対談：再度問われる、クラウドの法的課題と日本企業のセキュリティガバナンス【弁護士 高橋郁夫氏×日本HP 藤田政士氏】

セキュリティの懸念を除けば、クラウドは「大きなオポチュニティ」

藤田　クラウド時代の企業リスクやセキュリティについて考える対談シリーズは今回で3回目です。今回は広義のリスクマネジメントも含めて、ガバナンスやリーガルなことを中心にお話しいただければと思います。

高橋　まずはリスクそのものについて考えると、リスクとは不確実性のなかから引き起こされるものです。不確実性からはリスクだけではなくオポチュニティ（機会）も生まれる可能性があります。広い目で見れば企業やビジネスはリスクもオポチュニティもある不確実な中で、どう進んで行くかということでもあると思うのです。

　いかにオポチュニティをとるか。そのためにどうリスクに対処するか。人間はある程度の安全網がないと動けませんから、リスクに対してどう対処できるか知るのは大事です。「怖いですよ」「大変ですよ」と脅威ばかり目を向けて萎縮してしまうと先に進めなくなります。リスクを考えるときにここが大事なところです。

藤田　その考えはクラウドにもよく当てはまります。クラウドだと将来が不確実でも始められるというメリットがあります。例えばビジネスが急にヒットしてもクラウドなら容易に拡張できます。いろんな意味で参入障壁が低い。しかしリスクもあります。あらためてリスクやガバナンスを考えていければと考えています。

高橋　企業経営や意思決定の体系化、枠組みをどうしていくかというテーマになりそうですね。2005年ごろの内部統制ブームではいろんな議論がありました。いわゆる「COSOキューブ」から内部統制の3つの目的カテゴリーと5つの構成要素をベースに議論していた記憶があります。

　振り返ると、情報伝達が鍵だったように思います。ビジネスの関係者がどうミッションを遂行していくか、どのような基準で具体的な行動指針にあてはめていくか。その評価基準はどうあるべきかなど。

藤田　J-SOXのときはCOSOキューブがありました。しかしクラウド時代のいま、そうした指針になる枠組みがないというのが実情です。COSOキューブは企業や国などある程度閉じた世界のためのもの。クラウドはグローバルですから前提が大きく異なります。

高橋　法律は国ごとに定められていますから、確かに国を出る、あるいは国をまたぐと法律が異なることが問題になります。ENISA（2004年3月に設立された欧州連合（EU）の機関）の「クラウドコンピューティング：情報セキュリティに関わる利点、リスクおよび推奨事項」(参考：日本語訳PDF)にはリスクのマッピングがありました。中でもリーガル系の項目はハイリスクだと指摘がされています。 

藤田　従来のオンプレミスで運用しているシステムと比較すると、クラウドのリスクは複雑です。技術的な制約もあり、現実には、全部クラウドに移行できるわけではないので、混在環境となります。その場合の運用の指針やセキュリティリスク対応は一筋縄ではいきません。

　セキュリティの懸念を除けばクラウドは「大きなオポチュニティ」です。システムの構想を練り、エンジニアを探す、など不要ですぐに開始できますから。対象が新興国なら停電や自然災害のリスクもありますから、クラウドを使うというのは不可避です。ただしリスクもあります。

藤田　ビジネスで海外展開を考えるとクラウドしか考えられないけれど、そうしたリスクも考慮して制御していかなくてはならないということですね。

 

クラウド時代のセキュリティ教育―経営視点と技術視点の両方を語れる存在が重要に

藤田　クラウドが普及しているいま、企業では教育が追いついていないのではと考えています。経営者は特にそうです。クラウドにどんな特性があるのか、どんなリスクがあるのか。私が普段からセキュリティ対策として顧客の経営者に話していることがあります。報道でセキュリティに関する事件を見たら「分かったふり」せず、CIOなりシステム部長なり呼んでハラオチするまで聞くようにしてください。同時に自社は対策しているかどうか。していないなら問題は予算なのか教育なのかが分かります。普段からそうしたことを心がけるだけでも大きく違いますと話しています。

高橋　ガバナンスのフレームワークの大きな土台に教育があるということですね。私自身、ここ数年インフラ系の情報セキュリティを守ることに関心があります。まえにNATOにあるCCDCOE（Cooperative Cyber Defence Centre of Excellence）のシンポジウムに行きました。そこで机上訓練をしていました。海外からの攻撃を受けて深刻な被害が生じているという状況を想定し、自分は国の法務官としてシミュレーションするのです。必要な対策は何かと。こうした訓練はITインシデントにも対象を広げて、経営者もやると有意義ではないかと思いました。

　例えば自社で情報漏えいが起きたようだというところから始まり、経営者として何から調査をして、どんな対策を採るか。こうした訓練もしておく必要があるのではないでしょうか。

藤田　インシデントは発生を防ぐのが一番ですが、起きてしまったらどう対応するかが大事です。顧客企業には「普段から火災訓練はしているでしょう？ITインシデントの訓練はしていますか？」と尋ねたりしています。

高橋　実際にインシデントが発生したらやることは多く複雑です。データが漏えいしたらその追跡、疑わしい人物のメールや共有フォルダを調査する。どこまで技術的に可能か。削除されていたり、クラウドにあったならどうか。分析に多大な時間がかかるでしょうから、事前にどれだけ大変か訓練することは必要でしょうね。

藤田　メールに関しては会社に管理権があると社員に伝えておくと効果的です。例えば会社のメールに同窓会の案内が届き、返事することもあるでしょう。それを禁止するのではなく、「メールは、必要に応じて調べることもあります。メールは業務のために提供しているのだから管理権は会社にあります」と伝えるだけでも社員の意識は変わってきます。教育や周知徹底は重要です。

　これからは経営者の視点と具体的な技術知識、両方語れる人の存在は貴重です。ポリシーを策定しても、実際の業務手順にまで反映されていなかったり、社員の意識や理解が不十分である場合もありますから。

高橋　規則だけではなく習慣も大事です。顧客の個人情報に関する情報は個人が紐付くような状態でデータを保存しておかず、マッピングを行うとか、普段から固有名詞を出さないようにするとかです。 　

　「パスワードを定期的に変えましょう」というような実務的なレベルだけではなく、インテリジェンスの意識や習慣も含めたレベルにまで落としていくということですね。海外の軍経験者だとインテリジェンスの観点でデータを見ていますが、日本では危機感がまだ希薄です。 　

　昔の産業スパイなら夜中にオフィスに忍び込んで情報を盗むなどしていましたから、防御するには鍵をかけたり、守衛をおけば十分でした。しかしクラウドだと自分たちも外部にいますし、昨今では標的型攻撃も深刻です。守る方法が違います。

 

BCPとしてのクラウドの是非、セキュリティガバナンスの考え方とは？

高橋　どのクラウドサービスを選定するかの目を養うことも大切です。経営者はどのようなルールで運営しているのか把握して、問題があれば改善するように求めることも必要です。ただ「安くて早く導入できるから」だけで選ぶのではいけません。

藤田　日本は事件が発生してからセキュリティ担当者が忙しくなりますが、欧米だと逆です。欧米はIT予算の5％程度をセキュリティ対策として毎年確保していて、普段から事故防止対策に力を入れています。毎年、5％もあれば教育もできますし、ルールを見直したり、最新の攻撃に備える、防御を固めるなどいろんなことができるはずです。

　ネットの脅威は標的型攻撃など高度化しています。ゼロデイ攻撃などは、ブラックマーケットもあり、防御するほうが圧倒的に難しい。日本の特殊事情を申し上げると、内部から漏えいするケースが多いそうです。

高橋　それだけならいいですけど、内部の人間が外部とつながっていたらより事態は深刻になります。悪意なく感染してしまうケースもありますし。最近では「必要以上に名刺を配らない」のもセキュリティ対策と言われています。なりすましに使われたりするケースもあるからです。

藤田　BCPについても少し整理してみましょう。「BCPにはクラウド」という考えが普及していますが、IT専門家からするとクラウドである必要はなくて、サーバーが遠隔地に複数あれば十分です。それよりクラウドだと事業者がサービス提供をやめることも想定しておかなくてはなりません。実際にアメリカでありました。何年もクラウドで運用しているとデータ量も膨大となります。そのデータをクラウドから引き上げて自社や別のクラウドサービスに移行できるのか、どのくらい時間がかかるのかなども課題となります。

高橋　リスクの洗い出しは重要です。リーガルな観点から見ると、SLA（Service Level Agreement）が極めて重要です。実際の提供されるサービスのセキュリティの基準になります。また、SLAでは、契約時に契約終了時の取り扱いをどう定めているかよく確認する必要があります。

藤田　パブリッククラウドだと構築が手軽で利用開始の手続きが簡略化されていることもあり、SLAが緩いという感覚があります。クラウドではないIT企業が顧客と結ぶ契約とは格段に違います。そこは注意が必要です。データの取り扱いに関して参考になる判例はありますか？

高橋　90年代にスティーブ・ジャクソン・ゲームス訴訟がありました。ゲーム解説本の会社がアメリカのシークレットサービスから強制捜査を受け、その捜査の際の扱いが、違法であったとして国賠訴訟に発展した事件です。このゲーム会社が運営していた電子掲示板に強制捜査対象となっていたユーザーが利用していたことで強制捜査となったものの、会社のハードディスクごと押収されるなどしてほかのユーザーやゲーム会社が損害を被ったというものです。クラウドのマルチテナント環境で生じるリスクに通じるものがあります。 　

　当時まだ90年代でしたので、この事件はオンライン人権派となる電子フロンティア財団が発足するきっかけにもなりました。細かいところをみるとかなり特殊な背景もありましたが一般論でとらえれば、法執行機関側においても法治国家においては、捜査にかかる捜索・差押えが必要最小限になるようにと心がけているということはいえるでしょう。しかしながら、2009年にはクラウドに関して、プロバイダ自身が、犯罪の嫌疑をうけて、サーバーが差し押さえられたという事件が報道されていたりして、（自分自身には非がないのに強制捜査に巻き込まれる）リスクもあると言うことができます。

藤田　データ保全に関して発想の転換が必要なのかもしれません。データをどう保てていればいいのか。万が一、不正アクセスや強制捜査の対象となり、データをサーバーから消去したくてもできないような状況になったとき、暗号化を施しておけば意味のあるデータが第三者に渡ることは防ぐことができます。暗号化ですべての懸念が払拭できるとは限りませんが、ある程度はデータの完全性が保たれるともとらえることもできます。全てが自分の管理下ではないクラウドを使うときにはそうした考え方で臨むといいのかなと考えています。

高橋　データを法的にどう位置づけるかは難しいです。有体物として扱えるのか。あるいはユーザーからクラウドサービスに対して削除権のようなものが成り立つのかと考えてみると、現実にどこまで沿うのか疑問です。 　

　権利よりも現実的には最適なものを選ぶことが大事ではないでしょうか。SLAを考慮した上でどうしても譲れない条件があるとしたら、多少高くてもオンプレミスのほうがいいのかもしれません。クラウドは必須ではないのですから。そこは仕方がないとみるべきです。 　

　クラウドを利用するときには自分たちがオポチュニティを最大限得られて、リスクをコントロールできるのはどこかという観点で最適な組み合わせを判断していくのが大事です。

藤田　なるほど。クラウド時代のセキュリティガバナンスを考える上でポイントを挙げると、最適な選択肢は何かとよく考慮すること、企業は契約書を法務を通じてよく精査すること、データ保全のためには適切にバックアップや暗号化の手法も検討することなど。こうしたクラウドサービスを利用する上では、法的な側面を含めたクラウド特有のセキュリティリスクなどの特徴はIT担当者だけではなく経営者もよく理解しておくべきだと思います。本日はどうもありがとうございました。