“安全なクラウドサービス”の証「ISMAP-LIU」登場、行政のSaaS活用促進に期待
目次を閉じる
政府もクラウド化を推進
さまざまな施策でデジタルトランスフォーメーション(DX)を後押ししている政府は、その一環として「クラウド・バイ・デフォルト」という基本姿勢を打ち出しています。これは、政府機関が何らかの情報システムを導入する際、まずSaaSやPaaS、IaaSといった、いわゆるクラウドサービスの採用を検討せよ、というものです。
安全なクラウドサービスの選定に課題
セキュリティの高い信頼できるクラウドサービスを選定するには、専門的な知識が欠かせません。しかし、ICTやサイバーセキュリティが専門でない行政の担当者にとって、サービスが適切かどうか見極めることは困難でしょう。
そこで政府は、信頼できるクラウドサービスを認定し、「ISMAPクラウドサービスリスト」に掲載しています。政府機関が情報システムを導入する場合は、ここからから選ぶことになります。
ISMAPは政府のお墨付き
ISMAPとは、「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)」のことです。クラウドサービスが満たすべき基本的な情報セキュリティの管理・運用基準を定めていて、適合したサービスのみをISMAPクラウドサービスリストに掲載します。つまり、ISMAPのリストにあるサービスは、政府がお墨付きを与えたものなのです。
この制度は2020年6月に始まり、第一弾の監査済みクラウドサービスが2021年3月に公開されました。現在は、30を超えるサービスが掲載されています。
“SaaS専用ISMAP”が登場?
こうして運用されてきたISMAPをベースに、現在、新たな評価制度「ISMAP for Low-Impact Use(ISMAP-LIU)」(※1)が検討されています。
※1 NISC、デジタル庁、総務省、経済産業省『ISMAP-LIUについて(案)』, https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000236912
ISMAPとISMAP-LIUの違い
ISMAPは、さまざまなクラウドサービスを対象としています。そのなかでも、特にSaaSは種類が多岐にわたり、導入候補になるサービスの数も多いそうです。SaaSを使うであろう業務によっては、極めて限られた用途や機能で十分な場合もあり、使用時のリスクがあまり高くないことも考えられます。
ところが、ISMAPは対象サービスに一律でセキュリティ要件を満足するよう求めています。その結果、使用するSaaSや適用する業務によっては、必要ないほど厳重なセキュリティを確保しなければなりませんでした。そして、この点が以前から問題視されていました。
こうした状況を改善するため、政府は「デジタル社会の実現に向けた重点計画」や「成長戦略フォローアップ」にもとづき、セキュリティリスクの比較的小さい業務や情報を扱うシステムにおいては、要件を緩和することにしました。これがISMAP-LIUです。
対象となる業務の種類は?
セキュリティリスクの小さな業務や情報とは、具体的にはどのようなものなのでしょうか。これについては、「ISMAP-LIUについて(案)」のなかで8項目の業務が「対象業務一覧」として挙げられました。これら対象業務で使用するシステムについては、ISMAP-LIUのリストに掲載されたクラウドサービスを採用することになります。
ただし、対象業務一覧に該当しない業務でも、今後の検討で順次追加していくとのことです。
ISMAP-LIUリストに掲載されるには?
ISMAP-LIUというお墨付きを得られると、そのクラウドサービスは政府機関から採用されやすくなるでしょう。これは、とても魅力的です。
クラウドサービスの提供企業(Cloud Service Provider:CSP)が自社サービスをISMAP-LIUのリストに載せるには、審査を申請することになります。基本的にはISMAPの審査と同様ですが、対象業務一覧に当たるかなど、ISMAP-LIUに該当するサービスかどうか確認され、適切であれば登録に至る流れです。
出典:NISC、デジタル庁、総務省、経済産業省 / ISMAP-LIUについて(案)
申請受付は年内にも開始見込み
ISMAP-LIUの詳細は検討中で、総務省などが登録規則などに対するパブリックコメントを募集(※2)しています。募集期間は、2022年6月15日から7月5日までです。
今後は、パブリックコメントなどを参考に最終的な仕組みを決定し、8月から9月ごろにISMAP-LIU制度を立ち上げます。そして、2022年中に登録を希望するサービスの申請受付を開始する予定です。運営が始まったら、四半期ごとに登録サービスの追加などが行われます。
出典:NISC、デジタル庁、総務省、経済産業省 / ISMAP-LIUについて(案)
クラウドサービスを提供している企業にとっては、ISMAP-LIUのリストに掲載されるかされないかは、大きな違いです。早い段階で登録されるよう、今から準備しておくとよいでしょう。
※2 内閣官房、デジタル庁、総務省『「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見公募手続(パブリックコメント)を開始しました』, https://www.meti.go.jp/press/2022/06/20220615002/20220615002.html
