“政府認定クラウド制度”なぜ重要? クラウドサービスを巡る国の狙い:知っておこう、“政府認定クラウド”(2/3 ページ)
政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)。実務にも携わるPwCあらた有限責任監査法人の有識者が、その概要を解説する。
“SaaS版ISMAP”も登場 認定制度を巡る現在の状況は
セキュリティを主眼に定められたISMAP。2022年12月時点では、28社38サービスが登録されています。登録されているクラウドサービスには大手CSP(クラウドサービスプロバイダー)はもとより、中小規模のCSPのサービスも含まれており、制度の実行性や認知度も高まってきています。
しかし、ISMAPのセキュリティ要求事項に対応するには費用やリソースの負担が多く、用途や機能が極めて限定的で比較的重要度が低い情報のみを取り扱う低リスクなSaaSの活用が進まない問題も出てきました。そこで政府機関が利用する全てのクラウドサービスに一律のセキュリティ対策を求めるのではなく、業務や情報セキュリティ上のリスクに応じた柔軟な対応をすべきという意見も出てきています。
そこで、22年11月1日には「ISMAP for Low-Impact Use」(以下ISMAP-LIU)という新たなISMAPの仕組みが始動しました。ISMAP-LIUでは、外部監査において評価対象となる管理策基準がISMAPに比べ緩和されています。外部監査に必要な費用負担が軽くなっており、これまで登録をためらっていたCSPも新たに申請しやすくなっています。
ただし、CSPがISMAP-LIU登録を目指すには、ISMAP運用支援機関へ事前申請を行い、事前審査の結果「ISMAP-LIUの該当性あり」という通知を得ることが必要です。その先の内部監査や、外部監査をへた審査も踏まえると、実際の登録までには一定程度の期間が必要になる可能性があります。
関連記事
始まるガバメントクラウド移行、自治体に求められるセキュリティ対策は
政府やデジタル庁が主導する「ガバメントクラウド」。すでに一部自治体が移行・利用を進めており、今後拡大する見込みだ。一方で、移行に伴う現場の混乱も予想される。特に不安が生まれるのはセキュリティだ。日本政府の共通クラウド基盤に「Azure」「Oracle Cloud」追加 またも国産サービス入らず
デジタル庁が、日本政府の共通クラウド基盤「ガバメントクラウド」として、新たに「Microsoft Azure」と「Oracle Cloud Infrastructure」を採択。公的個人認証サービスの提供や、同庁による調査研究などに活用する。富士通の“政府認定クラウド”、再監査終了 10カ月前に不正アクセス 結果は
ISMAP運営委員会が、富士通クラウドテクノロジーズのパブリッククラウド「ニフクラ」「FJcloud-V」について、再監査の終了を発表した。両サービスは不正アクセスによる情報漏えいの可能性を理由に、半年前から再監査されていた。“政府認定SaaS制度”スタート 登録の受け付け開始
日本政府のSaaS認定制度「ISMAP-LIU」の運用が始まった。公式サイトで登録の申し込みも受け付けている。“政府認定クラウドサービス”にソフトバンクの国産クラウドなど追加 全7サービスがリスト入り
政府がソフトバンクのIaaSやオンラインストレージなど7サービスを、クラウドサービスの認定制度「ISMAP」のリストに登録。政府調達の対象として認定した。
Copyright © ITmedia, Inc. All Rights Reserved.