全1583文字

 行政機関のSaaS(ソフトウエア・アズ・ア・サービス)利用が一段と進む兆しが出てきた。政府はSaaSを対象に、政府調達のためのクラウドサービスの安全性評価制度を2022年9月から新たに始める。セキュリティーリスクの小さい業務や情報処理に使うSaaSが対象。既に「政府情報システムのためのセキュリティ評価制度(ISMAP、イスマップ)」を運用する政府が、簡易版を創設するのはなぜなのか。

内部業務向けSaaSの公共調達をしやすく

 新設する制度の名称は「ISMAP-LIU(ISMAP for Low-Impact Use)」。機密性・完全性・可用性が侵害された場合、組織や個人に与える影響度が低いと評価される業務や情報に用いられるSaaSが対象だ。公開を前提とした情報を扱うドキュメント共有サービスやeラーニングサービスなど、内部業務向けのSaaSを想定する。

 2022年9月にもクラウドサービス事業者からのリスト登録の申請受け付けを開始し、2023年春ごろリスト登録を始める見通しだ。その後は四半期ごとにリストを更新する。

 ISMAP-LIUは、2021年3月に始まったISMAPの簡易版だ。ISMAPとは民間のクラウドサービスの情報セキュリティー対策などを指定の監査機関が事前に評価して登録する制度である。各府省庁は「クラウド・バイ・デフォルト」の原則に従い、政府情報システムの調達でクラウドサービスを第一選択肢とし、さらにクラウドサービス調達時には原則ISMAPに登録されたサービスから選ぶ。

 ISMAPはSaaSのほかIaaS(インフラストラクチャー・アズ・ア・サービス)とPaaS(プラットフォーム・アズ・ア・サービス)も対象としており、2022年6月13日時点では35サービスが登録されている。

ISMAPとISMAP-LIUの対象のクラウドサービス
ISMAPとISMAP-LIUの対象のクラウドサービス
取材をもとに日経クロステック作成
[画像のクリックで拡大表示]