クラウドサービスの安全性評価制度におけるクラウドサービス事業者の登録と基準のレベル分け、監査範囲
総務省と経済産業省は2019年12月11日、官民双方が一層安全・安心にクラウドサービスを採用し、継続的に利用していくため、「クラウドサービスの安全性評価に関する検討会」を開催。適切なセキュリティを満たすクラウドサービスを政府が導入するために必要な評価方法について検討を行い、「クラウドサービスの安全性評価に関する検討会 とりまとめ(案)」に対する意見募集を公表しました。
本制度は、制度として政府調達の候補となるクラウドサービスをセキュリティの観点から選定するため、政府機関等がクラウドサービスに対して要求するべき基本的な情報セキュリティ管理・運用の要求事項(管理基準)を定めています。
今回は、第1回、第2回に続いて、
クラウドサービスの安全性評価制度におけるクラウドサービス事業者の登録と基準のレベル分けについて、とりあげたいと思います。
政府では、立ち上げ時の特例として、政府としてクラウド・バイ・デフォルト原則が定められ1年以上が経過する中早急に制度の立ち上げが求められており、立ち上げ時点で実施する内容等について、以下の整理とするとしています。
中間とりまとめにおいては、政府の情報システムは情報システム上で取り扱う情報の性質等により、求められるセキュリティ水準が異なることから、管理策基準の項目数・統制の強度等に差異を設けることにより、登録されるクラウドサービスのレベル分けを行うこととしています。
これまでの基準の検討においては、まず、クラウドサービスの利用ニーズが高く、かつ一定以上のセキュリティ水準が求められるという観点から、レベル2の水準を念頭に管理基準の内容を検討してきた。制度立ち上げ時においては、まずレベル2の水準のみ整備する形で、制度を立ち上げることとしています。
制度立ち上げ初期においては、一定期間のサンプリングによる運用評価までは求めず、CSPが言明する基準日における整備状況評価(時点評価)のみを行うこととし、例えば制度開始後一年などの一定期間が経過した後、監査対象期間に対する運用評価までを求めることとしています。
出所:クラウドサービスの安全性評価に関する検討会 とりまとめ(案) 2019.12
言明書・監査報告書の主な記載事項と活用範囲は下記のとおりで、今後、シミュレーション結果や調達側の要望等も踏まえて決定するとしています。
<言明書への主な記載事項>
・クラウドサービスの名称
・言明の対象範囲(対象となるロケーション、システム概要図)
・システムに関する記述(企業概要、クラウドサービス概要、詳細な内部統制の状況等)
・対象管理策と統制内容(対象外となる管理策がある場合には、除外理由もあわせて記載)
・監査対象期間
なお、記載対象となる管理策と統制の内容については、本制度が4桁レベルの詳細管理策に対する監査を行うものであることから、4桁レベルの詳細管理策単位まで記載を行うこととし、選択を行わない管理策については除外理由を記載することとしています。
<監査報告書への主な記載事項>
・監査依頼者の責任
・監査実施者の責任
・監査報告書の利用者の責任
・監査手続内容(4桁レベルの詳細管理策単位で記載)
・監査手続の実施結果(4桁レベルの詳細管理策単位で記載、発見事項の内容を含む)
・監査報告書の配布及び利用制限について
本制度は政府が利用するクラウドサービスについて登録簿を作成するものであるが、公開される情報等 について、重要産業分野等をはじめとした民間においても参照することで、ラウドサービスの適切な活用が推進されることを期待するとし、民間企業の活用の可能性も示しています。