HOMEディーシーエヌ コラム



2014/02/23 ICTサプライチェーン

クラウドサービスの導入が本格化する中
サービスを提供する事業者の形態も多様化が進み
これまでの単独事業者によるサービス提供だけでなく
複数の事業者が連携(協業)してサービスを提供するケース
つまり、ICTサプライチェーンの編成によるクラウドサービスの提供が
現在の主流となってきた。

こうした状況を受けて総務省は2月21日に
新しいガイドラインのパブリックコメントの受付を始めたようである。

「クラウドサービス提供における情報セキュリティ対策ガイドライン」(案)に対する意見募集
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000070.html

尚、このガイドラインが措定する対象者としては

 ISO/IEC 27002に基づく情報セキュリティマネジメントを行うための
 知識を有しているクラウド事業者を読み手として想定している。
 そして、この読み手が、クラウド利用者及びICTサプライチェーンを構成する
 他の供給者との間で十分な信頼と協力関係を築き上げ、
 安全・安心なクラウドサービスを提供することができるよう
 実践するべき利用者接点の実務を理解するために読んでいただきたい。

とあり、ISMS認証事業者及びそれに準じる情報セキュリティマネジメントシステムを
実践又は構築中の事業者になっているようで要求レベルは高いと思われる。

また同ガイドライン55Pには以下のような記述がある。

 15.1.3  ICTサプライチェーン

 【管理策】
 供給者との合意には、情報通信技術(以下、ICTという。)サービス
 及び製品のサプライチェーンに関連する情報セキュリティリスクに
 対処するための要求事項を含めることが望ましい。

 【クラウドサービスの提供において特に留意すべき課題との関係】
 ICTサプライチェーンを構成して提供されるクラウドサービスにおいて、
 一部の供給者が提供するサービスにおいて情報セキュリティ要求事
 項が満たされないことにより、ICTサプライチェーン全体のサービス
 継続性が損なわれ、あるいは不測のセキュリティホールが生じる等
 のリスクがある。

 【利用者接点とサプライチェーンにおける実務のポイント】
 ICTサプライチェーンを構成して提供されるクラウドサービスにおいて、
 一部の供給者が提供するサービスにおいて情報セキュリティ要求事
 項が満たされないことを防止するために、供給者間で、情報セキュリ
 ティマネジメントに関する要求事項に係る合意を形成することが求め
 られる。そこで、実務上以下を実施することが望ましい。

(a)      ICTサプライチェーンを構成して提供されるクラウドサービスに
    おいて、サービス継続に必要な情報セキュリティ要求事項に関し、
    供給者間で合意を行うこと。
(b)      ICTサプライチェーンを構成して提供されるクラウドサービスに
    おいて、供給者間でクラウドサービスの接続に関する情報セキュ
    リティマネジメント上のリスクを明確にし、その管理策及び管理
    責任の内容・範囲や役割分担等を明らかにすること。
(c)      供給者以外が提供するサービスを、クラウド利用者がクラウド
    サービスと併せて利用する場合、供給者以外が提供するサービス
    に係る情報セキュリティマネジメント上の要求事項についての管
    理責任の範囲やクラウド事業者の免責の範囲を、利用規約等を
    通じてクラウド利用者と合意すること。

事業連携によるサービス提供を実施する場合は
自社はもとより、サプライチェーンを構成する事業者間等の
情報セキュリティに関する責任の所在を明確にした上で
クラウド利用者と合意することが求められる。

利用者目線で見れば、もっともなことであるが
こうしたICTサプライチェーンによるサービスを契約する場合に
委託先の評価、選定、契約においては慎重にならざるを得ない。
近年、こうしたガイドラインが数多く発行され
全体の整合性や要求レベル、あるいは適合性のチェックなど
ハードルがどんどん高くなってきている。
利用者にとってインシデント発生によるサービス停止や情報漏えいは
事業継続をも脅かす大きなリスクであることは間違いない。
“選別する確かな目”は利用者にも求められる。


このページのトップに戻る