“政府認定クラウドサービス”登録の“つまずきポイント” 実務から見る注意点:知っておこう、“政府認定クラウド”(2/2 ページ)
政府のクラウドサービス認定制度「ISMAP」。クラウドサービス事業者が自社サービスを登録するに当たっては、想定以上の工数や期間が必要になる。今回の記事では、監査機関・監査法人として認証制度や保証に関する取り組みに関わってきた筆者が、登録を目指す上で事前に知っておきたい注意点を解説する。
登録範囲はどこからどこまで? 事前の協議を
検討段階における2つ目の注意点は、サービスをISMAPに登録する範囲を明確化しておくことです。対象範囲が広いほど、特に初年度における対応負担は重くなります。サービスのどの機能を登録するか、どのリージョンを登録するか、社内で十分な合意を得る必要があります。
登録範囲の自社サービスが他のクラウドサービスを利用している場合も注意が必要です。利用しているサービスやそのリージョンがISMAPの認証範囲に含まれているかどうか事前に確認しておくべきでしょう。可能であれば利用しているクラウドサービス事業者と協議しておくことが望ましいです。
クラウドサービス事業者が選べる戦略は大きく分けて2つあります。1つ目は、必要最小限の範囲で登録申請するアプローチ。2つ目は、今後を見越して政府調達の可能性がある一定程度の範囲で登録申請するアプローチです。
初回登録時には前者のアプローチで進めることが多いものの、登録後にサービスやリージョンを追加する場合、重大な変更と見なされる可能性が高いです。結果としてモニタリングや再監査の対象となる可能性もあります。申請の対象とするサービス範囲については初年度に慎重に決定するべきでしょう。
社内における対応体制の確立
検討段階における3つ目の注意点は、社内の体制構築に想定以上の時間を要する場合があることです。多くのリソースを要する大規模かつ全社的な取り組みとなるので、マネジメント層の協力を仰ぎ、全社的な協力体制を構築することが理想的です。
登録するサービスに関連するシステム開発部門や運用部門だけでなく、内部監査部門やコンプライアンス部門、人事部門、法務部門、社内IT部門など、複数部門の関与が必要になることも多いです。評価開始前のリソース管理や、余裕を持ったスケジュール調整など、関連部門と事前に連携することが重要です。
体制構築を効率的に進め、かつその後の作業をスムーズに進めるためには、早期に「推進事務局」のような組織を設立することが望ましいです。部署間のコミュニケーションハブの機能を担ってもらえるようにするといいでしょう。
後編では、残る「評価段階」のつまずきポイントについて解説します。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
自社サービスを「政府認定クラウドサービス」にしたい! 準備には何が必要? 専門家が解説
自社のクラウドサービスを政府のクラウドサービス認定制度「ISMAP」に登録したい企業が知っておくべき注意点は。実務にも携わるPwCあらた有限責任監査法人の有識者が知見を語る。
“政府のSaaS認定制度”、登録に「特別措置」
“政府のSaaS認定制度”で、登録に当たっての特別措置が始まった。要件を満たしたサービスは、政府機関しか閲覧できない「特別措置サービスリスト」に追加。正式な認定前から政府調達の参考になる他、一部の監査などを免除される。
“政府認定クラウド制度”なぜ重要? クラウドサービスを巡る国の狙い
政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)。実務にも携わるPwCあらた有限責任監査法人の有識者が、その概要を解説する。
富士通の“政府認定クラウド”が再監査に
ISMAP運営委員会が、富士通クラウドテクノロジーズのパブリッククラウド「ニフクラ」「FJcloud-V」について、ISMAPの登録規則に基づく再監査を始めた。対象の2サービスは5月、不正アクセスを受け、情報が盗まれた可能性があると発表していた。
“政府認定クラウドサービス”から自主的にサービス取り下げ 辞退企業に理由を聞いた
日本政府が定めるクラウドサービスの認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)の登録を自ら取り下げたSaaS企業。自治体・官公庁向けにサービスを提供しているにもかかわらず、自主的に登録を解除した理由とは。