総務省 パブコメ ASP・SaaSの情報セキュリティ対策に関する研究会報告書案等
こんにちは、丸山満彦です。経済産業省に引き続き総務省でもSaaS関係のセキュリティ対策の報告書案が公表され、パブコメの募集が行われていますね。。。
報告書案では、、、
=====
インタビュー調査の結果を受け、仮説の検証を実施した。
(a) 情報セキュリティ対策の優先付けができていないのではないか
ファイアウォールを設置する等、一般的な技術的情報セキュリティ対策は全てのASP・SaaS 事業者で実施されているが、その一方で、情報セキュリティマネジメントを運用・改善していくためのプロセスの策定等の組織・運用に係る情報セキュリティ対策はほとんどされていない。適切なリスクアセスメントの実施のためには、そのための組織体制を整備する必要があり、必要な対策の優先付けをするための体制が整っていないものと認められる。
また、インタビュー調査を実施したASP・SaaS 事業者の規模は様々であるにも関わらず、実施されている情報セキュリティ対策に大きな違いがなく、リスクアセスメントを通じた対策の優先付けができていないことが伺える。
(b) 提供するASP・SaaS サービスの特徴に基づいた適切な情報セキュリティ対策ができていないのではないか
インタビュー調査を実施したASP・SaaS 事業者の提供するサービスはそれぞれ大きく異なるにも関わらず、ユーザ向け接続回線や主な情報セキュリティ対策の内容等を見る限り、実施している情報セキュリティ対策に大きな差は見られない。また、多くのASP・SaaS事業者が、実施している情報セキュリティ対策を「一般的な」と表現していることからも分かるように、現在実施している情報セキュリティ対策は、リスクアセスメントを実施し自らの提供するASP・SaaS サービスの特徴を反映した、適切な情報セキュリティ対策ではないものと考えられる。したがって、提供するASP・SaaS サービスの特徴に基づいた適切な情報セキュリティ対策はできていないものと認められる。
=====
【電子政府】
・ASP・SaaSの情報セキュリティ対策に関する研究会報告書(案)
・ASP・SaaSにおける情報セキュリティ対策ガイドライン(案)
・報道資料
まぁ、委託ですから、委託元が自分たちが行っているセキュリティ対策を利用者しようとするものに説明ができないといけませんし、利用者も委託先に自分たちが要求するセキュリティ対策を行っているかどうかを確認する必要がありますね。
政府の場合だと、統一基準があるので、すくなくとも統一基準に基づいたセキュリティ機能が実装され、運用されていることを確認すればよいわけですから、かなり楽なんですよね。。。
ガイドラインの効果・・・
=====
4.1 ガイドラインの利活用により期待される効果
以下に挙げるガイドラインの利活用効果により、ASP・SaaS 業界全体の情報セキュリティレベルの底上げ、利用者も含めた情報セキュリティに対する意識向上が図られ、ASP・SaaS サービス業界の活性化と健全な発展が期待できると考えられる。
4.1.1 ASP・SaaS 事業者の視点
ASP・SaaS 事業者にとって期待される効果として以下の4つの事項が想定される。
【1】ASP・SaaS 事業者による適切な情報セキュリティ対策実施の促進
これまで既存の基準・ガイドラインでは困難であった、ASP・SaaS 事業者及びサービスの特性に即した適切な情報セキュリティ対策の促進を図ることができる。
【2】中小・新規参入事業者の情報セキュリティ対策の取り組みの促進
情報セキュリティ対策に人的・金銭的な資源を割くことが困難な中小のASP・SaaS 事業者や新規参入事業者に対して、個々に対策導出を行う負担を軽減し、優先的に取り組むべき対策の指針を提供することにより、情報セキュリティ対策への取り組みの促進を図ることができる。
【3】連携ASP・SaaS 事業者に対する情報セキュリティ要求事項の指針として活用
他のASP・SaaS サービスと連携する際、連携ASP・SaaS 事業者に対する情報セキュリティ対策の要求事項としてガイドラインが一定の指針となり、ASP・SaaS 特有の事情であるサービス連携におけるトータルな情報セキュリティレベルの向上を期待することができる。
【4】利用者に対する情報セキュリティ対策実施状況の提示内容の指針として活用
ガイドラインの対策項目に沿って情報セキュリティ対策状況を利用者に提示することによって、利用者がそのASP・SaaS 事業者の情報セキュリティレベルを合理的な基準で判断可能となることにより、ASP・SaaS 事業者による情報セキュリティ対策への積極的な取り組みへの動機付けにつながることが期待できる。
4.1.2 ASP・SaaS サービス利用者の視点
ASP・SaaS サービスの利用者にとって期待される効果として以下の事項が想定される。
【1】ASP・SaaS 事業者の情報セキュリティ対策実施状況の妥当性を、利用者が評価する際の指針として活用
ガイドラインは、利用者がASP・SaaS サービスを選択するにあたって、ASP・SaaS事業者が実施している情報セキュリティ対策を評価する際の一定の指針となり得る。これにより情報セキュリティレベルとサービス提供価格のバランス感の判断材料としてガイドラインが活用されることを期待できる。
【2】ASP・SaaS サービス利用者における総合的な情報セキュリティレベルの向上
利用者にとっての二次的なメリットとして、ガイドラインに則って適切な情報セキュリティ対策が施されたASP・SaaS サービスの提供を受けることにより、利用者における総合的な情報セキュリティレベルの向上を図ることが期待できる。
=====
【参考】このブログ
・2007.11.26 経済産業省 パブコメ SaaS向けSLAガイドライン(案)
・2007.08.19 総務省 ASP・SaaSの情報セキュリティ対策に関する研究会
« 経済産業省 パブコメ 個人情報保護法についての経済産業分野を対象とするガイドラインの改正案 | Main | 公認会計士協会 パブコメ IT委員会研究報告「自動化された業務処理統制等に関する評価手続」(公開草案) »
Comments