“政府のSaaS認定制度”、登録に「特別措置」
“政府のSaaS認定制度”で、登録に当たっての特別措置が始まった。要件を満たしたサービスは、政府機関しか閲覧できない「特別措置サービスリスト」に追加。正式な認定前から政府調達の参考になる他、一部の監査などを免除される。
デジタル庁や総務省などで構成されるISMAP運営委員会は5月19日、SaaS認定制度「ISMAP-LIU」について、登録に当たっての特別措置を始めた。要件を満たしたサービスは、政府機関しか閲覧できない「特別措置サービスリスト」に追加。正式な認定前から政府調達の参考になる他、一部の監査などを免除される。
ISMAP-LIUへの登録申請を予定しており、認定要件のうち「マネジメント基準」と「ガバナンス基準」を既に満たしているなど4つの条件に当てはまるサービスが対象。リスト入りしたサービスは、いくつかの優遇措置を受けられる。
まず、正式な認定を受ける前に「特別措置サービスリスト」にサービスを登録できる。特別措置サービスリストは、政府機関が調達時の参考として閲覧する。ただし、リストは外部には公表しない。正式な認定を受けた後は外部にも公開する。
次に、外部監査の対象範囲を、一度に限り縮小される。内部監査の報告書についても、一度に限り提出が免除となる。制度の運用期間は2025年3月末までの約2年間。期間が過ぎた場合、監査は免除できない。
デジタル庁によれば、制度の対象となるスタートアップ・中小企業にとって、認定に必要な要件を整備するコスト・時間的な負担が大きいことから特別措置を設けたという。先行登録にインセンティブを設定することで、負担を軽減し、ISMAP-LIUへの申し込みを促進するとしている。
ISMAP-LIUは、クラウドサービスのうち、セキュリティ上のリスクが小さい情報を扱うSaaSの認定制度。母体となるクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)同様、各省庁はSaaSを調達する際、原則として登録サービスの中から選定する。
ISMAPではこれまで、対象サービスの提供形態は限定しておらず、SaaS、PaaS、IaaSなどをリストに登録していた。登録に当たっては全サービスに共通のセキュリティ基準を求めていたが、用途・機能が限定的なSaaSや、扱う情報の重要度が低いSaaSだと、要求する基準が過剰になる場合があった。
そこで、セキュリティ上のリスクが小さい情報を扱うSaaSを対象に、要求するセキュリティ基準や審査プロセスを変更した枠組みを策定。ISMAP-LIUとして22年11月から制度をスタートした。
関連記事
- “政府認定SaaS制度”スタート 登録の受け付け開始
日本政府のSaaS認定制度「ISMAP-LIU」の運用が始まった。公式サイトで登録の申し込みも受け付けている。 - 自社サービスを「政府認定クラウドサービス」にしたい! 準備には何が必要? 専門家が解説
自社のクラウドサービスを政府のクラウドサービス認定制度「ISMAP」に登録したい企業が知っておくべき注意点は。実務にも携わるPwCあらた有限責任監査法人の有識者が知見を語る。 - “政府認定クラウド制度”なぜ重要? クラウドサービスを巡る国の狙い
政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)。実務にも携わるPwCあらた有限責任監査法人の有識者が、その概要を解説する。 - トレンドマイクロ製品が“政府認定クラウド”リスト入り 政府調達の対象に
トレンドマイクロのクラウド型セキュリティサービス6種類が政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)のリスト入り。政府調達の対象になった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.