© 2019 NTT TechnoCross Corporation

令和元年度内外一体の経済成⾧戦略構築にかかる国際経済調査事業（クラウドサービスのトラスト確保に係る調査）報告書

令和元年12月27日

経済産業省 商務情報政策局 情報経済課 御中

ＮＴＴテクノクロス株式会社

2© 2019 NTT TechnoCross Corporation

• 本報告書で用いる用語を以下に記述する用語 意味

政府統一基準 内閣官房・サイバーセキュリティ戦略本部が定める「政府機関等の情報セキュリティ対策のための統一基準」

METI管理策 経済産業省が定める「クラウド情報セキュリティ管理基準」３桁管理策 統制目標（4桁管理策の実施により統制目標の達成する）

(例) 5.1.1 情報セキュリティのための方針群情報セキュリティのための方針群は、これを定義し、管理層が承認し、発行し、従業員及び関連する外部関係者に通知する。

４桁管理策 達成手段（統制目標を達成する手段として実施する詳細管理策）(例) 5.1.1.1 組織は、経営陣によって承認され、組織の情報セキュリティ目的の管理に対する取組みを示すものと

して、方針群の最も高いレベルに、一つの情報セキュリティ方針を定める。

4桁管理策を、その内容から、以下に分類する。定型管理策１ CSPが自ら実施する管理策定型管理策２ CSPが、政府機関が当該管理策を実施するための機能を提供する管理策定型管理策３ CSPが、政府機関が当該管理策を実施できるように情報を提供する管理策

CSP クラウドサービスプロバイダ（クラウドサービスを提供する事業者）CSC クラウドサービスカスタマ（クラウドサービスを利用する政府機関等）プロジェクト 本事業の実施のため、１監査法人と１ＣＳＰで組んだペアを指す

1. 用語の説明

3© 2019 NTT TechnoCross Corporation

2. 事業目的

経済産業省平成３１年度「内外一体の経済成⾧戦略構築にかかる国際経済調査事業」は、他国と戦略的な通商関係を構築する上で、基礎的情報となる各国の制度や実態等の調査を実施するとともに、相手国における事業環境整備のための事実関係の調査や政府間対話、双方向の投資を促進するために必要な政策的対応に関する情報収集等を行うための調査事業等を行うことを目標としている。

第四次産業革命においてデータは付加価値の源泉であり、グローバルイノベーションを拡大していくためには自由なデータ流通の環境を整備していくことが重要である。２０１９年１月のダボス会議においても、世界的なデータガバナンスに関する基本的な考え方として、「Data Free Flow with Trust」のコンセプトが提唱された。

これは、個人情報や重要産業データを適切に保護し、プライバシーやセキュリティに関する信頼を確保していきながら、自由なデータ流通を促進する国際的な枠組みの形成を目指すという考え方である。これにより、“21世紀の石油”と言われるデータを生かしたイノベーションが、グローバルに生まれやすい環境を作っていくことが、内外一体の経済成⾧を促すためにも重要となる。

こうした中、インターネット上に設けたリソースを提供するサービスであるクラウドサービスは、サービスアプリケーションから多様なIoTプラットフォームまで、様々なICTソリューションを支えており、近年のデータの利活用・管理における中核のサービスであることから、そのセキュリティの確保は、「trust」を確保するために重要な要素となっている。

本調査事業では、こうした問題意識の下、我が国で検討を行っているクラウドサービスの安全性評価の方法について実効性を調査するとともに、その有効性について諸外国のクラウドサービスの安全性評価制度と比較調査を行うことを目的としている。

4© 2019 NTT TechnoCross Corporation

3. 事業の実施方法

本調査事業（以下、監査シミュレーションと記述）は、全管理策を一定の単位に分割し、プロジェクト（監査法人とＣＳＰのペアを言い、「管理策の分担」にしたがい割り振り）ごとに割り振ったうえで特定の管理策についての証跡を閲覧し、管理策に即して統制が適切にデザインされていることを評価するもの。

改善調査を適切に行うため、監査主体（監査法人等）、ＣＳＰに対し、監査シミュレーションの実施中に以下の観点での改善に向けた情報を収集。

• 言明書、監査計画書、監査報告書を作成・利用する際の課題や改善要望等• 監査の各プロセスにおける課題や改善要望等• その他

NTTﾃｸﾉｸﾛｽNTTﾃｸﾉｸﾛｽ

・言明書・監査計画書・監査報告書

・標準監査手続

・証跡リスト

・具体的な証跡

［監査シミュレーション中に作成される情報］

［CSP内の機密情報］（監査シミュレーションで提示／提出される情報）

監査シミュレーション時に【監査主体とCSP】間で取り扱う情報

証跡は、監査時に監査主体に「提示」される。

［注1］：監査主体に提出し、監査主体が持ち帰ることはない

管理委託先管理委託先

経済産業省経済産業省 CSP①CSP①監査主体①監査主体①

監査シミュレーション結果として、管理委託先を通じて経済産業省に「提出」される情報

情報Ａの提出情報Ａの提出

情報Ｂの提出

情報Ｂ：改善に向けた情報（課題や改善要望等）依頼・指示

監査シミュレーションの納入

・サニタイジングした情報Ａ・アンケート結果等の提出

＜改善に向けた情報収集＞

情報Ａ

情報Ａ

5© 2019 NTT TechnoCross Corporation

管理策基準(ISO27001+27017)

①：5,9,14章(3桁管理策:31個4桁管理策:295個政府統一基準：36個)

②：6,7,12章(3桁管理策:30個4桁管理策:291個政府統一基準:46個)

③：10,11,15,16章(3桁管理策:29個4桁管理策:230個政府統一基準:33個)

プロジェクト1プロジェクト1

プロジェクト2プロジェクト2

プロジェクト3プロジェクト3

プロジェクト4プロジェクト4

監査主体A－CSP1

監査主体B－CSP2

監査主体C－CSP3

監査主体C－CSP4

①

②

③

監査シミュレーション対象とする管理策基準

④：8,13,17,18章(3桁管理策:31個4桁管理策:231個政府統一基準:39個) プロジェクト11プロジェクト11 監査主体C－CSP11

：：：

・3桁管理策:30個前後、4桁管理策:300個前後で分割・特に重要な9～13章は、分散するように分割

①、②、③、④は、最低限ダブルチェックされるよう設定

④

③

プロジエクトの考え方

4. 管理策の分担

6© 2019 NTT TechnoCross Corporation

監査シミュレーションは滞りなく実施でき、様々な観点からの課題、改善提案、要望等を得た。 監査シミュレーションは滞りなく実施でき、様々な観点からの課題、改善提案、要望等を得た。

【効果】

○ 多様な情報収集11社のCSP（14のクラウドサービス）、3社の監査法人の参加により、多様な意見等の情報を収集することができた。▬ 国内CSP、海外CSPなど、組織、業態、拠点の違い等が反映された意見、要望等を収集▬ IaaS,PaaS,SaaS,及び、これらに当てはまらない形態のサービスを含んでおり、多くの立場での意見、要望等を収集▬ 複数(3社)の監査法人の参加により、監査主体からも、複数の視点による多くの意見、要望等が収集できた

○ 短期間に精度の高い情報収集プロジェクト（監査法人-CSP)を複数作り、管理基準を分担したことにより、短期間で精度の高い情報収集が可能となった。▬ 分担により、1プロジェクト単位の負担を軽減する▬ 各管理策に、2プロジェクト以上を割り当てることにより、情報の精度を向上させる

【実施状況】○ 管理基準（2019年7月時点）の全管理策（約1200）に対する監査シミュレーションの実施を完了

○ CSP、監査主体それぞれの観点から、制度に関する課題・改善点や、プロセスにおける各様式に関する意見・要望等を収集

○ CSPが管理基準に対応可能なこと、および、監査主体が本制度の枠組みで監査を実施することが可能なことを確認できた

▬ 監査及び登録の申請に必要なフォーマット・手続きを含め、監査から申請プロセスまでの運用が可能なことを確認

5. 監査シミュレーションの実施状況

7© 2019 NTT TechnoCross Corporation

6. 監査シミュレーションにより得られた意見等（他国の制度等との比較）

本制度は、他国の認証・評価制度の管理策に相当する管理策を多く含み、その監査証跡を活用できる見込みがあることから、本制度は、他国の認証・評価と比べて遜色なく設計されているものと判断できる。

本制度は、他国の認証・評価制度の管理策に相当する管理策を多く含み、その監査証跡を活用できる見込みがあることから、本制度は、他国の認証・評価と比べて遜色なく設計されているものと判断できる。

【CSPからの意見】他の認証・評価制度に対応している海外系CSPから、以下の意見が得られた。

• 本制度における管理基準は、ISO/IEC 27001及び27002に相当する管理策を含むなど、他の認証・評価制度と同等の管理策が多い

• FedRAMP、SOC1/SOC2等の他の認証・評価制度における監査証跡は、本制度における監査証跡に活用しやすい

【他国の制度等との比較調査結果】以下により、本制度の管理策は、十分な管理策を含んでいること、追加・修正等の検討対象となる管理策は一部であることが判明した。

• 本制度における管理基準は、一部、政府として要求すべき内容を除き、ISMS認証における国際規格 ISO/IEC 27001及び27002、クラウドセキュリティに関する国際規格 ISO/IEC 27017に相当する内容である

• 本制度と国内外の他制度において、詳細管理策（具体的な達成手段）の表現、内容等に一部相違等があっても、統制目標レベルでは、同等のものと判断できるものが大半であった

• 米国 FedRAMP（NIST SP800-53）における管理策の多くは、本制度における管理策に包含され、追加・修正の検討が必要な管理策は限定的であった

8© 2019 NTT TechnoCross Corporation

6. 監査シミュレーションにより得られた意見等（制度設計-申請）

様々な形態・構成のクラウドサービスの存在を踏まえた、登録の柔軟性確保の必要性に関する意見。 様々な形態・構成のクラウドサービスの存在を踏まえた、登録の柔軟性確保の必要性に関する意見。

【様々なクラウドサービス】監査シミュレーションの対象となったクラウドサービスには、様々な形態が存在した。

• 複数のサービスを含めて、一つのクラウドサービスとするケース⇒ 共通の対策で実施できる管理策を合わせることで、一度の監査で対応する場合

• 他のクラウドサービスや委託先を利用するケース⇒ 基盤となるクラウドサービスと、その上に構築するクラウドサービスを同時に監査する場合

• クラウドサービスプロバイダ内での責任範囲が異なるケース⇒ 海外事業者がサービス提供を行っており、監査対応は海外拠点が中心に行っている場合

【制度へのフィードバック】○ 柔軟な登録を可能とするべき

⇒ サービス形態の違い等により登録の対象範囲が異なる場合や、類似するサービスを登録する場合等の重複申請を回避できるようにするなどを考慮し、様々な書類フォーマットや手続きを用意するなど

○ 調達する機関にとって、選定の判断に資する情報を提供すべき⇒ 登録対象（全て自らが管理するサービス、他者が管理する部分を含むサービスなどの違い）が、登録時に明かにできるフォーマット・手続きを用意すべき

○ サービス変更時や更新時の負担を軽減すべき⇒ 差分のみの監査を可能にするなど

○ 登録可否の条件を明確にすべき○ 各種資料・プロセスの英語対応、システム化によるプロセスの軽減を実施すべき

9© 2019 NTT TechnoCross Corporation

6. 監査シミュレーションにより得られた意見等（制度設計-評価）

発見事項が全く存在しない場合以外の登録可否や、管理基準と登録の関係についての意見。 発見事項が全く存在しない場合以外の登録可否や、管理基準と登録の関係についての意見。

【発見事項について】○ 軽微な発見事項が存在する場合の考え方を整理すべきではないか

⇒ 実際の監査においては、軽微な発見事項が指摘される場合が少なくない。シミュレーションにおいても、わずかながら発見事項が指摘されたケースが存在した。こうしたサービスについて、全てを登録不可としてしまった場合、制度が硬直的となり、また登録サービスが増えない可能性がある。

【管理基準と登録の関係について】○ 監査結果において、以下に示す評価プロセス、水準等を考慮すべきではないか

一部の管理策の発見事項に対し、他の管理策で補完する 管理策に対する軽微な不備（例 抽出したサンプルの一部に不備がある等）に対し、改善報告等で補完する

○ 4桁管理策にない方法で３桁管理策を満たす場合を考慮すべきでないか⇒ クラウドサービス固有の技術等によって、管理基準に規定される4桁管理策以外の方法で3桁管理策を満たす場合があるが、こうした申請の扱い、その妥当性や登録の可否について審議、評価するスキームが必要ではないか

○ CSPは、自身の判断で管理策を選択可能だが、他の管理策での補完や、管理基準の4桁管理策以外の方法で対応する等、例外的な対応を行う場合、その内容や理由等を提示するべき

○ クラウドサービスにおける技術の進歩や動向の変化等について情報を収集し、定期的に管理基準の更新を検討するスキームが必要ではないか

10© 2019 NTT TechnoCross Corporation

7. 制度運用の観点から意見

クラウドサービスの安全性評価制度全般については、以下のような意見や改善提案が出された。 クラウドサービスの安全性評価制度全般については、以下のような意見や改善提案が出された。

【個別の課題・意見・改善提案】• 他の制度の位置づけ、利活用（監査の効率化、監査証跡の流用など）• 4桁管理策のさらなる具体化、例示、水準等の提供、及び、4桁管理策の統合による管理策数の減少の要望• 標準監査手続の作成の要望• 日本の監査主体が他国の法令等に精通しているとは限らず、他国の法令等への順守状況の監査は困難• 監査証跡の有効性について、監査対象期間を通じて有効であることをどのように確認すべきか、或いは、「整

備」（文書等の整備）の評価や委託先監査についての証跡はいつの時点のものであればよいか等• 全ての管理策について運用評価まで実施すると監査対象が膨大となり、コストの増加につながる

【概要】他の制度の利活用、監査証跡の有効性や評価対象期間の定義、標準監査手続きの作成など、制度運用に向けて監査負担の軽減に向けた意見が多い

11© 2019 NTT TechnoCross Corporation

8. 登録申請・監査（様式）に関する意見（課題・改善提案）

登録申請・監査のための各様式、情報の取扱いについて、以下のような意見や改善提案が出された。 登録申請・監査のための各様式、情報の取扱いについて、以下のような意見や改善提案が出された。

様式名 改善提案での指摘事項及び提案内容の分析

クラウドサービス登録申請書 ・登録申請書については、各項目への質問が主で、申請書に説明を補足すれば問題ない・「その他（自由記述）」欄は削除する

クラウドサービスの安全性に係る言明書

・一部の文言が適切ではない・役職や氏名までは必要ない・システム関連事項や統制内容は開示したくない（調達契約の締結を検討している政府機関等に対して個別に開示）・上記以外の項目は、概ね開示可の傾向・期間については、証跡との関連や、始期や⾧さの指針や定義を求める意見がある・監査人または利用者の判断に違いが出ないようにするため、イメージ図の記載を標準化することを提案・付記事項や特記事項の開示は消極的（調達契約の締結を検討している政府機関等に対して個別に開示や開示範囲限定、もしくは、当該項目の削

除（不要））・機密情報を含むため、４桁管理策に対する会社の統制内容を開示はできない

情報セキュリティ監査計画書 ・公開を可能とする意見は少なく、Web等での公開には消極的

情報セキュリティ監査報告書 ・Web等での公開を可能とする意見はほぼ無く、制度所管機関、調達政府機関への開示も調達契約の締結を検討している政府機関等に対して個別に開示または開示の対象者の限定を求める意見

・監査報告書添付資料に記載される対象クラウドサービスに関する説明（ＣＳＰ載事項）は責任の関係上、監査報告書に含めるべきではない・一部の項目について、監査報告書に含めるべきでは無いという指摘あり

情報セキュリティ監査調書 ・Web等での公開を可能とする意見はほぼ無い・作成・提出不要を求める項目がある

【概要】書類関連では、一部の用語や書式への意見はあるものの、概ね使用可能であること情報の取扱いについては、開示を関係者に限定したうえで必要性に応じて行うという方向性は理解が得られた

(例)

12© 2019 NTT TechnoCross Corporation

9. Web申請・登録に関する意見（課題・改善提案）

Web申請・登録については、以下のような意見、要望等が出された。 Web申請・登録については、以下のような意見、要望等が出された。

• 監査依頼・監査実施についてはWebシステム化する必要はなく、登録内容の申請や修正等の部分のみシステム化されていれば十分

• 監査シミュレーションで用いた作業シート等の文書は、特定の製品に限定せずに他の表計算ソフトや文書作成ソフトとの互換性を考慮して欲しいという意見

• Web登録・申請のためのサイトについて、多くの種類のブラウザへの対応• 海外居住者・海外法人も入力・申請がスムーズに行えるよう、入力・登録に必要な情報の見直し• 日本語だけではなく英語の文書の提供や、サイトの英語化にも対応して欲しいという意見• 本制度のためだけに対応が必要な作業を、最大限効率化できる形での申請・登録プロセスの検討• 更新の定義、更新時に必須の作業の明確化、更新が無い部分は提出不要とする等、効率的な更新審査・登録が

実施可能なプロセスとして欲しいという意見• Webシステムではない実施手段も必要という提案• 登録対象のクラウドサービスの追加に迅速に対応可能とするために、年2回以上の審査の実施を提案• 登録済みサービスへの一部機能の追加の場合等では差分監査とし、差分監査は登録済みサービスとの統制の違

い、相違点などを対象とした簡易な手続・審査にしたいという提案

【概要】差分監査、更新審査・登録や英語化対応を含む効率的なシステム化を求める意見が多い

(例)

13© 2019 NTT TechnoCross Corporation

10.リスク及び管理策に関する意見（課題・改善提案）

リスクと管理策に関して、CSP及び監査主体から、以下のような課題、意見、要望等が出された。 リスクと管理策に関して、CSP及び監査主体から、以下のような課題、意見、要望等が出された。

CSPから出されたもの• 仮想化技術により分離及び統制が整備されたうえで複数のデータセンターでサービス提供するCSPでは、単一のデータセンターを前提

とした管理策など、実効性が伴わない管理策が存在する• オンプレとクラウドは異なるうえ、仮想化を適用しないクラウドの提供や、ISO27017策定時よりもクラウド技術・実装は

進んでおり、該当しない4桁管理策もあることから、4桁管理策は必須とする必要はないという意見• クラウドサービスの機能拡張は早くサービス毎の制度適用ではCSP側の負担が大きいため、サービス毎ではなく事業者とし

ての登録審査にすることを求める提案• クラウドサービスの管理形態では自動化が進んでおりインベントリ管理等は文書化ではないため、文書化を前提とした管理

策の記載をリポジトリーやデータベースの維持の視点で見直す必要がある 監査主体から出されたもの

• リスクと管理策のマッピングについての考え方に関して複数提案• 管理策について、CSPの社内環境に求める管理策か、利用者環境に求める管理策かを明示し、その上で社内環境と利用者環

境のネットワークが分離していれば内部環境を評価対象とする必要はないという提案• 政府統一基準の管理策について、複数の要求事項を含む管理策が存在するため管理策の要求事項を分割すること、及び、他

の管理策の包含し要約された管理策が存在するためMETI管理策との相違を詳述することを提案• 本制度はリスクアプローチの考え方に基づくものとなっておらず、過剰な対応の恐れなどの懸念がある• 特にSaaSの場合は、個々の具体的サービスにおける情報の取扱いや、業務の可用性に関して発生し得る問題が主要なリス

クとなるが、それらは本制度がカバーするリスクではないことを免責事項として明確にしておく必要がある

【概要】クラウド特有の管理策を求める意見や各管理策で求めるレベルの平準化、クラウドサービスのスピーディな拡張に対応できる制度のあり方、過剰な対応を避けるためにリスクアプローチの導入、責任分界や責任範囲を明確化することで監査対象範囲の明確化、など、管理策や制度のあり方に対する意見が出された

(例)