最後まで油断できない？ 「政府認定クラウドサービス」登録までの道 審査の注意点：知っておこう、“政府認定クラウド”（2/2 ページ）

[来田健司，ITmedia]

登録申請も油断は禁物　3つの注意点

　最後の「登録申請」段階においても、注意点が大きく分けて3つあります。（1）代表者の要件、（2）除外理由、（3）システム概要と本言明書の対象範囲──です。

代表者の要件

　言明書には、代表者名とその役職の記載が必要です。実は、ここにもつまずきポイントがあります。場合によっては、代表者として選んだ人物が、それにふさわしい権限を有しているか、説明が必要になることです。

　「政府情報システムのためのセキュリティ評価制度（ISMAP）クラウドサービス登録申請の手引き」によると、対象としたクラウドサービスの情報セキュリティに関するガバナンスの最終責任を負う者を記載する必要があります。このガバナンスの最終責任を負う者とは、主にセキュリティ担当の取締役（CISOなど）が想定されています。

　登録申請を行うクラウドサービスが会社の主たる事業であれば大きな問題はありません。しかし多数ある事業の中のいちサービスである場合、登録申請を行うサービスの実質的な責任者が取締役ではない可能性もあります。その場合、代表者が実質的に権限を有していることを説明することが求められますので、事実を客観的に説明できる社内文書をあらかじめ準備しておくべきでしょう。

除外理由の検討

　言明書において、対象外とする管理策が存在する場合、詳細管理策ごとに選択しない理由を個別に記載しなければなりません。除外に当たっては、申請するサービスと照らして、“合理的な適用が不可能”であることを第三者にも分かりやすく、論理的に説明する必要があります。

　合理的な適用が不可能として認められるのは、大きく分けて2つのパターンです。いずれも、ISMAP公式サイトに例があります。

• 他の管理策で統制目標をカバーしているため、当該管理策を選択しないことを説明する方法

　例えば「X.X.X.の統制目標についてはX.X.X.Aの実施により達成しているため、X.X.X.B〜X.X.X.Fまでの管理策は選択していない」といった説明が可能です。

• サービス特性や思想に基づき、当該管理策を選択しないことを説明する方法

　例えば「このサービスのセキュリティ対策の思想として、○○という方針の下選択しており、この考えに基づくと、X.X.Xは統制目標として選択しえない」といった説明が可能です。

　いずれも合理的な説明が記載されていないと、特に登録審査の際によく確認される内容です。FAQなどを参考に、丁寧に記載する必要があります。

サービス提供に他クラウドを使うときの注意点

　最後は、サービス提供に当たって他のクラウドサービスを利用している場合の留意点となります。

　まず、他のクラウドサービスを利用している場合は、事業者やクラウドサービスの概要、ISMAP管理基準に対する自社のセキュリティ対策などを記載する「様式1言明書」において、その名称、ISMAPクラウドサービスリストの登録番号、そして言明の対象外となる旨を記述しなければなりません。

言明化の対象範囲のイメージ

　ISMAPの公式サイトのクラウドサービスリストを確認して、利用しているサービスが含まれているかどうかの確認が必要です。実際に含まれている場合は言明の対象範囲やリージョンが一致しているかまでチェックが必要になります。

　また、言明書への添付が必要な「様式1別添1　内部統制等の説明資料」の作成に当たっても注意点があります。この添付資料には、ITシステムの全体像について、構成要素とそれぞれの連携を概要とともに記載する必要があります。

　他のクラウドサービスを利用している場合は、それを含めて記載し、対象となるクラウドサービスがどの部分に当たるのかも明示しなければなりません。言明の対象範囲、特に他サービスをどのように利用しているかが不明瞭な場合、他の論点と同じく登録審査には時間を要する可能性があります。

　場合によっては利用しているクラウドサービス事業者とのコミュニケーションをしながら、ISMAP対象として登録されているサービスかどうか整理すべきでしょう。