“政府認定クラウド制度”なぜ重要? クラウドサービスを巡る国の狙い:知っておこう、“政府認定クラウド”(1/3 ページ)
政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)。実務にも携わるPwCあらた有限責任監査法人の有識者が、その概要を解説する。
内閣官房内閣サイバーセキュリティセンター、デジタル庁、総務省及び経済産業省が所管する、 政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)。リストに登録されているサービスは政府調達の対象になるなど、“国が使うサービス”を目指すに当たって重要度の高い枠組みだ。
ISMAPに登録し、国から認められたサービスになるには、どんな準備や対策が必要なのか。本連載では、実務にも携わるPwCあらた有限責任監査法人の有識者が、ISMAPの概要を解説する。 初回は、そもそもISMAPとはどんな枠組みなのか、なぜ制度化したのかに注目。認定制度の成り立ちと国の思惑をひもといていく。
(編集:ITmedia NEWS 吉川大貴)
著者:川本大亮(PwCあらた有限責任監査法人 パートナー)
グローバル企業を中心に国内および米国、インド、アジア諸国などでの内部統制監査(US-SOX、J-SOX)、クラウドセキュリティ・サイバーセキュリティ関連サービスなどの多数のアドバイザリー業務提供実績を有する。公認情報システム監査人(CISA)、内閣府デジタル市場競争会議ワーキンググループメンバー。
著者:平井彰 (PwCあらた有限責任監査法人 マネージャー)
大手企業を中心に内部統制監査(US-SOX、J-SOX)を経験。外資系大手ソフトウェアベンダーのライセンス遵守状況調査やサプライヤー評価、IT資産管理、プライバシー、サイバーセキュリティ、クラウドセキュリティなどのアドバイザリー業務に多数従事。直近では政府情報システムのためのセキュリティ評価制度 (ISMAP) において国内外の大手クラウドサービス事業者の評価を多数実施。公認情報システム監査人(CISA)、Certified Data Privacy Solution Engineer (CDPSE)。
ISMAPはなぜ誕生? 国の思惑は
ISMAPは2020年に開始した「政府情報システムのためのセキュリティ評価制度」(Information system Security Management and Assessment Program)の略称です。政府が求めるセキュリティ要求を満たすクラウドサービスをあらかじめ評価し、リストに登録する制度のことを指します。政府のクラウドサービス調達におけるセキュリティ水準の確保や、クラウドサービスの円滑な導入を促進することも目的としています。
最近では、日本の行政機関が共同利用する「ガバメントクラウド」の調達先4社を、デジタル庁が発表しました。ここでも、ISMAPに登録された大手クラウドベンダーが調達先に選ばれています。
ISMAPのような評価制度が生まれた背景には、クラウド活用を巡る国の方針が関わっています。例えば政府は18年6月に発表した「政府情報システムにおけるクラウドサービスの利用に係る基本方針」で、政府情報システムを整備する際にはクラウドサービスを第一候補とする「クラウド・バイ・デフォルト原則」を示しています。
同月に閣議決定した「未来投資戦略2018」では、諸外国の例も参考にしつつクラウドサービスの安全性評価について検討を行うことを宣言しています。これにより、クラウドサービスが多様化・高度化していく中でも、官民双方が安全・安心・継続的にクラウドサービスを利活用できるとしています。
さらに同年7月には政府全体としてもクラウドサービスの利活用を推進し、クラウドの安全性評価や適切なセキュリティ水準の確保について方策を検討することを宣言しています。つまり、クラウドの活用推進に当たり、安全性評価を行っていくと前々から宣言していたわけです。
ただし日本では、クラウドサービス事業者に求められる統一した管理体制やセキュリティ対策などは明確に決まっていませんでした。クラウドサービスを利用する場合は調達者が各クラウドサービス事業者の管理状況を確認する必要がありました。
政府機関や官公庁においても同様で、クラウドサービス導入のコストが上昇する一因でもありました。そこで、クラウドサービス導入におけるセキュリティの不安と、調達コストに対する課題を解決するべく策定したのがISMAPです。
海外に目を向けると、米国政府の「FedRAMP」(Federal Risk and Authorization Management Program)は2011年に制度が始まっています。その他各国のクラウド認定制度も、日本のISMAP制度開始よりも早くからスタートしています。日本もこれに倣ったといえるでしょう。
実際、ISMAPにおけるセキュリティ要求事項はFedRAMPや、「ISO」「NISC統一基準」といった管理基準を参考にして策定されています。政府がクラウドサービスを使う場合、取り扱う情報には機密や国民の情報が含まれる場合もあり、情報セキュリティにも相応の注意が必要になります。裏返せば、ISMAPのようなセキュリティ評価制度の制定は急務だったわけです。
関連記事
- 始まるガバメントクラウド移行、自治体に求められるセキュリティ対策は
政府やデジタル庁が主導する「ガバメントクラウド」。すでに一部自治体が移行・利用を進めており、今後拡大する見込みだ。一方で、移行に伴う現場の混乱も予想される。特に不安が生まれるのはセキュリティだ。 - 日本政府の共通クラウド基盤に「Azure」「Oracle Cloud」追加 またも国産サービス入らず
デジタル庁が、日本政府の共通クラウド基盤「ガバメントクラウド」として、新たに「Microsoft Azure」と「Oracle Cloud Infrastructure」を採択。公的個人認証サービスの提供や、同庁による調査研究などに活用する。 - 富士通の“政府認定クラウド”、再監査終了 10カ月前に不正アクセス 結果は
ISMAP運営委員会が、富士通クラウドテクノロジーズのパブリッククラウド「ニフクラ」「FJcloud-V」について、再監査の終了を発表した。両サービスは不正アクセスによる情報漏えいの可能性を理由に、半年前から再監査されていた。 - “政府認定SaaS制度”スタート 登録の受け付け開始
日本政府のSaaS認定制度「ISMAP-LIU」の運用が始まった。公式サイトで登録の申し込みも受け付けている。 - “政府認定クラウドサービス”にソフトバンクの国産クラウドなど追加 全7サービスがリスト入り
政府がソフトバンクのIaaSやオンラインストレージなど7サービスを、クラウドサービスの認定制度「ISMAP」のリストに登録。政府調達の対象として認定した。
Copyright © ITmedia, Inc. All Rights Reserved.