ITmedia NEWS > セキュリティ >
SaaS セレクト with ITreview

“政府認定クラウドサービス”から自主的にサービス取り下げ 辞退企業に理由を聞いた

» 2022年04月07日 10時43分 公開
[吉川大貴ITmedia]

 日本政府が定めるクラウドサービスの認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)。政府は3月29日にリストを更新し、官公庁や自治体向けSaaS群「Graffer Platform」を削除した。理由については、提供元のグラファーから取り下げの申し出があったと説明している。

photo 4月7日時点のISMAP認定サービスリスト(一部抜粋)

 Graffer Platformは、役所向けのWeb予約サービス「Graffer 窓口予約」など、同社のサービス3種をまとめたものだ。ISMAPは認定を受けることで政府調達の対象になれる制度。官公庁や自治体をターゲットにしているのであれば、登録するメリットこそあれ、取り下げはデメリットが大きそうにもみえる。なぜ登録を自主的に取り下げたのか、グラファーに真相を聞いた。

 同社が登録を取り下げたのには、大きく分けて2つの理由があるという。一つは、リストへの登録を維持するために掛かるコストだ。

 グラファーによれば、ISMAPの認定を維持するには、定期的な監査などにかかる費用を企業側が負担する必要があるという。詳細な金額については回答を控えたものの「監査等の対応に要する費用が当初想定していたよりも大幅に高額になることが判明したため、取下げの検討に至った」(グラファー)という。

 もう一つはセキュリティの問題だ。Graffer PlatformがISMAPの認定を受けたのは2021年12月20日。登録を申し込んだのは、ISMAPの認定を受けることで十分なセキュリティを確保できていると示すためだったという。

photo Graffer 窓口予約のUIのイメージ

 しかし、Graffer PlatformはISMAPの認定を受けている他社製のIaaSを基盤として利用しており、セキュリティの一部を他社に依存している状態だった。社内でも「この状態で独自のサービスとして登録を維持するのは問題があるのでは」と議論が起こり、今回の取り下げに至ったという。

 グラファーは今回の取り下げについて「ISMAPの認定を受け、セキュリティが確保できていることを示せたので取り下げたという意図ではない」と取材に答えた。

Copyright © ITmedia, Inc. All Rights Reserved.