総務省は9月30日、クラウドサービス事業者が実施すべき情報セキュリティ対策を取りまとめた「クラウドサービス提供における情報セキュリティ対策ガイドライン」を約3年ぶりに改訂し、第3版を公開しました。クラウドサービスにおける責任分界のあり方を検討し、ISMAP管理基準や国際規格との整合性を図る観点から改定されました。
ガイドライン改訂の主なポイントは次の3点です。
・サービス別(SaaS、IaaS、PaaS)の特性や、クラウドサービス同士の相関性を踏まえた責任分界のあり方について追記
・責任分界に関する整理を踏まえ、対策を3つのパターンに整理し、章立てを見直し
・国際規格(ISO/IEC27017:2016)や「NIST SP800-53 rev.5」に記載されているセキュリティ対策と整合性を図り、セキュリティ対策の内容を改定
SaaS事業者がPaaS・IaaSを利用して自社サービスを提供するなど、クラウドサービスの提供形態は複雑になっています。また、サービス事業者とサービス利用者の責任範囲の考え方にも変化が生じ、両者の認識の齟齬によるインシデントも発生しています。そのため第3版では、サービスごと(SaaS、PaaS、IaaS)の責任分担について、一般的な考え方を明示しました。
また、責任分担の観点を踏まえ、すべてのクラウドサービス事業者(共通編)、SaaSを提供する事業者(SaaS編)、PaaS・IaaSを提供する事業者(PaaS/IaaS編)の3パターンに分けた章立てに変更しました。ガイドラインはこれら3編と「序編」「IoT サービスリスクへの対応方針編」「参考資料」を合わせた全6編で構成されています。
