某社のデータ持ちだしをみつつ、AWSを触ってたりすると気になること

前提1として

• AWSを使わないってそろそろ考えられなくなってきてる(要件的に)
• スマホもふつーの話になってる
• 開発ツールは頻繁に変わる上に、ZeroDayな攻撃も多い
• でも個人情報を漏らすと痛いことになる

前提2として

• AWSはSSHとHTTPSほか色々なアクセスが必要
• SSHポートが空くとその先は自由な世界（ぉぃ
• iOS等の開発でUSBを使った書き込みが必要な事も多い
• 今時スマホ持ち込み禁止って規約は無理がある
• スマホには一昔前のHDD並の容量がある
• OSS等を開発で利用しない世界はもうほとんど無い
• 開発用のコマンドがインターネットに当たり前にアクセスする時代
• 今後もこの流れは続くしもっと過激になるかな〜

前提3として

• 情報セキュリティマネジメントシステム(以下ISMS)は今の時代必須
• Pマークはデータ持ちだしの抑止力にしかならない
• でも、なんかのタイミングで個人情報にアクセスは必要になる

という前提に立ったとき
そこそこの知識とググるスキルを持った人が本気で悪い事を考えると、旧来のISMSを前提にセキュリティーでガチガチに縛ろうとしても、プログラムが作れて任意の所にHTTPでアクセスできてSSHアクセスやらスマホやらがゴロゴロしている環境で旧来のISMSはどの程度役に立つんだろうと
技術の進歩より遙かに遅い規約類の更新がどのくらい業務の邪魔になるんだろうと
ちゃんと情報流出させちゃ駄目です教育したりとかの方が重要だろうし、本当に守るべき情報以外を無理して必死に守らなくても良いんじゃ無いかと、最悪はトレーサビリティを有効にする事で原因を判明できる事しかできないはずだしね
なんて事を考える今日この頃