クラウドサービスの安全性評価の実施にあたっての情報システムの調達者/利用者の留意点と運営体制

総務省と経済産業省は2019年12月11日、官民双方が一層安全・安心にクラウドサービスを採用し、継続的に利用していくため、「クラウドサービスの安全性評価に関する検討会」を開催。適切なセキュリティを満たすクラウドサービスを政府が導入するために必要な評価方法について検討を行い、「クラウドサービスの安全性評価に関する検討会　とりまとめ(案)」に対する意見募集を公表しました。

本制度は、制度として政府調達の候補となるクラウドサービスをセキュリティの観点から選定するため、政府機関等がクラウドサービスに対して要求するべき基本的な情報セキュリティ管理・運用の要求事項（管理基準）を定めています。

第一回に続いて、今回は、クラウドサービスの安全性評価の実施にあたっての情報システムの調達者/利用者の留意点と運営体制について、取り上げたいと思います。

情報システムのセキュリティ確保の責任は、一義的に当該システムの調達者/利用者が負うものであり、本制度において登録されたクラウドサービスを利用していたとしても、単にそのサービスを利用するだけでは情報システム全体のセキュリティが十分に確保されることにはならない。そのため、情報システムの調達者/利用者は、自身が利用するクラウドサービスについてユーザーとして適 切な設定を行うことが当然に求められることに加えて、情報システム全体について、そのセキュリティリスクを分析し、適切な対策を行うことが求められるとしています。

本制度に登録されているクラウドサービスを利用するにあたっては、当該サービスが組み込まれる情報システムのセキュリティリスクを適切に把握した上で、当該サービスが提供するセキュリティ機能やセキュリティに係る提供情報を踏まえ、情報システム全体のセキュリティ対策を実施するとともに、セキュリティ確保についての最終的な責任を負わなければならないとしています。その一方で、本制度を運営する立場においても、政府機関等が適切な判断を行うことに資する情報を、適切に提供できるよう努めることが必要である点も指摘しています。

制度運営に求められる体制では、、制度全体の実効性確保などの観点から、次のような機能を適切に保持することが重要である。

①基準策定・更新
②クラウドサービスの申請受付・審査・登録・モニタリング・変更管理等
③監査主体の申請受付・審査・登録・モニタリング・変更管理等

これらの体制および、本制度の実務については、監査主体の管理等の実務部分を情報セキュリティ監査や監査主体の管理等に精通した民間団体からの協力を受けつつ、IPAが担うことが適切であるとしています。

出所：クラウドサービスの安全性評価に関する検討会　とりまとめ(案) 2019.12