「サイバーセキュリティ2014」とクラウドセキュリティ
クラウドサービスの普及は浸透しつつありますが、現時点でも導入にあたっての不安視されているユーザは必ずしも少なくありません。
内閣官房情報セキュリティセンターは2014年7月10日、「情報セキュリティ政策会議第40回会合」を開催し、以下のとおり、日本におけるサイバーセキュリティ推進体制の機能強化に関する取組方針(案)や「情報セキュリティ研究開発戦略(改定版)」、「新・情報セキュリティ普及啓発プログラム」、「サイバーセキュリティ政策に係る年次報告(2013年度)」、「サイバーセキュリティ 2014」、高度サイバー攻撃対処のための取組などを公表しています。
資料1「我が国のサイバーセキュリティ推進体制の機能強化に関する取組方針(案)」の概要
資料1-1「我が国のサイバーセキュリティ推進体制の機能強化に関する取組方針(案)」 ※資料非公表
資料2「情報セキュリティ研究開発戦略(改定版)(案)」の概要
資料2-1「情報セキュリティ研究開発戦略(改定版)(案)」に対する意見募集の結果の概要
資料3「新・情報セキュリティ普及啓発プログラム(案)」の概要
資料3-1「新・情報セキュリティ普及啓発プログラム(案)」に対する意見募集の結果の概要
資料4「サイバーセキュリティ政策に係る年次報告(2013年度)(案)」の概要
資料4-1「サイバーセキュリティ政策に係る年次報告(2013年度)(案)」
資料5-1「サイバーセキュリティ2014(案)」に対する意見募集の結果の概要
資料6-1「高度サイバー攻撃対処のためのリスク評価等ガイドライン」
資料6-2「高度サイバー攻撃対処のためのリスク評価等ガイドライン付属書」
今回は、「サイバーセキュリティ2014」を中心にクラウドセキュリティなどについてどのような方針が示されているか、整理をしてみたいと思います。
「サイバーセキュリティ2014(案)」は、各府省庁のサイバーセキュリティに関する今年度の施策を「サイバーセキュリティ戦略」の体系に則り、戦略に基づく2年目の年次計画として取りまとめており、概要が以下の図となっています。
本戦略の中で、クラウドというキーワードを検索し、クラウドがどの施策で強化策が示されているかピックアップしてみたいと思います。
【 政府横断的な情報システムの対策強化等 】
(ケ) 政府機関におけるクラウドコンピューティングの情報セキュリティ対策の強化 (内閣
官房及び総務省)
a) 総務省において、「政府共通プラットフォーム」の円滑な運用を行うとともに、高度化する情報セキュリティ上の脅威に的確な対応を実施する。
b) 内閣官房において、同プラットフォームにおける情報セキュリティ対策について、政府機関統一基準群の改定その他の関連施策により蓄積された専門的知見を提供するなどの支援を実施する。
【 情報システムにおけるサプライチェーン・リスク等への対応強化 】
(ツ) 運用・管理を委託している情報システムの情報セキュリティ対策の強化 (内閣官房)
内閣官房において、クラウドコンピューティングを含む運用・管理を外部に委託している政府機関の情報システムについて、情報セキュリティを確保するための取組を推進する。
① 産業活性化
(ウ) 新たな情報流通形態に対応した情報秘匿・認証・改ざん防止技術の研究開発 (総務省)
総務省において、NICT を通じ、クラウド等の新たな情報流通形態に対応するため、情報の円滑な利用を妨げず、必要な情報秘匿及び認証を両立するための研究開発を行う。(オ) クラウドサービスレベルのチェックリスト等の普及・促進 (経済産業省)
経済産業省において、クラウドコンピューティング利用時におけるデータ保護及びサービス品質に関する責任主体を明確化するために、サービス提供側に過度の負担とならないよう、クラウド事業者とクラウド利用者の間で、サービス内容・範囲・品質等(例:サービス稼働率、信頼性レベル、データ管理方法、セキュリティレベル等)に関する保証基準の共通認識の形成を促す、クラウドサービスレベルのチェックリスト等を普及・促進する。(カ) クラウドコンピューティングの国際標準化に向けた取組 (総務省及び経済産業省)
a) 総務省及び経済産業省において、情報セキュリティ分野の国際標準化活動であるISO/IEC JTC1/SC27、ITU-T SG17 等が主催する国際会合等に参加し、我が国の研究開発成果やIT環境・基準・ガイドライン等を踏まえて国際標準化を推進する。
b) 経済産業省において、2011 年に策定した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」の改訂を行うとともに、クラウドセキュリティガイドライン活用ガイドブックとともに公開する。また、ISO/IEC 27000 シリーズに標準として組み入れるべく日本案を ISO/IEC JTC1/SC27 WG1 に提案をしているが、この標準化を推進する。
② 研究開発
(サ) セキュアでグリーンなクラウドコンピューティング環境の整備 (経済産業省)
経済産業省において、経営・事業戦略に柔軟に対応できる伸縮自在で高効率・高信頼な情報システムを、企業や官公庁といったビジネスシーンでユーザーが安心・安全に利用できるよう、クラウドコンピューティングに係る省エネ、セキュリティ及び安定した稼働を確保する信頼性向上に関する技術等についての実証を行う。
個人的に、注目をしているのが、以下の3つです。
・クラウドサービスレベルのチェックリスト等の普及・促進 (経済産業省)
・クラウドコンピューティングの国際標準化に向けた取組(総務省及び経済産業省)
・セキュアでグリーンなクラウドコンピューティング環境の整備 (経済産業省)
クラウドサービスレベルのチェックリスト等の普及・促進は、利用者が安全にクラウドサービスを利用する上で重要な位置づけとなっていくでしょう。
また、「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」の改訂や、クラウドセキュリティガイドライン活用ガイドブックも利用者のセキュリティ意識を高めていくためにも、必要でしょう。
クラウドへの移行を進めるにあたって、セキュリティのみならず、電力量削減など省エネを実現するクラウド環境整備のための政府の政策的な後押しも、クラウド利用を促すことにもなるかもしれません。