政府、安全なクラウドの「登録簿」作成へ 政府調達の判断基準、民間にも公開
経済産業省と総務省は、政府機関が一定のセキュリティ基準を満たすクラウドサービスを導入するため、安全性を評価する制度の検討を進めている。
経済産業省と総務省は、政府機関が一定のセキュリティ基準を満たすクラウドサービスを導入するため、安全性を評価する制度の検討を進めている。基準を満たしたクラウドサービスの「登録簿」を作成し、官民が安全なクラウドを採用できるよう後押しする。
Amazon Web Services(AWS)のイベント「AWS Security Roadshow Tokyo 2019」で、クラウドサービスの安全性評価制度について、内閣サイバーセキュリティセンターの三角育生内閣審議官が解説した
政府は、情報システムを調達する際にクラウドの利用を第一候補にする「クラウド・バイ・デフォルト原則」を掲げているが、政府機関がクラウドを導入するとき、各機関が個別に評価を行うと手間がかかる。統一基準を定め、そうした課題を解消する狙いがある。登録簿は民間企業にも公開し、官民双方のクラウド活用を推進していく。
国内外のガイドラインなどを参考に、2019年夏に各種基準の素案を策定。19年秋以降に基準の意見公募(パブリックコメント)を実施し、年度内に有識者の検討会で内容を固める。20年夏までに、クラウドベンダーから登録申請があったサービスの監査・登録作業を進め、20年秋から政府機関などで制度の運用を始める予定だ。
内閣サイバーセキュリティセンターの三角育生内閣審議官は「仕事がしにくいシステムだと、セキュリティが不十分になる」と話す。2015年に日本年金機構が不正アクセスを受け、個人情報が流出した事件では、「ルールを破り、個人情報を共有ファイルサーバに置いていた」といった問題点が指摘されたが、三角氏は「(職員にとって)内部システムが使いにくかったことが根本的な原因」と述べる。
三角氏は「仕事をしやすくする1つのエンジンがクラウドだ。しかしクラウドの導入では、セキュリティの不安を抱える組織・企業は多い」と説明。こうした背景から、安全性評価制度の導入を進めているという。
制度を整える一方、三角氏は政府機関・企業内で、ビジネスストラテジーとIT、セキュリティが分かる「戦略マネジメント層」と呼ばれる人材を育成する必要があると説く。「サイバーセキュリティでは、ホワイトハッカーや技術者の養成がフォーカスされがちだが、組織で仕事に使いやすいシステムとセキュリティを検討するとなると、戦略マネジメント層を育て、経営者に進言できる体制を整えないといけない」(三角氏)
関連記事
- 「君、今日からクラウド担当ね」 未経験者が1人で始めた、ファミマのAWS移行の舞台裏
「AWS Summit Tokyo 2019」のセッションに、ファミリーマートでクラウド移行の責任者を務める土井洋典さんが登壇。土井さんは、前任者が突然退職したため、ある日突然上司からクラウド担当を任された経験を持つ。たった1人でのスタートだったというが、どうやってAWS移行を成功させたのだろうか。 - PayPay“100億円祭”の裏側で何があったのか システム障害と苦闘したエンジニア
PayPayで昨年12月に展開した「100億円あげちゃうキャンペーン」。その間、ユーザー数の増加に伴い、PayPayのシステムは不安定な状態に。押し寄せる膨大なアクセスに、PayPayのエンジニアはどのように対応したのか。 - 京大、業務系システムをクラウドに全面移行 AWS、G Suiteなど導入の舞台裏
京都大学が業務系システムをAWSに全面移行。グループウェア、教職員用のメールなど情報系システムも、サイボウズの「Garoon」「kintone」、Googleの「G Suite」に切り替えた。 - 「この虫の名は?」すぐ解決 20万匹の害虫画像を学習した、駆除を支える「クラウド×AI」がスゴい
大阪に拠点を置く、害虫駆除機器の専門商社「環境機器」が、害虫の画像を自動で取得し、名前を判定するサービス「Pest Vision」を開発。画像は、Amazon Web Services上に構築したAIを使って分析している。環境機器の担当者に、その仕組みと精度について聞いた。
Copyright © ITmedia, Inc. All Rights Reserved.