調査の概要
IPAは国内のクラウドサービス利用者・提供者のセキュリティ向上を支援する目的で、海外のクラウドセキュリティに関する認証制度や規制動向の調査を実施し、報告書を公開しています。
クラウドサービスの普及に伴い、各国が独自のクラウドセキュリティ認証制度を整備しており、日本のISMAPもこの流れの中に位置づけられます。
米国:FedRAMP
FedRAMP(Federal Risk and Authorization Management Program)は、米国連邦政府機関が利用するクラウドサービスのセキュリティ評価・認証プログラムです。NIST SP 800-53をベースとし、Low / Moderate / Highの3つのインパクトレベルで評価されます。FedRAMP認証を取得したクラウドサービスは、連邦政府機関全体で再利用可能(Do Once, Use Many)です。
欧州の認証制度
| 国・地域 | 制度名 | 概要 |
|---|---|---|
| EU | EUCS(EU Cloud Security Certification Scheme) | EU全体のクラウドセキュリティ認証スキーム。策定中 |
| ドイツ | C5(Cloud Computing Compliance Criteria Catalogue) | BSI(連邦情報セキュリティ庁)が策定。ISO 27001をベースに追加要件 |
| フランス | SecNumCloud | ANSSI(国家情報システムセキュリティ庁)が策定。最高レベルではデータ主権要件あり |
| 英国 | Cyber Essentials / Cyber Essentials Plus | NCSCが運営する基本的なサイバーセキュリティ認証 |
日本のISMAPとの関係
日本のISMAPは、FedRAMPを参考に設計された政府向けクラウドセキュリティ評価制度です。ISO 27001/27017/27018をベースに1,000項目以上の管理策を評価し、第三者監査を経てISMAPクラウドサービスリストに登録されます。
主要な動向
- データ主権の強化:EU(特にフランス)ではクラウド上のデータを自国・EU域内に留める要件が強化
- 認証制度の相互認証:各国の認証制度間の相互承認に向けた議論が進行中
- サプライチェーンリスク:クラウドサービスのサプライチェーンセキュリティに関する要件の追加
- AIセキュリティ:クラウド上でのAI利用に関するセキュリティ要件の議論が開始
まとめ
各国がクラウドセキュリティ認証制度を整備する中、日本のISMAPもFedRAMPを参考に発展しています。海外のクラウドサービスを利用する場合やグローバル展開する場合は、各国の認証制度への対応が求められます。