クラウドサービスのセキュリティの保証にSAS70をつかってはならない?
こんにちは、丸山満彦です。いろいろと業務が立て込んでおり、ブログの更新が滞っていますが、気まぐれ日記ということで。。。
夏井先生のブログの記事
・2010.08.13 現在存在しているリスク評価基準は,パブリッククラウドのリスク評価には使えない
で参照しているPROCESSORの記事
・2010.08.13 The Risks Of The Cloud (CloudAudit & AICPA Independently Tackle Cloud Security Controls)
に次のように記載されています。
=====
“A lot of people over time have misused SAS 70 for reasons never intended,” says Amy Pawlicki, the AICPA’s director of business reporting assurance and advisory services. “Third-party service providers are trying to say that current and prospective customers can trust that they have the controls in place for security, availability, privacy, confidentiality, and processing integrity. The standard covering that is AICPA Attestation 101. AT 101 isn’t restricted to financial controls [as SAS 70 is]. It covers controls regarding security, availability, privacy, confidentiality, and processing integrity. Third-party providers have tried to use SAS 70 instead of AT 101.”
=====
もともとSAS70にしろ、日本公認会計士協会の18号報告書にしても、「会計監査人」同士のコミュニケーション手段であって、一般の人が利用することを想定はしないものなんですね。。。
なので、クラウドサービスの会計監査目的外の保証には、SAS70報告書は利用することはできません。
なお、新日本監査法人の遊馬先生が書かれている記事が参考になりますね。。。
・2010.08.05 委託業務の内部統制に係る保証報告書に 適用される新基準について
Comments
丸山 様
夏井です。
記事を紹介していただきありがとうございます。
本来マスコミがちゃんとやるべきことを全くやろうとしないので,日本国の全てのマスコミの代わりに,ポケットマネー(ボランティア)で正しい情報の提供を継続しています。
この記事に関しては,「SAS70でクラウドの安全性が保障されている」という趣旨のことを公言し,印刷物にもそのように書いている人がおり,しかも,マスコミがその人のことをこの分野における専門家の一人として扱っているので,あえて私のブログでこの英文記事を紹介するかたちで批判することにしました。不本意ですが,名指しで書くと名誉毀損だ侮辱だのと訴えられる危険性があるので,それが誰であるのかは伏しました。
たぶん,その人は,本当は何もわかっておらず単なる受け売りだけで世間を上手に泳いできた人なんだろうと思います。しかし,地位も名誉も金も知名度も権力もある人なので,私程度の者ではぜんぜん太刀打ちできず,勝負になりません。(苦笑)
しょうがないので,せめて理論研究の分野だけでも正当な理屈が通るようにしたいものだと思っています。
Posted by: 夏井高人 | 2010.08.14 15:30
夏井先生、コメントありがとうございます。
クラウドサービスの「安全を保証」するのは難しいと思っています。どの程度の対策をしていれば安全と言えるかは結局、ユーザーの期待に依存するわけだし、それをすべて委託先が理解して説明することはできないからです。
なので、私はクラウドサービスのセキュリティを含むサービス品質についての開示内容の正しさを保証するということがよいのだろうと思っています。(もちろん、絶対間違っていませんとは言えませんが、それは会計監査も同じ。。。)
サービス品質の開示内容が意味するところをリスクも含めて理解し、利用者がそれを判断するというのがよいと思っています。。。
同じクラウドサービスであっても、その判断は企業によって異なることになると思っています。
中小企業の場合は、リスクをとってもコストメリットがでる方法でクラウドサービスを利用せざる得ない場合もあるし、金融機関であれば、利用は無理という判断になる場合もあるでしょう。
いずれにしてもそのための情報の精度が保証されていないと、正しい判断ができないので困る。。。
そこを監査人が保証する。。。
そういう仕組みがまだ現実感があるだろうと。。。なので、
SAS70をとっていることだけを持って大丈夫だから安心してもよいという考えが広まると危ないセキュリティ危ない状況になる。
そういうことをいう専門家がいるとすれば、それは完全に国益にはマイナスとなるので困りますね。。。
Posted by: 丸山満彦 | 2010.08.15 08:56
丸山 様
夏井です。
開示するという次善の策は採用可能な範囲内にありますね。開示するという代替策における問題点は次のとおりだと思います。これらをクリアしなければ次善の策であっても採用不可だと思います。
1)安全性を保証するものではないことを明記し,正確に説明すること
2)安全性を保証した場合には厳罰に処するように処罰法令を整えること
3)安全性を保証した場合には欺瞞的な取引として扱うこと
4)安全性の保証に関与した監査人やコンサルタント等は共犯者とみなすこと
5)開示する内容には人的資源を含むものとすること
以上のとおりです。
5に関して若干の説明をします。
情報セキュリティの世界では,物的なセキュリティと人的なセキュリティの両方が重要であることは当然のことですが,人的セキュリティに関し,情報開示によって回避可能なリスクが回避できていないと思います。
例えば,競業避止義務違反の者や敵対的な者(ライバル企業を含む。)がベンダの役員や幹部従業員(情報背セキュリティの管理者を含む。)に含まれているかどうか等を判断するためには,人的資源に関する情報が完全に開示されていれば,利用者の側で調査の上で判断することが可能でしょう。
現実に存在している幾つかの紛争事例をみると,人的構成が不明であったために発生したと推測されるものがいくつかあります。
この人的構成は役員でも同じです。現実に存在している幾つかの事例において,やくざ関係の人間が役員として関与し企業の乗っ取りを企てていたというものがありました。情報の開示があれば,そのような危険な役員が含まれている企業であるかどうかをその利用者が判断することができます。
正確には,主要な株主構成も情報開示すべきでしょう。実質的な支配者(大口株主)がやくざや某外国組織であるといった事例は,いくらでもあげることができます。これは公然の秘密の一つですね。
そして,利用者の一覧も常に開示情報とすべきでしょう。全く同じプラットフォームをライバル企業と共有するなど,クレイジーそのものです。利用者は,誰がそのプラットフォームを利用しているのかを知る権利を保有しなければなりません。
Posted by: 夏井高人 | 2010.08.15 12:54
夏井先生、コメントありがとうございます。クラウドサービス提供会社は競争上の優位を保つために多くのことを秘密にしたいと主張するでしょうが、有価証券報告書の開示内容を見てみるとよいと思います。かなりのことがすでに開示されているわけです。かなりのことが実は開示可能だと思います。
すくなくとも、クラウドサービスを社会インフラの一部としていきたいのであれば、開示と監査というのは避けれないのではないかと考えています。
開示内容については、ユーザ、サービス提供者に有識者が加わって考えるのがよいと思いますが、その視点は自らの利害ではなく、社会発展の視点ですね。。。
サービス内容だけでなく、サービス主体会社の内容まで含まれて当然だと思います。
Posted by: 丸山満彦 | 2010.08.16 00:22
丸山 様
夏井です。
幾つかの実例を知っていますが,上手に隠蔽するものですね。(笑)
Posted by: 夏井高人 | 2010.08.18 23:35
夏井先生、コメントありがとうございます。
悪いことをしていないのであれば、サービス品質については正々堂々と公開してもそれほど競争上の著しく不利になったりはしないのだろうと思いますが、どうなんでしょうね。。。
セキュリティ対策についてはある程度を秘密にしておく必要があるとは思いますが、それでも公開しても著しくセキュリティ上問題になることもないかと思います。
Posted by: 丸山満彦 | 2010.08.19 17:25
丸山 様
夏井です。
下記の文献を読みました。
http://merc.e.u-tokyo.ac.jp/mmrc/dp/pdf/MMRC141_2007.pdf
業務改革とは単なる売り上げ向上の別名だったんですね。そして,内部統制をいち早く導入した企業として誇っていますが,実際には今回のウナギ偽装です。
やはり,スタンダードな方法では,悪人の存在をあぶり出すことはできないです。
今回のウナギ事件でもわかるように,有価証券報告書による開示によっては普通の犯罪の発生を防止することは当然できないわけだし,そもそもそれを目的とする制度ではありません。有価証券報告書による情報開示にあまり多くを期待することは最初から間違っていると思います。
また,有価証券報告書の提出義務のない企業では有価証券報告書による情報開示もないわけですから,どうにもなりません。
いずれにしても,私が情報開示すべきだと言っているのは,有価証券報告書の提出義務のない企業を含め,「すべての法人企業」です。
Posted by: 夏井高人 | 2010.08.19 22:35
夏井先生、コメントありがとうございます。
> スタンダードな方法では,悪人の存在をあぶり出すことはできないです。
そうですそうです。。。ミスによる誤りと意図的な不正というのは全く異なるものですので、対応方法は別に考えなければいけませんね。。。不正というのは、犯罪ですのでむしろ犯罪抑止、防止、発見の知見が役立ちそうですね。。。
> 有価証券報告書による情報開示にあまり多くを期待することは最初から間違っていると思います。
そうです。有価証券報告書に記載されている内容をみれば、たいていのことは公表できるように思えてくるという、そういう意味で、引き合いに出しました。
クラウドサービスの開示というのは、サービス内容表示ですから、どちらかというと食品成分表示に近いのかなぁ・・・と思っています。
まずは、サービス内容を開示し、
次にその内容についての第三者保証をする。
サービス利用者は、開示内容をもとに判断して、自分のリスクでサービスを利用する。
ただし、社会全体としてのリスクは別途考える必要があると思っています。。。
なので、そういう問題があればそれは法律で規制を行う。。。
そういう感じですかね。。。
Posted by: 丸山満彦 | 2010.08.20 07:59