Cyber NINJA、只今参上

デジタル社会の世相をNINJAの視点で紐解きます。

政府機関のクラウド利用(後編)

 政府機関がクラウドサービスを利用するにあたっては、中央政府が定めた「ガバメント・クラウド」を使うのが原則だが、全サービスをこれに乗っけるのは実質的に難しい。もっと気軽に民間サービスを利用したいという場合には、利用候補を示してもらえないと現場は混乱してしまう。

 

 そこで、特にセキュリティに注目してクラウドを評価する制度が、2020年から整備されて始めている。まずサイバーセキュリティ戦略本部が「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」を発表した。これは、"Information System Security Management & Assessment Program:ISMAP"というもの。

 

    

 

 事業者から申請のあったサービスを、NISC・デジタル庁・総務省経産省IPAの支援を受けて審査・登録する仕組みだ。2022年8月に、審査を経てISMAPに登録されたサービス36種が公表されて、政府機関での導入が始まった。現在は独立行政法人などにも適用が広がっている。

 

 それでも問題は残っていて、ひとつにはISMAP申請が多くて、現在のところ審査待ち行列ができていること。また、基幹システムではないものに適用するので、もう少し基準を緩めて欲しいという要望もある。そこで、セキュリティリスクの小さい業務・情報を扱うシステムが利用するクラウドサービスに対する仕組み(ISAMP-LIU)が、この秋にも運用されるようになるという。

 

 申請に審査が追い付かないのは、審査キャパシティの問題もあるが、多分政府調達以外にも「ISMAP」の看板が使えるから、事業者が(当面政府に売るつもりが無くても)申請するからだろう。この会合でも、民間企業が「ISMAPの有無は、サービス選定の参考にする」と言ってました。それはいいことなのですが、次はISMAP自体の信頼性ですよね。