千葉県柏市は、クラウドサービスのリスク評価を通じて情報セキュリティ/ガバナンスの強化に取り組んでいる。アシュアードのクラウドリスク評価サービス「Assured」を導入し、庁内でクラウドサービスを新規に導入する際のセキュリティ評価を実施している。導入効果としてセキュリティ評価に要する時間を約7割削減したという。アシュアードが2024年10月16日に発表した。
千葉県柏市は、2022年度に「DX推進計画」を策定し、その中でデジタル技術による業務効率化や市民サービスの利便性向上を掲げている。取り組みを推進するDX推進課は、庁内のシステム/アプリケーションにおいて、原則としてクラウドサービスを活用する方針を定め、庁内でのクラウドの利用拡大に取り組んでいる。
しかし、当時はクラウドサービスのセキュリティを評価する体制が整っていあんかった。クラウドの利用を前提にセキュリティポリシーを改定したものの、担当課から「クラウドサービスを利用したい」という相談を受けても対応が追いつかなかったという。
「クラウドサービスの利用申請に対し、各クラウドサービスの約款を読み込み、セキュリティポリシーと照らし合わせるというアナログな対応を個別に行っていた。時間がかかるうえ、要件が必要十分かどうかも分からないまま、手探りで対応せざるをえなかった」(柏市)。
また、セキュリティポリシーの各項目に対し、どの程度まで対策できていればよいのかというレベル感が各担当者によってバラバラだったうえ、約款の内容だけでは、深いレベルで実態を把握することが難しかったという。
画面1:クラウドサービスのリスク評価サービス「Assured」の画面例(出典:アシュアード)拡大画像表示
そこで同市は、アシュアードが提供するクラウドサービスのリスク評価サービス「Assured」(画面1)を導入。総務省のクラウド利用ガイドライン、柏市の情報セキュリティポリシー、Assuredの評価項目を照らし合わせ、具体的な選定基準を定めることにした、
定めた83個の評価項目から、だれでも同じ評価を下せるように
柏市は、クラウドサービスの選定基準策定にあたって、最初のステップとして、Assuredの約120の評価項目と、総務省のクラウド利用ガイドラインの各項目を関連づけた。結果、120問中83問がガイドラインにひもづけられた。次のステップでは、ひもづけた83問の各項目に対して「利用可」「要確認」「利用不可」の評価基準を定めていった。
項目ごとの評価基準を定める際には、3人の担当者がそれぞれ自分なりの基準を決め、各々の基準を持ち寄ったが、担当者ごとの見解のズレが露呈したという。そのため、議論してズレをすり合わせ、柏市としての見解を決定。最終的に、第三者であるアシュアードの確認・助言を得ながら選定基準を策定した。
この結果、Assuredの評価レポートが得られたタイミングで、各項目に利用可否判断をなす体制が整った。「担当者による判断のブレがなくなり、どの担当者が利用可否の最終判断を下しても同じ基準でセキュリティを評価できる体制が整った」(同市)という。
●Next:Assuredの導入効果と、DX推進課による定着の取り組み
会員登録(無料)が必要です
- 1
- 2
- 次へ >
柏市 / 自治体 / クラウドセキュリティ / ベンダーマネジメント / アシュアード / 千葉県
