パブリック・クラウド選定のための安全性評価制度

 パブリック・クラウドのサービス選定においては、数あるクラウドサービスから必要なセキュリティ基準を満たしたサービスを選び出す必要があります。しかし、政府はこれまで、パブリック・クラウド利用に関する明確なセキュリティ基準を示していませんでした。このため調達者である各府省は、各クラウドサービスのセキュリティ対策状況を個別に確認する必要がありました。

 とはいえ、各府省が各パブリック・クラウドのセキュリティ対策状況について、個別に詳細に調査するのは現実には困難です。そこで「政府情報システムにおけるクラウドサービスの利用に係る基本方針」では、第三者機関が実施する認証制度の認証を取得している、または監査フレームワークに対応しているクラウドサービスを選定することを推奨しています。

 具体的には、認証制度では、クラウドサービスのセキュリティ認証である「ISO/IEC 27017」国際標準や日本セキュリティ監査協会クラウドセキュリティ推進協議会による「CSゴールドマーク」、また米国政府によるクラウドサービスの調達基準である「FedRAMP(Federal Risk and Authorization Management Program)」を挙げています。監査フレームワークとしては、クラウドサービス提供者の内部統制の保証報告の枠組みとして米公認会計士協会(AICPA)が規定したSOC2、SOC3への対応を推奨しています。

 調達者による確認作業の負担を減らし、さらに一定水準以上の情報セキュリティ対策が施されているサービスの調達を容易にするために、政府は自ら「クラウドサービスの安全性評価制度」の整備も進めています。2020年1月30日のサイバーセキュリティ戦略本部第23回会合では、制度の「基本的な枠組み」を決定しました。

 同制度では、情報セキュリティの管理・運用の基本的な「管理基準」を政府が策定したうえで、評価プロセスに従い、一定レベル以上のセキュリティ対策を実施済みと認められたクラウドサービスを、サービスリストとなる「登録簿」に登録します。各府省がクラウドサービスを調達する際には、原則として登録簿からサービスを選定することになります(図2)。管理基準の策定など、政府内で制度を運用する主体としては、内閣サイバーセキュリティセンター(NISC)、内閣官房IT総合戦略室、総務省、経済産業省、情報処理推進機構(IPA)などが想定されています。

図2●セキュリティ評価制度の基本的な流れ
図2●セキュリティ評価制度の基本的な流れ
出所:内閣サイバーセキュリティセンター「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて(案)」(2020年1月30日)(https://www.nisc.go.jp/conference/cs/dai23/pdf/23shiryou01.pdf)
[画像のクリックで拡大表示]

 既に調達手続きが進んでいるクラウドサービスや、既に利用中のクラウドサービスに対して、新しい制度をどのように適用するのか、また、制度の運用開始時期をいつにするのか、引き続き検討が進められています。

政府が提供するプライベート・クラウド

 一方、プライベート・クラウドを選定するフェーズでは、政府情報システムとして提供されているSaaS、PaaS/IaaSが候補になります。例えばSaaSとしては、人事給与サービスや旅費システムといった業務サービスを提供するものや、行政データを提供・共有する職員認証サービス(GIMA)、歳入金電子納付システム(REPS)、官庁会計システム(ADAMS)などが各府省で利用されています。

 現在、各府省のネットワーク環境の在り方についても議論が進められており、これまで各府省で個別に構築・運用していたコミュニケーションツールなどの基盤機能を提供するネットワーク環境についても、政府全体のネットワーク環境として整理・再構築できないかの検討が進んでいます。今後は、各府省が個別に構築しているネットワーク環境の仕組みも、プライベート・クラウドのSaaSとして提供される可能性があります。

 また、PaaS/IaaSとしては、総務省が運用・提供している「政府共通プラットフォーム」が典型です。各府省が個別に整備・運用を行っている情報システム基盤を政府全体で共有化することで、政府情報システム全体の運用コストを削減し、情報セキュリティ対策を向上させるために、2013年3月に運用を始めました。