プロジェクトオーガナイザの吉田聖書です。
9月13日に、日本政府が運営している通称ISMAP(イスマップ)という政府情報システムのためのセキュリティ評価制度において、クラウドサービスリストの2021年度第2四半期分の更新が行われました。
ISMAPと聞いても多くの方はあまり馴染みがないかもしれませんが、日本政府(具体的には内閣官房と総務省と経済産業省)が民間のクラウドサービスのセキュリティ監査を行って、「このクラウドサービスは国の安全基準を満たしていますよ」というお墨付きを与える制度です。
ISMAP公式のクラウドサービスリストはこちらです。
クラウドサービスリスト – ISMAPポータル
何でそのような制度があるのかというと、以前、北國銀行が勘定系システムをクラウド化したニュースを取り上げましたが、その時にも書いたように、クラウドサービスの利用は特に保守の面でアドバンテージがある一方で、安全性(いわゆるセキュリティですね)の面で不安があって利用をためらってしまう傾向があるということです。
※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。
私も知らなかったのですが、官公庁で情報システムを新規に調達する場合は、今後は原則クラウドサービスを活用するという方針が打ち出されているようです。そして、官公庁で情報システムを調達する場合に、オンプレミス(自前でハードウェアから調達してシステム環境を構築する場合)と違って、アプリケーション基盤という既製品をサービスとして外部から調達することになるので、その部分は発注側から要求を出せないわけですね。出したところでその要求を個別に完全に満たせるわけではない。
ですので、事前に政府から要求事項を提示して、それを満たすクラウドサービスを認証し、認証されたクラウドサービスリストの中から調達先を選ぶようにすれば、都度要求を出して、その要求を満たしているかの検査を個別にしなくても良くなるわけで、一定の効率化は期待できそうです。
クラウドサービスリストは、登録してもらうためには監査機関の監査を受ける必要があり、また、一度登録されたら終わりではなく有効期限があって、その度に監査を受け直さなければいけないようです。このリストは今年から運用が始まったようなんですが、更新頻度はだいたい4半期に1回のようです。もちろん申請が無かったり監査をパスしたサービスがなかった場合はリストの追加も無いと思いますが、今後は民間でも調達の際にこのリストを活用すれば、個別の検査は必要なくなるのではないかなと思います。
ただ、気を付けなければいけないのは、あくまでもクラウドサービスのみを対象とした認証であるという点、そしてセキュリティ及びセキュリティ・マネジメントについての認証であるという点です。つまり、「それらのクラウドサービスが自分たちのやりたいことにマッチしているか」という観点は自分たちで検証しなければいけないですし、そのクラウドサービスを利用して構築されたアプリケーションの安全性については自分たちで担保しなければいけないという点は今後も変わらないでしょう。
それでも、クラウドサービスを活用することでハードウェアの運用は確実に軽減され、その分、人件費を除いた費用だけで見ればコストは上がるのかもしれませんが、情報システムのトータルの運用コストとして見れば削減していくことが可能になるのではないでしょうか。
まあ、なかなかクラウドサービスの選定理由を上長に説明するのは難しいかもしれませんが、「このISMAPのクラウドサービスリストに載っているので安全です」と言い切ることができれば理想ですよね。あとは、今後、この制度を運用していくにつれて、リストに掲載されるサービスが増えていくことが想定されますから、単に「リストに載ってます」ではなく、政府にはどういう用途に向いているかといったサービスの特徴・特性を含めてリストを整備していっていただけたら尚ありがたいと感じました。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。