ISMAP登録を調達要件とする「ガバメントクラウド」公募案件の登場
暫定措置を設ける一方、これからクラウドサービスを使用する政府機関などの公募において、ISMAP登録を明確に要件とする案件も登場した。デジタル庁が行った「ガバメントクラウド(Gov-Cloud)」における公募案件である。
中央官庁の行政システムの集約、地方自治体の主要業務を担う行政システムを標準化した上で、25年度までにガバメントクラウドに集約する計画があり、「地方自治体によるガバメントクラウドの活用について(案)」(21年8月改定)中に、ガバメントクラウドにはISMAPクラウドサービスリストに登録されたクラウドサービスを利用する方針が提示された。
そして、計画の先行事業である21年10月4~15日公募「デジタル庁におけるクラウドガバメント整備のためのクラウドサービス提供-令和3年度地方公共団体による先行事業及びデジタル庁WEB構築業務」の調達仕様書にISMAP登録を条件とする明記され、10月26日の採択結果においてISMAPクラウドサービスリストに登録されたサービスの中から、公募の要件項目を満たすものとしてAmazon Web ServicesとGoogle Cloud Platformが選ばれた。
ガバメントクラウド対象クラウドサービス一覧
今後は同様に、ISMAP登録を選考に参加するための最低条件とした上で、案件ごとの要件などを満たしていることを以って、利用するクラウドサービスを選考する調達案件が増えてゆくだろう。
制度としての今後の改善
ISMAPクラウドサービスリストは、原則四半期に1回更新され、21年9月13日時点で、20サービスが登録されている。初回登録時は、国内外の最大規模のクラウドサービス事業者によるIaaS系サービスの登録が主であり、複数の更新を経て、大規模クラウドサービス事業者によるSaaSサービスが登録され始めるようになった。
ただし、クラウドサービス向けの大量の管理策に対する対応準備や外部監査にかかる費用など、中小規模のクラウドサービス事業者がISMAP登録を行うには、現時点では負担が大きいのも事実である。また、現在ISMAP監査機関は、4大監査法人(EY新日本有限責任監査法人、有限責任監査法人トーマツ、有限責任あずさ監査法人、PwCあらた有限責任監査法人)のみであり、今後申請数が増加した際に、処理できる件数に限りがあることも危惧される。
ISMAPは、始まったばかりの制度であり、ISMAPポータルサイトでは、適宜、ISMAP規程類や手続きの改定・追加、FAQの追加などを行っており、制度運用してゆく中で改善を行っている制度でもある。今後の普及に向けて、さらなる改善を期待したい。また、関係者にとってより良いものとなるよう、CSPからも、積極的に要望や意見を提出することをお勧めする。(中田美佐)
※次回はISMAPとクラウドサービス事業者について
■執筆者プロフィール
中田美佐(ナカダ ミサ)
NTTテクノクロス セキュアシステム事業部 アーキテクト
各社に対するセキュリティの整備、構築、運用コンサルティングに従事。「JASA-クラウドセキュリティ推進協議会」の主要ワーキンググループメンバーとしても活動している。
