Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

対談:再度問われる、クラウドの法的課題と日本企業のセキュリティガバナンス【弁護士 高橋郁夫氏×日本HP 藤田政士氏】

  2014/08/06 11:00

 国内でクラウドサービスの利用が進む一方、クラウド環境はセキュリティや法的な課題も含めユーザーにとって不明瞭で分かりにくい点も多い。クラウドのもたらす大きなメリットとリスクのバランスを、企業はどのように捉えればよいのだろうか。今回の対談では、弁護士で日本クラウドセキュリティアライアンス (CSAジャパン)監事の高橋郁夫氏と日本HP藤田政士氏に、クラウド時代の企業リスクや法的課題、セキュリティガバナンスやBCPのあり方などについて議論してもらった。

セキュリティの懸念を除けば、クラウドは「大きなオポチュニティ」

藤田 クラウド時代の企業リスクやセキュリティについて考える対談シリーズは今回で3回目です。今回は広義のリスクマネジメントも含めて、ガバナンスやリーガルなことを中心にお話しいただければと思います。

 高橋郁夫氏
BLT法律事務所代表 弁護士
一般社団法人 日本クラウドセキュリティアライアンス (CSAジャパン)監事
宇都宮大学講師
▲高橋 郁夫氏
BLT法律事務所代表 弁護士/宇都宮大学講師
日本クラウドセキュリティアライアンス (CSAジャパン)監事

高橋 まずはリスクそのものについて考えると、リスクとは不確実性のなかから引き起こされるものです。不確実性からはリスクだけではなくオポチュニティ(機会)も生まれる可能性があります。広い目で見れば企業やビジネスはリスクもオポチュニティもある不確実な中で、どう進んで行くかということでもあると思うのです。

 いかにオポチュニティをとるか。そのためにどうリスクに対処するか。人間はある程度の安全網がないと動けませんから、リスクに対してどう対処できるか知るのは大事です。「怖いですよ」「大変ですよ」と脅威ばかり目を向けて萎縮してしまうと先に進めなくなります。リスクを考えるときにここが大事なところです。

藤田 その考えはクラウドにもよく当てはまります。クラウドだと将来が不確実でも始められるというメリットがあります。例えばビジネスが急にヒットしてもクラウドなら容易に拡張できます。いろんな意味で参入障壁が低い。しかしリスクもあります。あらためてリスクやガバナンスを考えていければと考えています。

高橋 企業経営や意思決定の体系化、枠組みをどうしていくかというテーマになりそうですね。2005年ごろの内部統制ブームではいろんな議論がありました。いわゆる「COSOキューブ」から内部統制の3つの目的カテゴリーと5つの構成要素をベースに議論していた記憶があります。

 振り返ると、情報伝達が鍵だったように思います。ビジネスの関係者がどうミッションを遂行していくか、どのような基準で具体的な行動指針にあてはめていくか。その評価基準はどうあるべきかなど。

藤田 J-SOXのときはCOSOキューブがありました。しかしクラウド時代のいま、そうした指針になる枠組みがないというのが実情です。COSOキューブは企業や国などある程度閉じた世界のためのもの。クラウドはグローバルですから前提が大きく異なります。

高橋 法律は国ごとに定められていますから、確かに国を出る、あるいは国をまたぐと法律が異なることが問題になります。ENISA(2004年3月に設立された欧州連合(EU)の機関)の「クラウドコンピューティング:情報セキュリティに関わる利点、リスクおよび推奨事項」(参考:日本語訳PDF)にはリスクのマッピングがありました。中でもリーガル系の項目はハイリスクだと指摘がされています。 

藤田 従来のオンプレミスで運用しているシステムと比較すると、クラウドのリスクは複雑です。技術的な制約もあり、現実には、全部クラウドに移行できるわけではないので、混在環境となります。その場合の運用の指針やセキュリティリスク対応は一筋縄ではいきません。

 セキュリティの懸念を除けばクラウドは「大きなオポチュニティ」です。システムの構想を練り、エンジニアを探す、など不要ですぐに開始できますから。対象が新興国なら停電や自然災害のリスクもありますから、クラウドを使うというのは不可避です。ただしリスクもあります。

藤田 ビジネスで海外展開を考えるとクラウドしか考えられないけれど、そうしたリスクも考慮して制御していかなくてはならないということですね。

 

クラウドに関わる全ての人へ!CSA認定「クラウドセキュリティ研修」

 クラウドサービスが普及しつつある中で、セキュリティの問題を認識しつつも何をしたら良いかわからない方が多いのではないでしょうか?

 日本HPでは、このような方々のためにクラウドユーザーが理解しておかなければならないリスクや課題を基礎から学ぶトレーニングを開始しました。クラウド&ビッグデータ時代に企業で求められる必須のセキュリティトレーニングです。

※本コースは、Cloud Security Alliance(CSA)のクラウドコンピューティングのためのセキュリティガイダンスに基づいています。

★CSA認定「クラウドセキュリティ基礎(1日間)」の詳細はこちらから

★CSA認定「クラウドセキュリティプラス(2日間)」※の詳細はこちらから

クラウドセキュリティプラスはAWSを利用した演習を含みます。

基礎からガバナンスまでクラウドセキュリティが学べる!
HPの「セキュリティ研修」

 HPの「セキュリティ研修」では、クラウドセキュリティのトレーニング以外にも、情報セキュリティの基礎を始めとして、リスク分析やBCP(継続性計画)の作成、組織全体のガバナンスまで、幅広いセキュリティ分野を体系立てて提供しています。

★HP「セキュリティ研修」の詳細はこちらから


著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

バックナンバー

連載:クラウド時代のセキュリティ・リテラシー
All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5