デジタル庁や総務省などは6月15日、日本政府が定めるクラウドサービスの認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)について、SaaSに限定した新しい認定の枠組み「ISMAP-LIU」(ISMAP for Low-Impact Use)を策定すると発表した。ISMAP-LIUの登録規則に対するパブリックコメントの募集も開始。7月5日まで意見を受け付ける。
ISMAP-LIUは、クラウドサービスのうち、セキュリティ上のリスクが小さい情報を扱うSaaSの認定制度として運用するという。パブリックコメントの対象になるのは、登録規則の案や監査のガイドラインなど。意見は行政情報の総合窓口サイト「e-Gov」から受け付ける。
制度の詳細は、受け取った意見などを参考に8月〜9月をめどに決定する予定。その後、認定の受け付けを始めるという。
ISMAPは、情報処理推進機構(IPA)などが民間のクラウドサービスの情報セキュリティ対策などを評価し、“政府認定クラウド”として登録する制度。各省庁は原則としてISMAPに登録された中からクラウドサービスを調達する。
対象のサービスの提供形態は限定しておらず、SaaS、PaaS、IaaSなどをリストに登録している。これまで、登録に当たっては全サービスに共通のセキュリティ基準を求めていたが、用途や機能が限定的なSaaSや、扱う情報の重要度が低いSaaSだと、要求する基準が過剰になる場合があったという。
そこで、セキュリティ上のリスクが小さい情報を扱うSaaSを対象に、要求するセキュリティ基準や審査プロセスを変更した枠組みを策定。政府が調達しやすくすることで、各省庁のクラウド活用を推進するとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR