Amazon Web Services ブログ

リスクベースのアプローチを考える(AWS FISCリファレンス改訂にあわせて)

本Blogは、クラウドにおける新しい常識”new normal”を考えるBlogの第三弾です。(第一弾「クラウドにおける安全なデータの廃棄」はこちら、第二弾「責任共有モデルとは何か、を改めて考える」はこちら

最近の日本のコンプライアンスのアップデートとして、アマゾン ウェブ サービス ジャパン から、FISC安全対策基準・解説書(第9版改訂)に対するリファレンスを公表しました。
本基準・解説書の改訂は継続的に行われているものですが、クラウドの利活用が進んでいく中で、様々な業界におけるセキュリティに対するガイドラインの改訂がみられています。昨今のセキュリティのガイドラインの改訂においては基本的な考え方として”リスクベースのアプローチ”を前提として設計されているケースが増えています。リスクベースアプローチを通じて、利用者として考えるべきことは何かを本Blogではお伝えします。

私たちやパートナー様の取り組み

より安全かつコンプライアンスに準拠してAWSをご活用いただくために、私たちアマゾン ウェブ サービス ジャパン や、APNパートナーの皆様では様々な取り組みを行っております。

上記に記載しましたように、金融分野においてはアマゾン ウェブ サービス ジャパン から、FISC安全対策基準・解説書(第9版改訂)に対するリファレンスを公表しました。これは財団法人金融情報システムセンター(FISC)の求める各管理策に対するAWSの取り組みとお客様の責任範囲で実施する事項をまとめており、お客様はどなたでも入手することが可能です。
医療情報ガイドラインの分野では、厚生労働省・総務省・経済産業省による医療情報に対するガイドラインに対し、APNパートナー様(キヤノンITソリューションズ株式会社様、DXC テクノロジー・ジャパン株式会社様、日本電気株式会社様、株式会社日立システムズ様、フィラーシステムズ株式会社様)により「医療情報システム向けAWS利用リファレンス」が公開されており、私たちは本文書の作成にあたり、AWSパートナー各社様を支援しています。AWSパートナー各社様の最新の活動状況などはこちらをご確認いただければ幸いです。ガイドライン自体改訂にともないリファレンスの改訂をご提供する際には、またあらためてご案内いたします。(リファレンスは上記リンクより各パートナー様のWebサイトより入手することができます)

リスクベースアプローチの概要

もしも皆様の組織が”ルールだから”という理由だけで外部の基準や社内の基準におけるすべての管理策の順守を必須としており、それがクラウド利活用の障壁になっているようでしたら、ぜひ一度立ち止まってください。

冒頭にあげた様々な業界におけるガイドラインの改訂において共通することは、ガイドラインが”リスクベースアプローチ”をとるものであることを示している点です。セキュリティのガイドラインを読む際には求められている具体的な対策に注目しがちですが、まずはガイドライン自体をどのように活用すべきかを理解する必要があります。
リスクベースアプローチとは、組織をとりまくリスクを評価し、そのリスクに応じて、組織が考える水準を踏まえてリスクを最小化する取り組みです。この考え方はセキュリティだけでなく多くの分野で取り入れられています。
セキュリティに関わらず、組織が利用できる経営資源は有限です。一方組織をとりまく様々なリスクは多種多様であり、業界や風土に固有なものもあれば、組織固有のものもあります。このような状況下で有限である経営資源を活用してどのように対策(セキュリティだと”管理策”といいます)をするかを決めなければいけません。リスクの影響や、リスク対応に提供できる経営資源、受容に対する意思決定は組織によって異なります。リスクベースアプローチは組織にリスクを評価する枠組みや受容の水準を設けることで、合理的に”選択”と”集中”をおこなう仕組みとなります。つまりリスクのより高い領域には手厚く経営資源を集中することで対策にメリハリをもうけつつ、アセスメントを通じた合理的な意思決定をすることは組織の説明責任の基礎となります。
なお、リスクベースアプローチに対比するものとしてはルールベースアプローチ、もしくはベースラインアプローチとよばれる方法があります。定められたルールを満たすことによりリスクを管理することを前提にするものです。決められたことを網羅すればなんらかの形でリスクの低減を図ることができます。リスク自体や業務環境にまったく変動がない環境であれば、決められたルールを守り続けていることでリスクが顕在化することは少なくなるため、このアプローチ自体は間違いではありません。ベースラインにもとづき”すべてのリスクが適切にカバーされコントロールできうる”前提であれば、しっかりしたルールを確立してその運用に集中することも一つのやり方です。

すべてのリスクをカバーすること、は現実的か

しかし、技術や組織をとりまく環境の変化が激しく影響度や頻度に変化がある状況では、ベースラインアプローチの効果は薄れていきます。

新しいリスクに対応するために後付けでルールを増やし続けると、その対応コストが増加していきます。また、何よりも一度決めたルールを減らすことは、ルールを増やすことよりも組織内の労力が必要となりますが、組織の経営資源は有限です。このようにベースラインに傾斜しすぎるとルール自体の陳腐化や形骸化をもたらすおそれがあります。
特にセキュリティの管理策という観点では、予防的な管理策を実施すればよいわけではなく、そもそもリスクが発現する対象となる情報資産が何かを識別するプロセス、リスクが発現することを前提として早期に発見して被害を最小化することや、リスク事象が発現することを記録し追跡性を担保すること、リスク状況から早期に通常の状態に復元することも求められます。つまり、一つの対策でリスクをコントロールするのではなく、様々な観点からの対策の組み合わせが求められるわけです。病気の対策でも、予防だけで対策は完結せず、罹患を踏まえた対応などを網羅的に実施しなければいけないことは皆さんもご承知のことだと思います。
なお、NISTのサイバーセキュリティフレームワークでは、このような切り口を踏まえた対策の枠組みを提供しております。より様々な統制の切り口をご理解したい場合は、こちらのホワイトペーパーをご参照ください。

すべてのリスクをコントロールすることはできるのか

リスクを考えるうえでの共通認識として、その性質によって組織がコントロールできる余地は異なる、ということを理解する必要があります。

例えば、監査におけるリスクベースアプローチにおいては、監査上のリスクを、固有リスク、統制リスク、発見リスクをあわせたものとして定義します。固有リスクはその業界や風土がもつ固有のもの、統制リスクは、せっかく定められた統制が十分に機能しない(手作業などミスや不正の余地が多い)もの、そして発見リスクは監査人が正しい証拠を見つけられず結論を誤ってしまうリスクです。このうち固有リスクと統制リスクは監査人自身がコントロールできず、監査を行う前提として受け入れていくものとなります。一方、監査リスクですが、これは例えば監査で評価する証跡の数を変えたり、監査手法を正しく選択することによって監査人によってリスクの程度をコントロールできます。この例のように、リスクには組織がコントロールできず、受け入れることが前提となる要素と、組織がリスクコントロールできる側面が多く存在します。
ベースラインで考えた場合、自分たちのルールの不足や管理策の強度不足、絶えず環境や技術が変化する中で現状の統制の範囲外である領域にどのようにアプローチしていくのかを絶えず見直す仕組みがないと十分に機能しないわけです。変化が激しければその頻度は当然のように多くなりますが、タイムリーにルールを見直し、組織に浸透させることは大きな労力をともないます。

リスクを評価する主体

また、リスクの評価を理解する上でもっとも重要なことは、リスクを評価する主体はお客様自身であるということです。

クラウドサービスを提供する事業者として、クラウドセキュリティのリスク評価等をお客様からご相談いただくケースもありますが、私たちが可能なことはお客様のリスク評価上参考となる情報の提供や、セキュリティを含めた様々なサービスの提供を通じて、お客様自身が実施し、判断するための材料を提供することに他なりません。なぜなら、上記に記しましたように、組織のリスクに対する意思決定やその受容水準はお客様ごとに異なるからであり、またお客様自身のリスク管理にともなう説明責任はあくまでもお客様に帰属するからです。

目的を踏まえた適切な管理策の選択を

もう一点、リスクを評価する上での重要な視点をお伝えします。

AWSが提唱するWell Architectedフレームワークではセキュリティだけではなく様々な観点でのシステムの評価を行うフレームワークを提供しています。例えば「コスト最適化の柱」においては「コスト最適化によるビジネス価値の数値化」という項目をあげています。コスト管理においても、セキュリティにおいても、手段が目的化してしまい、本来そのサービスやシステムが目的としていたビジネス価値を大きく阻害することは本来避けなければなりません。”ルールだから”ではなく、そのルールの目的は何なのか、実施しようとしている手段は、しっかりと組織の目的=ビジネス価値の向上に資するものであるか、をバランスよく考えることが求められています。
また、セキュリティにおけるリスク評価はともするとネガティブリスク(放置することで組織に悪影響をあたえるもの)に注目しがちですが、本来であればビジネスへの価値貢献など、多様な観点においてサービスを評価し、その中で自身がコントロール可能な領域を明確にし、実行可能な管理策を選択することで、本来組織が求めるべきサービスの利活用の実現に近づくわけです。

リスクベースアプローチの有効活用によるリスク管理の合理化を

リスクベースの考え方は新しいものではなく従来からあったものです。

ガイドラインで定められた管理策を網羅的に実施することではなく、組織が合理的な判断のもと、優先順位や重み付けをすることでより経営資源を効率的に活用できますし、組織の説明責任の基礎を確立することはリスクベースアプローチの大きなメリットです。特にクラウドをとりまく技術分野はまさに変化の激しい領域となります。様々なガイドラインは、その発行から改訂をむかえるまでのライフサイクルの間も、社会をとりまく状況や技術は日々変化を続けています。事実として日本の様々なセキュリティガイドラインでもその必要性がうたわれているように、今後もこのトレンドは高まると思われます。お客様は、AWSおよびAPNパートナー様の取り組みを活用して自組織で行うリスクアセスメントの材料とすることができます。今度ともこうした活動に注目いただければ幸いです。

 

このブログの著者
松本 照吾(Matsumoto, Shogo)
セキュリティ アシュアランス本部 本部長