのではないでしょうか?

 日本HPでは、このような方々のためにクラウドユーザーが理解しておかなければならないリスクや課題を基礎から学ぶトレーニングを開始しました。クラウド&ビッグデータ時代に企業で求められる必須のセキュリティトレーニングです。

※本コースは、Cloud Security Alliance(CSA)のクラウドコンピューティングのためのセキュリティガイダンスに基づいています。

★CSA認定「クラウドセキュリティ基礎(1日間)」の詳細はこちらから

★CSA認定「クラウドセキュリティプラス(2日間)」※の詳細はこちらから

クラウドセキュリティプラスはAWSを利用した演習を含みます。

基礎からガバナンスまでクラウドセキュリティが学べる!
HPの「セキュリティ研修」

 HPの「セキュリティ研修」では、クラウドセキュリティのトレーニング以外にも、情報セキュリティの基礎を始めとして、リスク分析やBCP(継続性計画)の作成、組織全体のガバナンスまで、幅広いセキュリティ分野を体系立てて提供しています。

★HP「セキュリティ研修」の詳細はこちらから

次のページ
クラウド時代のセキュリティ教育―経営視点と技術視点の両方を語れる存在が重要に

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
クラウド時代のセキュリティ・リテラシー連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:http://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6018 2015/05/15 12:58

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング