クラウドファースト時代において、クラウドサービスの情報セキュリティが課題となっています。

　本記事では、国内政府機関がクラウドを利用する際に指針となる、法規制及び新たに設けられた制度に焦点を当てて解説します。
　その指針は、国内の民間企業においても、クラウド利用時の参考になります。

▼ 目次
1. 政府のクラウド利用促進のための指針
2. 統一基準（政府機関の情報セキュリティ対策基準）の改定
3. クラウド事業者選定の際の要件
4. サイバーセキュリティ基本法と情報セキュリティ関連規定の関係

1．政府のクラウド利用促進のための指針

　昨今、企業が積極的にクラウドを採用している現状について前回の章でご紹介しましたが、その流れは政府でも同じようにクラウドを採用して順次移行していくことを計画しています。

　一般企業はじめ、政府、官公庁、更に重要インフラ等にまで広がってきたクラウド市場の拡大に合わせ、クラウドサービスプロバイダ及びクラウドサービスへの信頼性評価はクラウド利用における課題の一つにもなっています。

　クラウドサービス利用時の確認事項及び信頼性という課題について国がリードする形で指針が出ています。その指針は、国内の民間企業にもクラウド利用時の参考になりますので、次の章よりご紹介します。

2．統一基準（政府機関の情報セキュリティ対策基準）の改定

　政府機関等の情報セキュリティ対策のための統一基準は、平成30年（2018年）に改定され7月25日版が現在運用されています。

資料 1. 政府機関等の情報セキュリティ対策のための統一基準群（平成30年度版）

出典:NISC:内閣サイバーセキュリティセンター
「政府機関等の情報セキュリティ対策のための統一基準群（平成30年度版）」を一部抜粋して作成
(https://www.nisc.go.jp/active/general/pdf/kijyun30.pdf)

　上記資料の「クラウドサービスの利用に関する新たな規定（第4部　外部委託・・・4.1.4　クラウドサービスの利用）」は、ひとつ前の平成28年度版から新たに追加されています。

　追加された規定には、国内の政府機関の業務形態の変化に対応し、自らがクラウドサービスの利用者側に立ったことを想定した対策が記述されています。

　その中より政府機関がクラウドサービスを選定、利用する際の事前確認として盛り込まれたいくつかの遵守事項より下記の３つの内容について解説します。

1. 情報システムセキュリティ責任者は、情報の取り扱いを外部事業者に委ねる際のリスク評価に基づくクラウドサービス利用可否を判断すること。

• 政府機関がクラウドサービスを利用する前に、取り扱う電子データに格付け評価を行い、その評価に基づいてクラウドサービスの利用に適した電子データかどうか、判断することが求められています。
• 重要データの流出は国益を損なうため、事前に適正なリスク評価を実施しクラウドサービス利用の可否を判断することを必須としています。
  
  

2. 情報システムセキュリティ責任者は、必要に応じて委託事業の実施場所（クラウド構成機器の所在地等）準拠法、裁判管轄を指定すること。

• 一昔前までは、全ての管理、処理は国内で完結する仕組みになっていましたが、クラウドサービスを利用すると、それを管理・処理するデータセンターの一部を国外に置くようなケースも想定されます。このような場合、国内の法規制の対象から外れてしまうため、国外の裁判所の要請や命令で重要データが国の管理下から外れてしまうリスクが生じてしまいます。そのため、事前にデータセンターの所在地及びクラウド構成機器の設置場所について問題がないかリスク評価することを必須としています。
• 必要に応じて場所、契約に定める準拠法、裁判管轄を指定することとしています。
  
  

3. 情報システムセキュリティ責任者は、クラウドサービス及び提供事業者の信頼性が十分であることを評価し判断すること。

• クラウドサービス事業者及び提供するクラウドサービスは信頼のおける委託先であるか事前のリスク評価を必須としています。
• リスク評価に当たっては認証制度の適用状況を踏まえた確認を実施し委託先及び当該サービスの信頼性が十分であることを総合的、客観的に評価し判断する事としています。クラウドに関するセキュリティの認証制度については次の章で解説します。

3．クラウド事業者選定の際の要件　-認証制度-

　国内の政府機関の業務形態の変化に対応して統一基準の中に盛り込まれた「クラウドサービスの利用について」は、信頼性の確認がキーワードになっています。そのキーワードに対してクラウドサービス事業者の選定、利用にあたり信頼性確認の指標となる政府機関向けのガイドラインが発行されています。

　「政府機関等の対策基準策定のためのガイドライン　平成30年度版」は、政府機関等が、統一基準に準拠した情報セキュリティ対策基準を策定する際に、参照すべき対策事項や要求事項を満たすための解説が示されています。

資料 2. 政府機関等の対策基準策定のためのガイドライン（平成30年度版）

出典:NISC:内閣サイバーセキュリティセンター
「政府機関等の対策基準策定のためのガイドライン（平成30年度版）」を一部抜粋して作成
(https://www.nisc.go.jp/active/general/pdf/guide30.pdf)

　統一基準に設けられた「クラウドサービスの利用について」より遵守事項4.1.1(１）（e）クラウドサービス及び当該サービスの委託先の信頼性の中で触れられている「評価に当たっての認証制度」について下記の記載があります。

"なお、参考となる認証には、ISO/IEC　27017:2015によるクラウドサービス分野におけるISMS認証の国際規格があり、そこでは「クラウドサービス事業者が選択する監査は、一般的には十分な透明性をもった当該事業者の運用をレビューしたいとする利用者の関心を満たすに足りる手段とする」ことが要求されており、これらの国際規格をクラウドサービス事業者選定の際の要件として活用することも考えらる"

　このガイドラインでは、ISO/IEC 27017:2015によるクラウドサービス分野のISMS認証は、クラウド事業者への信頼というクラウド利用者のセキュリティニーズを満足させ得る内容の認証制度であることが記されています。その上で、このガイドラインではクラウドサービス事業者の選定要件として、ISO/IEC 27017:2015によるクラウドサービス分野のISMS認証制度を活用することが考えられると明記しています。

　このように統一基準の中に信頼性の証として認証制度が盛り込まれ、且つ政府機関等の対策基準策定のためのガイドラインに具体的な認証制度として紹介されたISO/IEC27017:2015の認証制度は、既に政府機関がクラウドサービスを選定、利用する際の入札条件の中に組み込んで運用しています。

　クラウド特有のリスクを考慮して整備された国内初の認証制度は、国が先行して活用していますが、民間企業においても順次活用されることが期待されています。

4．サイバーセキュリティ基本法と情報セキュリティ関連規定との関係

　前項の中でご紹介しました「統一基準」と「政府機関等の対策基準策定のためのガイドライン」は全て「サイバーセキュリティ基本法」に基づいて策定された基準です。またその適用は行政機関配下の独立行政法人にまで範囲を広げるため、「サイバーセキュリティ基本法」に「国の行政機関、独立行政法人及び指定法人（第25条2より抜粋）」と明記して政府機関の一部として対象を広げています。その背景には日本年金機構への不正アクセスによる情報流出など、特殊法人へのサイバー攻撃による国民生活及び経済活動への影響が考慮され、適用が拡大されました。(図1)

　平成30年に改定した「統一基準群」では、より国民の側に立った対策が講じられています。利用者（行政サービスを利用する国民）の通信相手が政府機関であることを保証するとともに、ウェブサイト等を通じた行政サービスを利用者が安心して安全に利用できるように、下記のセキュリティ対策を義務化しました。

• 「政府機関等の全ウェブサイトの常時暗号化」
• 「電子メール通信の暗号化対応」

このような利用者側に立ったセキュリティ対策は、政府機関のみならずウェブサービスを提供する民間企業でも参考にされ、導入されることが望まれています。

図 1. :サイバーセキュリティ基本法と情報セキュリティ関連規定の関係

出典:NISC:内閣サイバーセキュリティセンター
「政府機関等の対策基準策定のためのガイドライン（平成30年度版）」を加工して作成
(https://www.nisc.go.jp/active/general/pdf/guide30.pdf)

　クラウドサービスプロバイダの個人データ保護に関する近年の傾向については、下記の関連記事「クラウド上の個人情報保護とクラウドサービスプロバイダ」よりご覧いただけます。

• クラウドのマーケットとセキュリティの国際規格
• クラウド上の個人情報保護とクラウドサービスプロバイダ
• クラウド環境における第3者認証制度