[レポート] 基調講演 4 : アジア太平洋および日本地域におけるコンプライアンスの変革 – AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow

AWS Security Roadshow Japan 2021 の下記セッションのレポートです。

基調講演４: アジア太平洋および日本地域におけるコンプライアンスの変革

規制当局がデジタル化におけるセキュリティとプライバシーを確保するための新たな要件を提起する一方で、デジタルイノベーションとクラウド移行はかつてないほどのスピードで進行しています。クラウドネイティブな企業は、これまで以上に多くの顧客向けサービスを、更新の間隔を短くしながら、より速く市場に投入しています。これにより、コンプライアンスを困難にする複雑なシナリオが生まれ、このコンプライアンス・マトリックスを管理するためのコストは、従来のアプローチでは対応できないことが多いのです。本セッションでは、APJ 市場における AWS のコンプライアンスプログラムとサービスの最新情報、そしてデジタルトランスフォーメーションのスピードに追いつくためにコンプライアンスプログラムをどのように進化させているかをご紹介します。

Amazon Web Services Inc. Security Assurance, Audit Lead, Asia Pacific and Japan　Zhan Wang

レポート

• 登壇者の Zhan Wang さんはAWS監査チームのマネージャー
• コンプライアンス分野の現状についての話
  • コンプライアンス要件は複雑になってきている
  • AWS監査チームは10年以上取り組んでいる

コンプライアンスに関する予測

• 規制面、経営面、技術面の側面がある
• 規制面
  • 130カ国以上がデータ及びプライバシー保護の法整備
  • グローバル市場化でコンプライアンス対応が複雑化
    • セキュリティの責任が増加
• 経営面
  • パンデミックによりクラウド移行が進んでいる
  • ビジネスモデルをデジタルファースト化
    • リモートの増加
  • クラウドのデータは規制
• 技術面
  • ゼロトラスト
  • 継続的な管理
  • リスク管理
  • セキュリティオートメーション
  • セキュリティとコンプライアンスの視覚化

コンプライアンスのトランスフォーム（転換）

• AWSはコンプライアンスのトレンドを予測していた
  • 複雑で対規模なコンプライアンスに対応するためのプログラムがある
• 組織のトランスフォーム（転換）
  • コンプライアンスには法的義務がある
  • 投資額と事業のバランスを取る必要もある
  • ビルダーチームのアジリティを妨げずにコンプライアンスに対応する
  • 外部監査人にコンプライアンスアプローチを説明できる人材が必要
    • 監査プロセスを知ることのみを優先する従来の監査だけでは成功しない
    • 技術監査人と技術アドバイザーの両方が必要
• スケーラビリティのトランスフォーム（転換）
  • Collect once, reuse multiple
  • エビデンスの再利用だけでは不十分
    • 定期的なスナップショットも必要
  • 専用のエンジニアリングチームがある
  • 自動推論に投資
    • 数学的仕様で確認
  • 要求水準の高まりに対応
    • 金融業化の要件は厳しい

リージョナルコンプライアンスのアップデート

• APJリージョナルプログラムを提供
  • 日本、韓国、香港、シンガポール、インド、オーストラリアなどに拠点
  • 業界の規制当局などに対応
• 今後は透明性の向上が求められる
• 日本での活動
  • AWSはISMAPに対応
  • ISMAP向けには23リージョンを選択可能
• 日本以外にも世界各地のコンプライアンスに対応
• 監査について詳しく知りたい顧客が増えた
  • シンポジウムの開催を提供
  • 同じ分野から同じ課題を持つ顧客を集める
  • AWSの統制について丁寧に説明して透明性を向上する

まとめ

• AWSは顧客と主にコンプライアンスに対応してDXを止めずに推進する
• AWSを利用し始めた瞬間にセキュリティの利点がある
  • 監査レポートや監査シンポジウムも提供

感想

コンプライアンスは今後もより厳しくなっていく可能性があるので、できるだけサービス側で自動化などにより対応してくれるとうれしいですね。