１．はじめに

　クラウドサービスの選定は、企業や組織にとって重要な意思決定プロセスである。
　日本クラウド産業協会（ASPIC）が運営するクラウドサービス情報開示認定制度は、この選定プロセスを支援する貴重なツールとなる。
　本稿では、この制度を活用して安心安全なクラウドサービスを選定する方法について解説する。

２．各サービスにおける開示情報の調べ方

　まずは、選定しようとするクラウドサービスの開示情報を調べる方法について、手順を示す。

(1)情報開示認定のトップページ（ https://www.aspicjapan.org/nintei/）から目的とするサービスの分野を選択する①。

（※図-1は、分野として「ASP・SaaS」タブを選択、当該分類のトップページを表示したもの）

(2) 認定サービス一覧ページから一覧表示や検索をおこなう。

　図-1の左側のメニューにある②「認定サービス一覧」をクリックし、「認定サービス一覧」のページを表示する（図-2）。
（※図-2は、検索キーに「TKC」を指定し、「事業者名称順」ボタンで該当の会社のサービスを検索しているところ）

(3) 検索したサービスの概要（複数の場合は一覧）が表示されるので、サービス名称をクリック。

（※図-3は、株式会社TKCの「TKC連結グループソリューション」を表示しているところ）

(4) 当該サービスの開示情報（「申請内容」の列）が、総務省の情報開示指針に対応した帳票形式（以下、申請内容帳票と呼ぶ）で表示される。

（※図-4では、「TKC連結グループソリューション」の申請内容（=開示情報）の帳票を表示しているところ）

(5) 申請内容帳票の各項目の意味

　申請内容帳票（図-4）の読み方として各列の意味を解説する。

• 【審査対象項目】総務省の情報開示指針で定められた開示項目
  （※審査対象項目一つ一つの詳細な解説については、各分野の「申請書と申請書類のダウンロード」ページに掲載してある「申請書作成の手引き」を参照のこと。ASP・SaaSの例はこちら。
• 【記述内容】総務省の情報開示指針で定められた開示項目の説明
• 【必須/選択】次の3種類がある
  • ①必須　：必ず記入（=開示）がもとめられるもの。空白では認定されない。
  • ②必須〇：必ず記入し、かつ一定のレベルを満たすことがもとめられるもの。
    （例えば、項番57のウィルスチェックが無しの場合、認定されない）
  • ③選択　：任意の開示項目（空白でも良い）
• 【申請内容】各サービスの情報開示内容

３．クラウドサービス選定における申請内容帳票の活用方法　

　上記で説明した、申請内容帳票の活用方法は、選定しようとするクラウドサービスの開示情報を丁寧に確認することであるが、ここでは、連載「第2回　クラウドサービスの安全・信頼性とは」で説明した、「安全対策の確認ポイントとの対応」、「組織的な対応の重要性」の項目に沿って、主に見ておくと良い項目を概説することとする。

(1) 安全対策の確認ポイントと審査対象項目の対応

①物理的セキュリティ

　申請内容帳票・審査対象項番（以下、単に項番と略す。）の71番～84番に「ハウジング（サーバー設置場所）」として開示情報がまとめられている。これは、データセンターの入退室管理、防災対策、電源や空調設備などのインフラ設備等が記載されている。

②論理的セキュリティ

　項番54番～70番の「アプリケーション、プラットフォーム、サーバ・ストレージ等」及び「ネットワーク」として開示情報が記載されている。

③可用性対策

　事業継続計画(BCP)として、項番33の「サービス（事業）変更・終了後の対応・代替措置」、データのバックアップとして、項番45、46の「バックアップ対策と管理」、障害対応関係として項番40「サービスパフォーマンスの管理」、項番92「障害・災害発生時の通知」などがある。また、機器の冗長化対策との関連で、項番89、90の「サービス保証・継続」が記載されている。

④運用管理

　情報セキュリティへの取り組みとして、項番24「情報セキュリティに関する規程等の整備」がある。システムの監視体制については、項番54、55「死活監視」「障害監視」がある。脆弱性対策として、項番44「脆弱性診断」が記載されている。

⑤コンプライアンス

　項番22～26「コンプライアンス」に記載されている。コンプライアンスについては、選択項目ではあるが、組織的対応として、担当役員の設置を問うている。

(2) 組織的な対応と審査対象項目との対応

　上記の安全対策と重複する部分が多いが、対応関係を次に示す。

①人的要因へのリスク対策

　項番22～26「コンプライアンス」や項番24～26「文書類」に記載されている。特に「文書類」については、組織的取り組みとして、文書類の経営陣による承認の有無を「必須〇」項目として問うている。

②インシデント対応体制の構築

　インシデント対応については、項番24～26「文書類」及び項番85～93の「サービスサポート」に記載されているが、例えばCERT（Computer Emergency Response Team、コンピューターやインターネットのセキュリティに関するインシデントに対応する専門組織やグループ）があるかどうかなど、より詳しい情報が必要であれば、直接問い合わせすることを推奨する。

③経営層のリーダーシップ

　項番2～5の「事業所・事業」、項番6～8の「人材」、項番9～17の「財務状況」、項番18～21「資本関係・取引関係」及び項番22～26の「コンプライアンス」から総合的に判断出来る。

４．まとめ

　本稿では、各サービスにおける開示情報の調べ方、クラウドサービス選定における申請内容帳票の活用方法について概説した。
　活用における注意点は、次の2つである。
　クラウドサービス情報開示認定制度は、あくまでも選定プロセスを支援するツールの一つであり、最終的な判断は自社のニーズや状況にもとづいておこなう必要がある。
　また、選定後も定期的にサービスの評価を行い、必要に応じて見直しをおこなうことが重要である。
　クラウド技術や市場は急速に進化しているため、常に最新の情報を収集し、自社のニーズに最適なサービスを選択し続けることが、長期的な事業成功につながると考える。

５．おわりに

　3回にわたる連載にお付き合い頂き、誠にありがとうございました。クラウドサービス利用者の皆様にとって、クラウドサービスの選定は、単なる技術的な決定ではなく、ビジネス戦略の一部としてとらえるべきと考えます。
　情報開示認定制度を活用し、自社の経営方針や将来のビジョンを踏まえた総合的な判断をおこなうことで、真に価値のあるクラウドサービスの導入が可能となります。情報開示認定機関ASPICは、AI等新技術への対応など不断の努力を続けて参りますので、今後とも何卒よろしくお願い申し上げます。

了