総務省は12月19日,ASPサービスやSaaS(ソフトウエア・アズ・ア・サービス)を提供する事業者向けのセキュリティ対策ガイドラインの草案「ASP・SaaSにおける情報セキュリティ対策ガイドライン(案)」を公開した。事業者がセキュリティ対策をする際の指針として利用するほか,サービス企業が事業者やサービスを選定する指標として活用することを想定したものである。
ASPサービスやSaaSがどのようなセキュリティ対策を実施すべきかを,「組織・運用編」と「物理的・技術的対策編」に分けて示す。提供されるサービスの内容によって,実施すべき対策が異なる場合がある。そこでガイドラインでは,ASPサービスやSaaSを,サービス内容に応じ6パターンに分類し,パターンごとに実施すべき内容に言及する(表)。
| サービス分類 | 機密性 | 完全性 | 可用性 | サービス内容の例 |
|---|---|---|---|---|
| パターン1 | 高 | 高 | 高 | 受発注,人事,経理,文書管理 |
| パターン2 | 高 | 高 | 中 | 販売管理,在庫管理,グループウエア |
| パターン3 | 高 | 高 | 低 | 営業支援,CRM,資産管理 |
| パターン4 | 低 | 高 | 高 | ネットワーク監視 |
| パターン5 | 低 | 高 | 中 | 機密情報を含まない文書管理 |
| パターン6 | 低 | 高 | 低 | テレビ会議,eラーニング |
対策として実施すべき内容を列記し,それについて「基本」つまりサービスを提供するに当たって優先的に実施すべき対策であるか,「推奨」つまり実施することが望まれる対策であるか,を示す。その上で,対策を実施するに当たってのベストプラクティスを例示する。
組織・運用編では,組織体制やセキュリティ・ポリシー,従業員への対応,コンプライアンスなどについて言及する。
例えば,「ASPサービスやSaaSの提供に用いる情報システムが,情報セキュリティポリシー上の要求を遵守していることを確認するため,定期的に点検・監査すること」を基本対策としている。実施に当たってのベストプラクティスとしては,「点検・監査は十分な技能と経験を持つ者の監督下で実施することが望ましい」,「点検・監査にあたってサービス中断のリスクを最小限に抑えるよう考慮することが望ましい」,の2つを挙げる。
物理的・技術的対策編では,ハードウエアやソフトウエアの運用,ネットワークや空調,電源設備,媒体管理などについて触れる。
例えば,「サービス提供に用いるプラットフォームや通信機器などの脆弱性情報を定期的に集め,随時パッチを適用すること」を基本対策としている。ベストプラクティスを掲示した上で,パターン1,2,3についてはベンダーがパッチをリリースしてから24時間以内,パターン4,5,6については3日以内にパッチを適用するよう求める。
ガイドラインは,総務省が開催した「ASP・SaaSの情報セキュリティ対策に関する研究会」で検討されたもの。総務省は2008年1月18日まで意見を募集し,2月に正式なガイドラインを取りまとめる予定。また,同時にASPサービスやSaaSの動向をまとめた「ASP・SaaSの情報セキュリティ対策に関する研究会報告書(案)」も公開されており,こちらについても意見を募集している。
