自社サービスを「政府認定クラウドサービス」にしたい！ 準備には何が必要？ 専門家が解説：知っておこう、“政府認定クラウド”（1/2 ページ）

[森田成祐，ITmedia]

連載：知っておこう、“政府認定クラウド”

　政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」（ISMAP）に登録し、国から認められたサービスになるには、どんな準備や対策が必要なのか。実務にも携わるPwCあらた有限責任監査法人の有識者が知見を語る。

　2021年度、政府機関などの情報セキュリティに関する共通ルールが改定された。これにより、各政府機関などによるクラウドサービスの調達は原則として「ISMAPクラウドサービスリスト」を利用して行うと定められた。

　つまり、各政府機関などにクラウドサービスとして調達されるには、原則としてISMAPクラウドサービスリストへの登録が必要となる。リストは一般にも公開しており、地方公共団体や民間企業がクラウドサービスを選定する場面においても活用する可能性がある。リストへの登録は、クラウドサービス事業者が国内クラウド市場において競争力を保持する上での鍵になるわけだ。

各政府機関などによる外部サービスの選定プロセス

　とはいえ、自社のクラウドサービスを“政府認定クラウドサービス”にしたいと考えても、数カ月という短い期間でリスト登録を目指すのは難しいだろう。一般的には、1〜2年の長期にわたり、外部のベンダーなども含む多くの関係者が参画する1つの大きなプロジェクトになることが多い。プロジェクトを円滑に進め、成功に導くためには、どのような点に注意すべきか。

著者プロフィール：森田成祐

グローバル企業を中心に、クラウドセキュリティ・サイバーセキュリティ関連サービス、個人情報保護法対応支援、情報セキュリティ監査、内部統制監査外部委託先／海外子会社管理支援など多数のプライバシー＆セキュリティ関連のアドバイザリー業務提供実績を有する。公認情報システム監査人（CISA）、米国公認会計士。

なぜ、登録までに長い期間を要するのか？

　リストに掲載されるまでには、「事前準備」「外部評価」「登録申請」「審査」というプロセスを経る必要がある。中でも手間がかかるのは外部評価、審査の部分だ。初めてISMAPの外部評価を受けたクラウドサービス事業者の多くが、外部評価、審査の部分に想定以上の期間を要したと感じているという。

　例えば外部評価では、1000を超える「詳細管理策」に対して、ISMAPの規定に基づく3000を超える評価が行われる。詳細管理策というのは、クラウド事業者に対して求める「統制目標」という目標の達成手段を指す。

　この手続きでは、複数の部署にわたる多数の担当者（コントロールオーナー）と監査機関との間で、インタビューや証跡の特定、その内容に関する質疑応答などのコミュ二ケーションが発生する。監査機関と情報処理推進機構（IPA）との間でも、必要に応じ監査手続の変更に関するコミュニケーションが生じるので、一定以上の期間を要することとなる。

　登録申請および審査においては、現状、多数の登録申請が行われているため、登録申請から審査の完了までに6カ月の期間が見込まれている。実際、ISMAP公式サイトのFAQには「クラウドサービスの登録申請から登録されるまでに、どの程度の期間が見込まれるのでしょうか」という質問に対する以下のような回答がある。

　「ISMAPクラウドサービス登録規則6.3において、ISMAP運営委員会は、ISMAP運用支援機関がクラウドサービスの登録申請を受理した日から原則として6カ月以内に登録の是非を判断することとしております。実態としては、クラウドサービスの登録申請から登録まで、少なくとも3カ月程度の期間を要しており、申請内容によっては、それ以上の期間が必要となることもあります」

　申請書類に不備がある場合や、原則実施しなければならない統制目標・詳細管理策を、事業者側の事情で対象外とした場合などは、さらに多くの時間を要する場合もある。

　FAQにも「例えば、基本言明要件として原則実施しなければならない統制目標及び詳細管理策を対象外とした場合、対象外とした理由について妥当性の確認などに時間を要する場合があります」との記載がある。

「ISMAPクラウドサービスリスト」への登録プロセス