デジタル庁や総務省などで構成されるISMAP運営委員会は9月28日、政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)について、一部認定サービスの再監査手続きを始めたと発表した。対象は富士通のクラウドサービス「FUJITSU Hybrid IT Service FJcloud」。
富士通によれば、原因はFUJITSU Hybrid IT Service FJcloudが採用している同社の法人向けネット接続サービス「FENICSインターネットサービス」のトラブル。同サービスを巡っては2月、ネットワーク機器に不正なプログラムが仕込まれていたことを発表。ユーザーのIDやパスワードなどが窃取されていたことを明らかにしていた。
富士通は当時、FUJITSU Hybrid IT Service FJcloudへの影響はないとしていた。しかし「ISMAPクラウドサービス登録規則第9章、第11章及び第12章の規定に基づき再監査のプロセスを開始した」(ISMAP運営委員会)という。
登録規則の第9章、第11章、第12章は順にインシデント発生時の報告、モニタリングの実施、再監査について取り決めたもの。要求事項の適切な実施が聞き取り調査などで確認できなかった場合、再監査を行うと定めている。再監査中もFUJITSU Hybrid IT Service FJcloudはISMAPのリストに残り続ける。
富士通グループがISMAP認定サービスの再監査を受けるのは2度目。22年9月にも、傘下の富士通クラウドテクノロジーズが提供するパブリッククラウド「ニフクラ」「FJcloud-V」が同様の監査を受けていた。2サービスを巡っては同年5月、ロードバランサー(負荷分散用の装置)の脆弱性を悪用した不正アクセスを受け、情報が盗まれた可能性があると発表があった。なお、2サービスは「要求事項が適切に実施されていることが確認できた」(ISMAP委員会)としてリストに残留した。
今回の再監査の終了時期は未定。ニフクラなどを対象とした前回の再監査は22年9月から23年3月までおよそ6カ月かかった。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR