政府統一基準に対応したAWSクラウド利用のセキュリティリファレンスについて

アクセンチュア株式会社、株式会社NTTデータ、PwCあらた有限責任監査法人、富士ソフト株式会社は共同で、内閣サイバーセキュリティセンター（NISC）制定の政府統一基準に対応したAWSクラウド利用のセキュリティリファレンスを作成し、2017年3月23日より無償提供を開始しました。本リファレンスは、2016年8月31日に改訂された「政府機関の情報セキュリティ対策のための統一基準（平成28年度版）」を背景としており、クラウドの選定および利用の際のガイドラインやセキュリティ要件等の基準が追加されたことに対して、AWSクラウド環境におけるセキュリティ対応策の詳細を網羅的に提示しています。

サイバーセキュリティ基本法に基づいてNISCが制定する政府統一基準（以下、NISC統一基準）は、国内の政府機関が実施すべきセキュリティ対策の指針として幅広く利用されています。一方で、その要件やチェック項目は複雑かつ広範にわたるため、AWSクラウド等のクラウドを利用する際に、そのガイドラインや要件を満たすことを確認することは容易ではありませんでした。このたび共同開発した本リファレンスは、各社の情報セキュリティ対策に関する知見と実績を結集したものです。政府統一基準への準拠のノウハウを具体的に提示することにより、各政府機関が安全で信頼性の高いシステムを実現することを支援できるものと期待しています。

パートナー各社の取り組み

2017年5月30日に開催された「パブリックセクタ― シンポジウム ～AWS Summit Tokyo 2017 – Dive Deep Day～」にて、本リファレンスの作成者であるパートナー各社によるパネルディスカッションが行われ、各社の取り組みが紹介されました。

アマゾン ウェブ サービス ジャパン株式会社 大富部貴彦

導入として、モデレータであるアマゾン ウェブ サービス ジャパン株式会社の大富部貴彦から、公共部門におけるクラウド移行モデルや諸外国のクラウド移行状況に触れました。

「米国は政府機関がFedRAMPというクラウド利用の統一基準を作っており、クラウドベンダーはこの基準に適合することで安全性を示し、クラウド移行を推進してきました。日本でも同様なことが、NISC統一基準から起きることが期待されます。」

PwCあらた有限責任監査法人 桒野拓磨氏

最初に、PwCあらた有限責任監査法人の桒野（くわの）拓磨氏から、今回作成したリファレンスに対する説明がなされました。

「日本の公共や金融業界などではなかなか進まないクラウド利用ですが、NISC統一基準の改定に合わせてリファレンスを作ることで、その推進力にしていきたいです。個々の事業者が独自の解釈して判断するのは負担が大きいので、このリファレンスを参照することで負担感が軽減されればと思っています。

このリファレンスは、利用者にとって使いやすいように作成しています。AWSクラウドで定義している責任共有モデルに基づき、どこからどこまで利用者が責任を持ち、どこからどこまでAWSが責任を持つのか、という役割分担を念頭に置いています。そのことからリファレンスの構成は、統一基準の遵守事項、ユーザーの対応指針、AWSクラウドの実現方法、根拠となるAWSクラウドの情報、と整理して記載しました。」

アクセンチュア株式会社 土屋光司氏

アクセンチュア株式会社の土屋光司氏からは、コンサルタントの立場からクラウド導入の課題について言及されました。

「クラウド利用時の一般的な課題として、データセンター関係者からの情報漏洩リスクや、ディスク廃棄時の情報漏洩リスクへの懸念が挙げられるだろうと議論しました。利用者自身がデータセンターを運用していれば、データが手元にあるという安心感は得られますが、クラウドにはそれがありません。しかし、どれだけ厳密に管理すれば安全とするのか、はっきりさせるのが難しい問題とも言えます。一方で、AWSクラウドは、ISO27001などの認証を取得し、外部監査機関により客観的にそれが証明されています。

クラウド時代では、利用者による直接管理から、ISO27001などの認証による客観的な事実の積み上げにより、セキュリティが担保されているというように変わっていくと思います。このように考えれば、先の課題を解決できるという結論に達しました。」

富士ソフト株式会社 渡辺露文氏

同様に、富士ソフト株式会社の渡辺露文氏は、SIerの立場からクラウドの課題を話されました。

「顧客は、データをクラウドに置くことを漠然と怖がっていると感じています。責任共有モデルに基づき、AWSが顧客データにアクセスすることは無いことや、AWSクラウド利用時はデータの暗号化やアクセス制御などを利用者が自由に設定できることで、その懸念はクリアしていると思います。本リファレンスにはその根拠を合わせて記載したことで、懸念払拭に役立つものとなっています。」

株式会社エヌ・ティ・ティ・データ 青木健太郎氏

続いて、株式会社エヌ・ティ・ティ・データの青木健太郎氏からは、このリファレンスが無償提供された後の反響について述べられました。

「リファレンスを作成しても利用していただかないと意味が無いので、どうやってプロモーションするかに悩みました。広報によるメディア露出以外にも、三角内閣審議官はじめNISCの方々へのご説明や各省庁CIO補佐官への勉強会開催などの活動もしておりました。

日経産業新聞などに取り上げられた時は、一週間で10件弱の問い合わせがありました。ターゲットとしている公共の顧客からの問い合わせかと思いきや、最初の問い合わせは金融機関でした。統一基準のターゲットとなるカバレッジの広さを感じました。

また、問い合わせ内容で多かったのは、国内法以外の法令が適用されるリスクについてでした。今回、議論を重ねた結果、パートナー4社の共同見解として、リクエストに応じて準拠法や管轄裁判所が変更可能であると本リファレンスに明記することができました。」

最後に、パートナー各社から、今がクラウドを使うチャンスであると、会場の皆様へ語られました。本リファレンスの利用と、NISC統一基準に対応したAWSクラウドに関する案件ご支援により、日本のクラウド利用を推進していくという熱い心のこもったメッセージで、本パネルディスカッションは幕を閉じました。

本セキュリティリファレンスの入手先/お問い合わせ先

本リファレンスを作成したパートナー各社のWebサイトをご参照ください。

アクセンチュア株式会社：https://www.accenture.com/jp-ja/security-reference-aws
株式会社NTTデータ：http://www.nttdata.com/jp/ja/news/release/2017/032300.html
PwCあらた有限責任監査法人：http://www.pwc.com/jp/ja/japan-press-room/press-release/2017/aws170323.html
富士ソフト株式会社：http://www.fsi.co.jp/company/news/170323_2.html

(執筆：桐山 隼人, セキュリティソリューションアーキテクト)