江口純一
内閣委員会
江口純一の発言 (内閣委員会)
⚠️ コピーしたテキストを転載する際は、転載元URL(kokkai-data.com)および原典URL(kokkai.ndl.go.jp)を必ず残してください。発言内容の改変・出典削除は禁止です。 詳細は利用規約をご確認ください。
○政府参考人(江口純一君) お答えいたします。
御質問のあったISMAP、政府情報システムのセキュリティ評価制度でございますけれども、クラウド・バイ・デフォルト原則を踏まえまして、クラウドサービスの導入を加速するという、このために、国際レベルでの管理基準に基づいて、第三者による監査のプロセスを経て安全性が評価されたクラウドサービスを登録する制度ということになっております。
この制度につきましては、内閣官房の内閣サイバーセキュリティセンター、NISC、あとは、私どもでございますが、IT総合戦略室、あとは、総務省、経済産業省が共同で立ち上げた制度でございまして、管理基準の策定や制度の運用はこれらの府省で共同して担っておるというところでございます。
管理基準につきましては、情報セキュリティーに関する国際基準でございますISOの基準というものをベースといたしまして、米国の類似制度でございますFedRAMPと申しますけれども、このような制度も参考にしながら策定をしたところでございます。
具体的に申し上げますと、アプリケーションへの適切なアクセス制御や、不正なログオンからの保護、さらにはマルウエアの検出、予防、暗号化によるデータの保護、ゲートウエアの設定によるネットワーク間のアクセス制御などの管理基準に基づいて、第三者の監査を通じてクラウドサービスの安全性を評価をしておるところでございます。
これによりまして、各府省におきましては、原則ISMAPに登録されたクラウドサービスを調達するということができることになりまして、制度上確認された安全性を確保できるということの一方で、SaaSなども含めまして各府省が調達するサービス内容は多様であるということから、個別の調達時の契約に伴うリスクなどにつきましては、各府省において調達時に適切に判断をして対応するということとしておるというところでございます。
御質問のあったISMAP、政府情報システムのセキュリティ評価制度でございますけれども、クラウド・バイ・デフォルト原則を踏まえまして、クラウドサービスの導入を加速するという、このために、国際レベルでの管理基準に基づいて、第三者による監査のプロセスを経て安全性が評価されたクラウドサービスを登録する制度ということになっております。
この制度につきましては、内閣官房の内閣サイバーセキュリティセンター、NISC、あとは、私どもでございますが、IT総合戦略室、あとは、総務省、経済産業省が共同で立ち上げた制度でございまして、管理基準の策定や制度の運用はこれらの府省で共同して担っておるというところでございます。
管理基準につきましては、情報セキュリティーに関する国際基準でございますISOの基準というものをベースといたしまして、米国の類似制度でございますFedRAMPと申しますけれども、このような制度も参考にしながら策定をしたところでございます。
具体的に申し上げますと、アプリケーションへの適切なアクセス制御や、不正なログオンからの保護、さらにはマルウエアの検出、予防、暗号化によるデータの保護、ゲートウエアの設定によるネットワーク間のアクセス制御などの管理基準に基づいて、第三者の監査を通じてクラウドサービスの安全性を評価をしておるところでございます。
これによりまして、各府省におきましては、原則ISMAPに登録されたクラウドサービスを調達するということができることになりまして、制度上確認された安全性を確保できるということの一方で、SaaSなども含めまして各府省が調達するサービス内容は多様であるということから、個別の調達時の契約に伴うリスクなどにつきましては、各府省において調達時に適切に判断をして対応するということとしておるというところでございます。
発言情報
speech_id: 120414889X01420210422_046
発言者: 江口純一
speaker_id: 28506
日付: 2021-04-22
院: 参議院
会議名: 内閣委員会