クラウドサービスの安全性評価制度とは
総務省と経済産業省は2019年12月11日、官民双方が一層安全・安心にクラウドサービスを採用し、継続的に利用していくため、「クラウドサービスの安全性評価に関する検討会」を開催。適切なセキュリティを満たすクラウドサービスを政府が導入するために必要な評価方法について検討を行い、「クラウドサービスの安全性評価に関する検討会 とりまとめ(案)」に対する意見募集を公表しました。
本制度は、制度として政府調達の候補となるクラウドサービスをセキュリティの観点から選定するため、政府機関等がクラウドサービスに対して要求するべき基本的な情報セキュリティ管理・運用の要求事項(管理基準)を定めています。
その上で、情報セキュリティ監査の枠組みを活用して、独立した第三者が政府の 定める基準・手続に従って監査した結果に基づき、クラウドサービスが政府の要求する事項を満たしていると評価したクラウドサービスを登録する制度となっています。
本制度は、クラウドサービスプロバイダ(CSP)による情報セキュリティ対策の運用状況まで踏み込んで確認することによって、クラウドサービスは運用面の確認が重要であるという特性も踏まえた調達と運用一体でのセキュリティ対策の確保に資するものとしています。
CSPが実際に自身のクラウドサービスの情報セキュリティ対策を実装・運用するまでの一連のプロセスの各段階において、本制度の評価の枠組みがどのように機能し、制度運営者・監査主体・制度利用者の担う役割・責任がどのようなものであるのか、整理を行っています。
出所:クラウドサービスの安全性評価に関する検討会 とりまとめ(案) 2019.12
<CSPがセキュリティ対策を行うプロセス及び責任>
本制度における登録を目指すCSPは、次のようなプロセスによって自身の行うべき情報セキュリティ対策の内容を決定し、実際に実施することとなるとしています。
①登録を目指すクラウドサービスの範囲の確定
②当該クラウドサービスのセキュリティリスクの分析
③セキュリティリスクの分析結果に基づいた管理基準における3桁レベルの統制目標の選択
④選択された統制目標を実現するための管理基準における4桁レベルの詳細管理策の選択
⑤詳細管理策の選択に応じた個別管理策の設計
⑥個別管理策の実装・運用
CSPは、制度の登録を申請する以上、当然この一連のプロセスを適切に実施する責任及び実施していることを政府に説明する責任を、制度運営者との関係において有することとなるとしています。
<調達者の制度利用の考え方>
情報システムを調達する政府機関等においては、調達にあたり通常以下のプロセスによって具体的な情報システムの内容とセキュリティ対策を決定・実施することが想定されるとしています。
A.情報システム全体の機能の特定
B.情報システム全体のセキュリティリスクの分析
C.全体機能のうちクラウドサービスを利用する部分の特定
D.利用するクラウドサービスのセキュリティ対策を踏まえた自ら行うべきシステム全体の対策設計・実施