組織の中で、セキュリティーリスク対策が大事なのは、みなさん総論は賛成。しかしながら、各論に入ってくると、どうしても各社の事情が入ってきて、2線の取り組みが、1線組織からするとあまり支援やサポートっぽく見えないことがある。ざっくりいうと、2線がセキュリティポリシーや規約・基準を作ると、1線の組織(特に幹部)、「うちにはさー、セキュリティ人材がいないからさー」とのくだり。誰しもが聞くやり取りではないだろうか。こういうギャップを埋めつつ、なんとか無理せず守れる環境づくりを目指したい。
例えば1つは、クラウドやサービスの利用可否判断。各利用者から上がってくるクラウドサービスの利用可否に、許可・不許可を判断する。
例えば政府であれば、ISMAP管理基準に基づく監理を行っていることを求めている。相手が政府なら、各事業者もISMAP認証を取ってもらえることもあり、認証の有無に基づいて監理がされているかどうかがわかりやすい。 なので、ポリシーを決める2線部門が「クラウドサービスの利用に当たっては、ISMAP認証を持っているサービスを利用すること」と定めると、一定の基準は作ることができる。しかし、そうも行かない場合もある。一つは民間企業の場合、もう1つはISMAP認証の取得を待っていられない場合である。
まず民間企業の場合は、会社によってISMAP認証の理解が低いところもあれば、そもそもISMAP認証を取る見込みがないクラウドを利用したい場合に、どうやって安全性を守るかという問題。
2つ目は、ISMAP認証に時間がかかることから、最新のクラウドサービスの安全性の担保に、ISMAP認証を待っていられない場合。
この場合、クラウドサービスの利用に関する安全性の担保としては、
1)クラウド事業側の管理体制
2)クラウドサービスを利用する利用側の管理体制
の両面から、2線組織は、検討する。1線組織からすれば、「◯◯◯クラウドサービスは、利用が承認されるのか、されないのか。承認されるサービスをリストアップしてくれれば、それを優先的に利用するので、結果的に安全ではないか」となってくる。実際は、クラウドサービスがISMAP認証を取っていても、利用者が管理者権限を全員に付与するようでは、推奨する環境にならないのであるが、そのへんの見極めはクラウド事業者に求めるものではない。
次に、最新のクラウドサービスの安全性に待っていられないこと。特に最近は生成系AIの進化は目を瞠るばかり。生成系AIで◯◯◯ができるようになった。競合他社がすでに使っていて、効果を上げている。こうなると時間的猶予がない。
こういうときも、2線と1線が衝突しがちだ。
1線からすれば、早く利用できないと競争に負ける。誰が事業の責任を負ってくれるのか?となりがち。
2線からすると、例えば生成系AIに放り込んだ情報が、第3国で野放図に扱われた場合のリスクを考えると、慎重に対処すべきとなる。
実はそんなことは言ってられなくて、最初はAIは関係なかった各クラウドサービスに、機能強化として建て増しで生成AI機能が追加される。利用に際して効いていたチェックも、利用の途中で入ってきたものに対して、どうだれがどうチェックすることに仕向けるかどうかなんて問題がある。(先日、自分が使っていた動画編集ソフトは、利用開始時には国内データ保管で、国内法準拠であったものが、途中でAI機能の強化が入って、保管先も準拠法も中国になっているものがあった。もちろん、機能拡充に際して、改めて利用規約の確認と承認を取るのだが、すでに使うことが許されたクラウドサービスに、改めてチェックの目を効かせるのは、とても難しい。
ガバナンスの理想は無視せずに遵守できること。覚えきれない手順や遵守できない高いハードルは、遵守する意欲さえも奪ってしまう。こういうと、現場に甘いんじゃない?と言われそうなので、1線はちゃんとポリシーは読んで理解して、何がリスクかなのか、なぜこの対策でいいのかは、理解しましょうね。
