総務省 ASP・SaaS・クラウドの普及拡大に向けたガイドの公表
こんにちは、丸山満彦です。総務省がASP・SaaS・クラウドの普及拡大に向けたガイドを公表していますね(2012.07.04)...
■総務省
・2012.07.04 ASP・SaaS・クラウドの普及拡大に向けたガイドの公表
(1) 「社会資本分野におけるデータガバナンスガイド」
道路、橋梁、下水道、建物等の社会資本分野において、ASP・SaaS事業者が社会資本データ(台帳)の蓄積・管理(一次利用)、及び二次利用等のサービスを提供する際に留意すべき事項を、利用促進の観点からガイドとしてとりまとめたもの。
(2) 「地盤情報の二次利用ガイド」
ASP・SaaS事業者が、国・自治体等の地盤情報(ボーリングデータ等)をもとに、「データマネジメント」、「プラットフォーム提供」、「付加価値サービス」等のサービスを提供する際に、順守すべき事項、留意すべき事項をガイドとしてとりまとめたもの。
(3) 「ASP・SaaS・クラウドによる米・米加工品ト レーサビリティサービス提供の手引き」
米穀トレーサビリティ法が求める取引記録の作成・保存に係るトレーサビリティ管理のための記録と情報照会のモデルをASP・SaaS事業者向けに手引書としてまとめたもの。
(4) 「ASP・SaaS事業者連携ガイド」
複数のASP・SaaS事業者同士が連携してサービスを提供する際に、事業者間で留意すべき事項や事業者・利用者間で留意すべき事項を連携ガイドとしてとりまとめたもの。
« 警察庁 警察庁長官官房審議官(サイバーセキュリティ戦略担当)の設置 | Main | NIST DRAFT SP 800-124 Revision 1, Guide to Enterprise Telework and Remote Access Security »
Comments
丸山 様
一般論だけで具体性に乏しいので,どれだけ効果があるかわかりませんが,全くなにもないよりは良いでしょう。
ところで,これらのガイドライン等でも,やはり,管理主体が「悪」である場合の防止策・対応策について全く触れられていませんね。現実に様々な事故が続出しているので,管理する立場の者が最も「悪」であり得るという前提で,つまり徹底した懐疑論に基づいて考え直す必要があります。この場合,究極的には,「管理者には管理させない」という対応も必要です。つまり,現在の普通のマネジメントシステム(ISMSなど)の考え方では全く対応できません。全く別の考え方が必要になります。ちなみに,危機管理マネジメントでも駄目です。なぜなら,危機管理マネジメントの管理主体は,やはり管理者だからです。組織の独立性・主体性・自律性及び法人格等を完全に無視または無効化するようなやり方の導入が検討されなければなりません。同様に,内部・外部を問わず,監査体制を常時監視する仕組みの導入も必要です。この場合,監査法人等の独立性・主体性・自律性及び法人格等を完全に無視または無効化することになります。これが近未来において主流となる情報統制です。
しかし,これらのことは,普通の企業等にはとても耐えられることじゃないでしょう。だから,そもそも「パブリッククラウドはやめとけ」と言い続けているんです。
他方,個人情報等の保護要求の水準が異なるタイプの情報について異なるレイヤで分離することは良いのですが,仮想の別レイヤでは全く意味がないので,物理的に全く異なるアーキテクチャとプロトコルをもった別装置(システム)で全く別個に管理するという具合にしないと意味がないと思います。そのようにした場合,単一のプロトコルで稼働する仮想システムとしての「うまみ」は全くなくなってしまいますが,そのような「うまみ」を追求するから事故が起きてしまうので,この点は基本戦略それ自体の誤りだと指摘せざるを得ないです。
Posted by: 夏井高人 | 2012.07.25 09:50