【レポート】ISMAP に基づくクラウドコンプライアンスの向上 #AWS-48 #AWSSummit

こんにちは、臼田です。

みなさん、AWSのセキュリティ確保できてますか？(挨拶

今回は2021年5月11 - 12日で開催されているAWS Summit Online Japan 2021のセッションレポートです。

ISMAPという制度がどういうものか、我々はどんなふうに付き合っていけば良いのかがよく分かるセッションでした！

セッション概要

セッション名: ISMAP に基づくクラウドコンプライアンスの向上(AWS-48)

スピーカー: アマゾン ウェブ サービス ジャパン株式会社 セキュリティ アシュアランス本部 本部長 松本 照吾

概要: 政府情報システムのためのセキュリティ評価制度（ISMAP）は日本ではじめての公的なクラウド事業者の評価制度となります。本制度に基づいてお客様や AWS のエコシステムを形成するパートナーの皆様はどのような対応が求められるのか、AWS がどのようにお客様をサポートできるかをお伝えします。

レポート

• このセッションでは新しい政府情報システム調達のための制度であるISMAPの説明をしていく
  • ISMAP(イスマップ)は昨年から開始された制度
• 誰のためのセッションか？
  • ISMAPの調達に関連する担当者
  • ISMAPを踏まえたサービスを展開しようとしている事業者
  • 調達やコンプライアンスを考えているリスク管理部門やコンプライアンス担当者
• アジェンダ
  • コンプライアンスとクラウドバイデフォルト
  • ISMAPがもたらすもの
  • AWSのISMAPコンプライアンスがお客様に届ける価値
  • Still Day 1 - まとめにかえて -

コンプライアンスとクラウドバイデフォルト

• 政府情報システムはクラウド・バイ・デフォルト原則を出して、クラウドを第一候補として考えるとしている
• 大切なのはなんのためのクラウドかということ
• オンプレミスを否定するものではない

• クラウドバイデフォルトで重要なのはセキュリティ
• 事業者の評価が必要であるため、ISMAPが出てきた

ISMAPがもたらすもの

• ISMAPがもたらすのは信頼の基礎
• 政府機関はISMAPに対応したサービスを調達する必要がある

• クラウドサービスプロバイダーは「言明」して説明責任を果たす
• ISO/IEC 27001, 27002, 27014, 27017, 政府機関統一基準及びNIST SP800-53を参照して構成している
• 現状のISMAP
  • 現状はISMAPの対象は府省庁における調達で、独立行政法人及び指定法人は含まない
  • ただ重要産業などの民間での活用も期待されている
• ISMAPには利用者の責任もある
  • クラウドサービス利用者の責任は必ず存在する

AWSのISMAPコンプライアンスがお客様に届ける価値

• AWSにとってセキュリティは最優先事項
• AWSでは従来より保証型監査(SOC2)やPCI DSSなどで説明責任を実施している
• ISMAPの設立に向けて積極的に意見交換もして、2021年3月に最初の登録事業者の1社として登録された
• 必要なのは価値の最大化

• ISMAPの管理作には利用者に対して機能や情報提供することを求める管理策がある
• 例えば暗号化消去の実装方法について詳細に公開している
  • クラウドにおける安全なデータの廃棄（実践編） | Amazon Web Services ブログ
  • サンプルコードもある
• 未来の話
  • 日本ではISMAPは始まったばかりだが、アメリカではFedRAMPがある
  • マーケットプレイスからサードパーティのソリューションを調達できる
  • AWSの上に乗っかることでSaaSベンダーなどが認証を取りやすくなっている

Still Day 1 - まとめにかえて -

• ISMAPはクラウドバイデフォルト実現のための道具
• ISMAPによりクラウドさーんビス事業者のセキュリティに対する信頼を醸成
• AWSのISMAPコンプライアンスだけではなく必要な情報や機能提供によるエコシステム拡充を支援
• クラウドは前に進むための道具、より良い道具を素早く使いこなして成長を！

まとめ

ISMAPについてどんなものなのか、あるいはどう付き合っていけば良いのかが理解できるセッションでした。

また、クラウドと、AWSとどう付き合っていくのかも垣間見えたと思います。

まだ出たばかりの仕組みですから引き続きキャッチアップしていきたいですね。

アーカイブ動画も上がると思うのでそちらもチェックしましょう！