総務省 ASP・SaaSの情報セキュリティ対策に関する研究会

　こんにちは、丸山満彦です。6月に第1回が開催されています。いまさらですが、、、

　
【総務省 】ASP・SaaSの情報セキュリティ対策に関する研究会
●開催についての報道資料

１　 背景・目的
　ブロードバンド化の進展により、国民生活や社会経済活動におけるICTへの依存度が高まる中で、ネットワークを通じてオンデマンドにアプリケーションソフト等の機能として提供する新たなICTサービス（ASP（Application Service Provider）・SaaS（Software as a Service）等）の利用が進展し、昨今は“Web2.0”といった新たな概念が生まれています。
　 企業等におけるASP・SaaSの利用においては、システムの保守・運用・管理にかかる負担が軽減される等のメリットがある一方で、ASP・SaaS事業者及びその関係企業において、企業等の膨大な機密情報・顧客情報が集積されることとなり、ASP・SaaS事業者における適切な情報セキュリティ対策の実施が重要となっています。
　 以上より、適切な情報セキュリティ対策が施されたASP・SaaSサービスの提供が促進され、ASP・SaaSが企業の生産性向上の健全な基盤となることを目的として、ASP・SaaSにおけるセキュリティ対策の現状・課題等を把握し、ASP・SaaS事業者が講ずべき情報セキュリティ対策を事業内容等に沿って検討します。
２　 検討内容
（１） ASP・SaaSにおける情報セキュリティ対策の現状及び課題の把握
（２） ASP・SaaS事業者がサービスを提供するにあたって実施すべき情報セキュリティ対策　等

●第１回会合（平成１９年６月２１日）
・配付資料
・・議事次第
・・資料1-1 「ASP・SaaSの情報セキュリティ対策に関する研究会」構成員名簿
・・資料1-2 「ASP・SaaSの情報セキュリティ対策に関する研究会」開催要綱（案）
・・・（別紙）
・・資料1-3 「ASP・SaaSの情報セキュリティ対策に関する研究会」の議事の公開及び議事録の取扱いについて
・・資料1-4 「ASP・SaaSの情報セキュリティ対策に関する研究会」の目的及び検討スケジュールについて
・・資料1-5 ASP・SaaSの動向とセキュリティに関連する課題（津田構成員）
・・資料1-6 ASPビジネスの状況について（今田構成員）
・・資料1-7 SaaSがもたらす新しい世界（及川構成員）
・議事要旨（ＰＤＦ）

●第２回会合（平成１９年８月８日）
・開催案内　　
・配付資料
・・議事次第
・・資料2-1 ASP・SaaSの情報セキュリティ対策に関する研究会（第１回）議事要旨
・・資料2-2 ASPサービス事例紹介　CO2ナビゲーター（宮坂構成員）※
・・資料2-3 ASP・SaaSにおける情報セキュリティ対策の現状と課題について（花戸構成員）※
・・資料2-4 情報セキュリティ対策に関連する基準・ガイドラインの現状・課題について
・・資料2-5 ASP・SaaSの情報セキュリティガイドライン検討に向けての論点整理※※

既存の基準・ガイドラインで陥りやすい問題
・どこまで対策すべきかの判断ができないため過剰な対策になる傾向がある
・リスクアセスメントの方法を誤ると、本来守るべき情報資産が対象にならない場合がある
・コンサルタントに大きく依存すると、不在時に運用が回らなくなる
・形式的に運用を行っているだけでも認証を継続できる場合がある（PDCA運用の形骸化）

・・資料2-6 ASP・SaaSの情報セキュリティガイドラインの検討方法について
　　　※構成員限り
　　　※※一部構成員限り　　
・議事要旨（ＰＤＦ）

「既存の基準・ガイドラインで陥りやすい問題」はなかなか興味深い話がのっていますが、これって「既存の基準・ガイドラインの問題」ではなくて、ツールである「基準・ガイドライン」を使う経営者や管理者の資質の問題だと思うんですけどね。。。
　だから、有識者を多く集めてよいガイドラインをつくってもそれを利用する経営者や管理者がその利用方法を十分に理解できる資質がなければ、活用できないので、結局セキュリティ対策が進まない。
　で、またツールである「基準・ガイドライン」を新たに作る。。。という循環を繰り返す。。。

　いつまでも仕事がなくならなくて良いのかもしれませんけどね。。。