ジェームズ・ボンドがクラウドサービスを使うためにすべきこと

ダニエル・クレイグがジェームズ・ボンドを演じる映画としては最後となる「007／ノー・タイム・トゥ・ダイ」が公開されたが、そのジェームズ・ボンドが所属している組織とされているMI6がAWSを契約して野党からの追及を受けている。何気ないニュースではあるものの、与党と野党の在り方や、新しいものを導入するにあたってチェックすべき点など参考になる点が多い。

Priti Patel pressed to explain award of spy agencies contract to Amazon

Conor McGinn, the shadow security minister, wrote to his counterpart in government, Damian Hinds, on Tuesday demanding a parliamentary statement from Patel to explain the possible security implications and the contingencies in place if Amazon’s systems fail.

イギリスでは第一野党である労働党が「影の内閣」として影の閣僚を任命しているが、shadow security minister(影の安全保障大臣)がcounterpart(つまり本物の安全保障大臣)に対してAWSとの契約について説明するよう要求したようだ。

Government officials say that the arrangement will allow spies to share data more easily and allow for the use of specialist applications such as speech recognition to spot and translate voices from hours of intercepted communications.

ちなみにMI6がAWSを使って何をしたいのかというと、何時間ものintercepted communications(傍受された通信)を音声認識し翻訳したものをスパイが共有できるようにするということらしい。

なるほど、これは追及したくなる要素が多い。では、どのような質問をしたのか。

- why Amazon was awarded the contract; 
- whether the decision was discussed by the national security council;
- what the implications are of outsourcing data to a “non-British” company;
- whether any assessment has been made as to the impact on the UK’s cyber resilience;
- what risks this brings;
- what contingencies are in place should Amazon’s systems fail.

Amazonを選んだ理由、council(評議会)で審議したか、イギリスではない会社にアウトソースすることのimplication(意味)は何か、イギリスのresilience(回復力)に対するインパクトについてassessment(評価)はされたのか、どういうリスクがあるのか、Amazonのシステムがfailした場合に、どのような contigency(不測の事態)が生じるのか。

簡潔ながらも、まるで教科書のように全方位的な質問となっている。トップダウンの判断はあったにせよ、決裁など意思決定の過程で確認されるべき事項であるし、野党として、いい仕事をしている印象だ。

なお、同じようにFBIやCSA、NSAといった諜報機関を持つアメリカはどうなっているかというと、FedRAMP(Federal Risk and Authorization Management Program)という基準があり、AWSもAzureもクリアしている。

Frequently Asked Questions | FedRAMP.gov

The Federal Risk and Authorization Management Program (FedRAMP) is a government-wide program that promotes the adoption of secure cloud services across the federal government by providing a standardized approach to security assessment, authorization, and continuous monitoring for cloud products and services. FedRAMP empowers agencies to use modern cloud technologies, with emphasis on security and protection of federal information.

アメリカの場合、クラウドサービスを政府が採用することをpromote(推進)するという考えが基本にあるようだ。そのためにassessment(評価)、authorization(認証)、continous monitoring(監視)に対して標準化された手法を提供している。

この3点セットは別に政府じゃなくても企業やコミュニティでも活用できそうだ。

FedRAMP is FISMA for the cloud. Per FISMA, NIST is responsible for establishing “policies which shall set the framework for information technology standards for the Federal Government.” Based on this law, NIST developed the Risk Management Framework .

もともと、FISMA(Federal Information Security Management Act/連邦情報セキュリティマネジメント法)が存在し、これのクラウド版がFedRAMPという位置づけだと説明されている。

アメリカもイギリスも二大政党ではあるが、アメリカが小刻みに民主党と共和党が入れ替わる中、脈々と最新のテクノロジーに追随しているのに対し、イギリスは政権交代の時間がかかるから前政権の頃ともテクノロジーのギャップが大きいんだろうなぁと想像している。日本も、きっとそういうところがあるのだろう。