SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

クラウド時代のセキュリティ・リテラシー(AD)

対談:再度問われる、クラウドの法的課題と日本企業のセキュリティガバナンス【弁護士 高橋郁夫氏×日本HP 藤田政士氏】

BCPとしてのクラウドの是非、セキュリティガバナンスの考え方とは?

高橋 どのクラウドサービスを選定するかの目を養うことも大切です。経営者はどのようなルールで運営しているのか把握して、問題があれば改善するように求めることも必要です。ただ「安くて早く導入できるから」だけで選ぶのではいけません。

藤田 日本は事件が発生してからセキュリティ担当者が忙しくなりますが、欧米だと逆です。欧米はIT予算の5%程度をセキュリティ対策として毎年確保していて、普段から事故防止対策に力を入れています。毎年、5%もあれば教育もできますし、ルールを見直したり、最新の攻撃に備える、防御を固めるなどいろんなことができるはずです。

 ネットの脅威は標的型攻撃など高度化しています。ゼロデイ攻撃などは、ブラックマーケットもあり、防御するほうが圧倒的に難しい。日本の特殊事情を申し上げると、内部から漏えいするケースが多いそうです。

高橋 それだけならいいですけど、内部の人間が外部とつながっていたらより事態は深刻になります。悪意なく感染してしまうケースもありますし。最近では「必要以上に名刺を配らない」のもセキュリティ対策と言われています。なりすましに使われたりするケースもあるからです。

藤田 BCPについても少し整理してみましょう。「BCPにはクラウド」という考えが普及していますが、IT専門家からするとクラウドである必要はなくて、サーバーが遠隔地に複数あれば十分です。それよりクラウドだと事業者がサービス提供をやめることも想定しておかなくてはなりません。実際にアメリカでありました。何年もクラウドで運用しているとデータ量も膨大となります。そのデータをクラウドから引き上げて自社や別のクラウドサービスに移行できるのか、どのくらい時間がかかるのかなども課題となります。

高橋 リスクの洗い出しは重要です。リーガルな観点から見ると、SLA(Service Level Agreement)が極めて重要です。実際の提供されるサービスのセキュリティの基準になります。また、SLAでは、契約時に契約終了時の取り扱いをどう定めているかよく確認する必要があります。

藤田 パブリッククラウドだと構築が手軽で利用開始の手続きが簡略化されていることもあり、SLAが緩いという感覚があります。クラウドではないIT企業が顧客と結ぶ契約とは格段に違います。そこは注意が必要です。データの取り扱いに関して参考になる判例はありますか?

高橋 90年代にスティーブ・ジャクソン・ゲームス訴訟がありました。ゲーム解説本の会社がアメリカのシークレットサービスから強制捜査を受け、その捜査の際の扱いが、違法であったとして国賠訴訟に発展した事件です。このゲーム会社が運営していた電子掲示板に強制捜査対象となっていたユーザーが利用していたことで強制捜査となったものの、会社のハードディスクごと押収されるなどしてほかのユーザーやゲーム会社が損害を被ったというものです。クラウドのマルチテナント環境で生じるリスクに通じるものがあります。  

 当時まだ90年代でしたので、この事件はオンライン人権派となる電子フロンティア財団が発足するきっかけにもなりました。細かいところをみるとかなり特殊な背景もありましたが一般論でとらえれば、法執行機関側においても法治国家においては、捜査にかかる捜索・差押えが必要最小限になるようにと心がけているということはいえるでしょう。しかしながら、2009年にはクラウドに関して、プロバイダ自身が、犯罪の嫌疑をうけて、サーバーが差し押さえられたという事件が報道されていたりして、(自分自身には非がないのに強制捜査に巻き込まれる)リスクもあると言うことができます。

藤田 データ保全に関して発想の転換が必要なのかもしれません。データをどう保てていればいいのか。万が一、不正アクセスや強制捜査の対象となり、データをサーバーから消去したくてもできないような状況になったとき、暗号化を施しておけば意味のあるデータが第三者に渡ることは防ぐことができます。暗号化ですべての懸念が払拭できるとは限りませんが、ある程度はデータの完全性が保たれるともとらえることもできます。全てが自分の管理下ではないクラウドを使うときにはそうした考え方で臨むといいのかなと考えています。

高橋 データを法的にどう位置づけるかは難しいです。有体物として扱えるのか。あるいはユーザーからクラウドサービスに対して削除権のようなものが成り立つのかと考えてみると、現実にどこまで沿うのか疑問です。  

 権利よりも現実的には最適なものを選ぶことが大事ではないでしょうか。SLAを考慮した上でどうしても譲れない条件があるとしたら、多少高くてもオンプレミスのほうがいいのかもしれません。クラウドは必須ではないのですから。そこは仕方がないとみるべきです。  

 クラウドを利用するときには自分たちがオポチュニティを最大限得られて、リスクをコントロールできるのはどこかという観点で最適な組み合わせを判断していくのが大事です。

藤田 なるほど。クラウド時代のセキュリティガバナンスを考える上でポイントを挙げると、最適な選択肢は何かとよく考慮すること、企業は契約書を法務を通じてよく精査すること、データ保全のためには適切にバックアップや暗号化の手法も検討することなど。こうしたクラウドサービスを利用する上では、法的な側面を含めたクラウド特有のセキュリティリスクなどの特徴はIT担当者だけではなく経営者もよく理解しておくべきだと思います。本日はどうもありがとうございました。

 

クラウドに関わる全ての人へ!CSA認定「クラウドセキュリティ研修」

 クラウドサービスが普及しつつある中で、セキュリティの問題を認識しつつも何をしたら良いかわからない方が多いのではないでしょうか?

 日本HPでは、このような方々のためにクラウドユーザーが理解しておかなければならないリスクや課題を基礎から学ぶトレーニングを開始しました。クラウド&ビッグデータ時代に企業で求められる必須のセキュリティトレーニングです。

※本コースは、Cloud Security Alliance(CSA)のクラウドコンピューティングのためのセキュリティガイダンスに基づいています。

★CSA認定「クラウドセキュリティ基礎(1日間)」の詳細はこちらから

★CSA認定「クラウドセキュリティプラス(2日間)」※の詳細はこちらから

クラウドセキュリティプラスはAWSを利用した演習を含みます。

基礎からガバナンスまでクラウドセキュリティが学べる!
HPの「セキュリティ研修」

 HPの「セキュリティ研修」では、クラウドセキュリティのトレーニング以外にも、情報セキュリティの基礎を始めとして、リスク分析やBCP(継続性計画)の作成、組織全体のガバナンスまで、幅広いセキュリティ分野を体系立てて提供しています。

★HP「セキュリティ研修」の詳細はこちらから

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
クラウド時代のセキュリティ・リテラシー連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6018 2015/05/15 12:58

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング