総務省は9月30日、クラウドサービス事業者が実施すべき情報セキュリティ対策を取りまとめた「クラウドサービス提供における情報セキュリティ対策ガイドライン」を約3年ぶりに改訂し、第3版を公開しました。クラウドサービスにおける責任分界のあり方を検討し、ISMAP管理基準や国際規格との整合性を図る観点から改定されました。

ガイドライン改訂の主なポイントは次の3点です。

・サービス別（SaaS、IaaS、PaaS）の特性や、クラウドサービス同士の相関性を踏まえた責任分界のあり方について追記
・責任分界に関する整理を踏まえ、対策を３つのパターンに整理し、章立てを見直し
・国際規格（ISO/IEC27017:2016）や「NIST SP800-53 rev.5」に記載されているセキュリティ対策と整合性を図り、セキュリティ対策の内容を改定

SaaS事業者がPaaS・IaaSを利用して自社サービスを提供するなど、クラウドサービスの提供形態は複雑になっています。また、サービス事業者とサービス利用者の責任範囲の考え方にも変化が生じ、両者の認識の齟齬によるインシデントも発生しています。そのため第3版では、サービスごと(SaaS、PaaS、IaaS)の責任分担について、一般的な考え方を明示しました。

また、責任分担の観点を踏まえ、すべてのクラウドサービス事業者(共通編)、SaaSを提供する事業者（SaaS編）、PaaS・IaaSを提供する事業者(PaaS/IaaS編)の3パターンに分けた章立てに変更しました。ガイドラインはこれら3編と「序編」「IoT サービスリスクへの対応方針編」「参考資料」を合わせた全6編で構成されています。