“政府認定クラウドサービス”登録で開示される情報・されない情報 リスト入りを目指すときの注意点:知っておこう、“政府認定クラウド”(2/2 ページ)
政府のクラウドサービス認定制度「ISMAP」。登録に当たっては、サービスに関する様々な情報が一般に公開されることになる。果たして、どんな情報が“丸見え”になるのか。
責任共有モデルにも注意 「ISMAPだから安心」がトラブルの種に?
一方の「クラウドサービスの責任共有モデル」は、CSPと利用企業がそれぞれ責任を負うという考え方を指します。クラウドの利用者・提供者は、この責任共有モデルに基づいて責任分界点を明示し、それぞれに必要な対応を取る必要があります。
責任共有モデルでは、サービスの提供形態によって責任分界点が異なります。例えばSaaSの場合は アプリケーションに異常が発生した際の責任は提供事業者側にありますが、インフラを提供するIaaSの場合は利用者側の責任となります。
ただし、中にはなかなかこの考え方を理解できないクラウドサービス利用者も見られます。例えば、本来は利用者側が責任を持つべきアカウントの設定について、その妥当性の確認はCSPが担保すべきと利用者が思い込んでいることもあります。
ISMAPに登録されていることで、逆に「このクラウドサービスは信頼できるから、全部お任せでよい」と誤った認識を持たれる可能性もあります。同様の誤解から責任の所在があやふやになり、あらぬビジネスリスクが生じることもあるかもしれません。その可能性を排除するためにも、責任共有モデルについての情報開示は重要です。
先述の通り、ISMAPは一度登録すれば終わりではなく、リスト入りを維持する場合は更新が求められます。更新する場合は、初回登録後も監査機関による毎年の継続的な評価および審査が必要です。
ISMAPクラウドサービスリストには、クラウドサービス利用者がセキュリティリスクを評価するのに有用な情報が記載されています。ただ、必要な情報が網羅されているわけではありません。
CSPにとっては、ISMAPクラウドサービスリストへの登録がゴールではなく、あくまで政府機関が求める最低要件を満たしたに過ぎないという認識が必要になります。情報開示についても同様です。クラウドが社会の重要なインフラとして機能していくからこそ、CSPにはサービスの利用者目線に立ち、クラウドの信頼を高めるための取り組みが求められます。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
“政府認定クラウド制度”なぜ重要? クラウドサービスを巡る国の狙い
政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)。実務にも携わるPwCあらた有限責任監査法人の有識者が、その概要を解説する。
自社サービスを「政府認定クラウドサービス」にしたい! 準備には何が必要? 専門家が解説
自社のクラウドサービスを政府のクラウドサービス認定制度「ISMAP」に登録したい企業が知っておくべき注意点は。実務にも携わるPwCあらた有限責任監査法人の有識者が知見を語る。
“政府認定SaaS制度”スタート 登録の受け付け開始
日本政府のSaaS認定制度「ISMAP-LIU」の運用が始まった。公式サイトで登録の申し込みも受け付けている。
さくらのクラウドやSlackが“政府認定クラウドサービス”に登録 各省庁の調達対象に
政府が「さくらのクラウド」や「Slack」など14サービスを、クラウドサービスの認定制度「ISMAP」のリストに登録。政府調達の対象として認定した。
富士通の“政府認定クラウド”が再監査に
ISMAP運営委員会が、富士通クラウドテクノロジーズのパブリッククラウド「ニフクラ」「FJcloud-V」について、ISMAPの登録規則に基づく再監査を始めた。対象の2サービスは5月、不正アクセスを受け、情報が盗まれた可能性があると発表していた。