Amazon Web Services ブログ

「AWSにおける経済安全保障推進法に関する考慮事項」ホワイトペーパーが発行されました。

セキュリティはAWS にとって、また多くのお客様にとって最優先事項となります。

経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(経済安全保障推進法)は、複雑化する国際情勢の中で、国家・国民の安全を経済面から確保するための取組を強化・推進するためのものとなります。
AWSでは社会的な機能維持の責任を担うお客様に対し、そのリスク評価をコンプライアンスの促進を支えるために、「AWSにおける経済安全保障推進法に関する考慮事項」ホワイトペーパーを発行しました。本ホワイトペーパーはどなたでもダウンロードし、ご利用することができます。

内閣府HPによれば、経済安全保障推進法の趣旨は次を目的としたものとなります。

この法律は、国際情勢の複雑化、社会経済構造の変化等に伴い、安全保障を確保するためには、経済活動に関して行われる国家及び国民の安全を害する行為を未然に防止する重要性が増大していることに鑑み、安全保障の確保に関する経済施策を総合的かつ効果的に推進するため、経済施策を一体的に講ずることによる安全保障の確保の推進に関する基本方針を策定するとともに、安全保障の確保に関する経済施策として、所要の制度を創設するものです。
具体的には、法制上の手当てが必要な喫緊の課題に対応するため、(1)重要物資の安定的な供給の確保、(2)基幹インフラ役務の安定的な提供の確保、(3)先端的な重要技術の開発支援、(4)特許出願の非公開に関する4つの制度を創設するものです。

基幹インフラ役務の安定的な提供の確保には、基幹インフラを担う事業者に対して、事業者が管理する重要設備(特定重要設備といいます)が、日本国外から行われる役務の安定的な提供を妨害するサイバー攻撃などの行為を受ける恐れがあります。そうした事態を予防するために、国が事業者及び対象となる特定重要設備を指定し、その重要設備の導入・維持管理等の委託において事前に届出を行い、リスク管理態勢に関する国の審査を受ける制度が2024年5月17日から実際に適用されます。

AWSは本制度の対象となる基幹インフラ自体を担う事業者ではなく、また特定重要設備をサービスとして提供する事業者ではありません。しかし、こうした社会的な機能維持の責任をもつお客様が、その構成設備の一部としてAWSの様々なサービスを利用されることが想定されます。
本制度においては、各府省庁の省令に基づき「特定重要設備の導入にあたって特定社会基盤事業者が講ずる特定妨害行為を防止するための措置に係る事項」に関して、お客様がリスク評価を行うべき項目が示されており、お客様は本項目に基づく特定重要設備自体やその構成設備の評価を行う必要があります。本ホワイトペーパーでは、各項目に関し、特に構成設備が対象となる項目においてはAWSにおける取組の概説を提示し、また、特定重要設備が対象となる項目に対してはお客様のワークロードを支援するためのAWSのサービス情報として、お客様のコンプライアンスやセキュリティ態勢を支援するAWSのセキュリティサービス例を紹介しています。

また、構成設備を対象とする項目のいくつかは、対象となる構成設備が日本の政府調達におけるクラウドサービスの評価制度である「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: ISMAP(以下、ISMAP)」に登録されていることによって、個別のリスク評価を省略することができます。これは、すでにISMAPを通じて第三者による評価が確認されており、コンプライアンス評価における事業者負担の軽減の観点として位置づけられています。
また、本制度における届出のいくつかは、構成設備の供給者が、直接監督府省庁に届け出を行うことでお客様を通じた届出を不要とする制度(バイパス制度)が設けられています。
本ホワイトペーパーをお客様のリスク評価のプロセスに組み込むことで、AWSの基本的なシステム概要や経済安全保障推進法における考慮事項、特にISMAPとして評価済みの事項、AWSがバイパス制度を利用することでお客様による対応が不要な事項が明確になり、お客様の円滑なコンプライアンス対応の一助となります。

AWSを構成設備としてお考えのお客様はまずは本ホワイトペーパーをご参照頂き、具体的なご質問などがありましたら、AWS 日本担当チームの担当者までご相談ください。なお、特定重要設備を構成する上での具体的なAWSサービスの構成方法の詳細は、各サービスのガイド等の各種情報をご参照ください。

本Blogは、セキュリティアシュアランス本部 本部長 松本照吾が執筆いたしました。