経済産業省と総務省は、2020年1月30日に「クラウドサービスの安全性評価に関する検討会 とりまとめ」を公表しました。
これは経済産業省と総務省によって共同で進められたもので、適切なセキュリティを満たすクラウドサービスを政府が導入するために必要な評価方法をとりまとめたものとなっています。
併せてサイバーセキュリティ戦略本部において(1)本制度の基本的な枠組み、(2)各政府機関等における本制度の利用の考え方、(3)本制度の所管と運用体制も決定されました。
これにより、今後、官公庁からの調達を意識するクラウド事業者(CSP)は、下図のように自らのサービスについてリスク評価を行い必要な管理策を整備・運用し、監査を受けていくことになることが予想されます。
出所:クラウドサービスの安全性評価に関する検討会 とりまとめ( http://xn--v6q806ccrkilz.com/wp-admin/post.php?post=899&action=edit )
今回のとりまとめは制度の枠組みについてが中心となっており、各種基準については今後取りまとめられる予定となっています。
内部監査の視点
顧客情報や機密情報をクラウドサービス上に保持したり、自社の重要業務の一部をクラウドに依存するなどしている場合、クラウド事業者の機密性・完全性・可用性を適切に評価する必要があります。そのような場合、当該枠組みは一つの参考となるでしょう。
今後、具体的な基準等が公表されれば、情報セキュリティ管理の個別監査や、外部委託先管理の個別監査などで規準(クライテリア)としての活用が期待できます。
自社がクラウド事業者(CSP)であり、かつ官公庁からの調達を意識している企業である場合は、当該制度の動向を把握し、戦略的に対応を進めているかについて監査テーマとすることが考えられます。
参照元・ウェブサイト
経済産業省
https://www.meti.go.jp/press/2019/01/20200130002/20200130002.html
総務省
https://www.soumu.go.jp/menu_news/s-news/02cyber01_04000001_00096.html
[post_footer]
