千葉県柏市とセキュリティ評価プラットフォーム「Assured」の、安心安全なクラウド活用推進に向けた包括連携協定の取り組み、成果を公開
総務省ガイドラインと柏市独自の基準に準拠したクラウドサービス選定基準を策定。専門人材不在でも高品質なセキュリティ評価を実現
ご所属:千葉県柏市 企画部DX推進課
ご担当者様:
- 恩田 篤 様(写真右、現・こども部こども相談センター)
- 田北 真也 様(写真左)
千葉県柏市と株式会社アシュアードは、安心安全なクラウド活用推進を目的に、2023年1月24日に包括連携協定を締結しました。
積極的にDXを推進する柏市では、自治体として初めてAssuredを導入し、市民の皆様に柏市のデジタル施策を安心してご利用いただくため、クラウドサービスのセキュリティ評価体制を強化されてきました。
包括連携協定を締結してから約1年半の取り組みの詳細、その成果について、柏市企画部 DX推進課の田北様、こども部こども相談センターの恩田様にお話を伺いました。
お二人とも、昨年度はDX推進課のセキュリティ担当として、包括連携協定の取り組みにご尽力されました。
クラウド活用の急速な拡大に伴い、セキュリティ評価体制を手探りで構築
貴市と包括連携協定を締結させていただいてから約1年半が経過しました。まず、Assuredのご利用、包括連携協定締結にいたった背景について改めてお聞かせください。
恩田様:
令和4年度に柏市ではDX推進計画を策定し、デジタルを活用した業務の効率化や市民サービスの利便性向上を通して、新しい価値を創造していくことを掲げました。こうしたデジタル化推進の動きと合わせて、国からも「クラウド・バイ・デフォルト原則」の提唱がされるようになり、クラウド活用を原則としていく方針が定められたことが、庁内のクラウドサービス利用が拡大するきっかけとなりました。
しかし当時のDX推進課は、クラウドサービスを安全に利用するためのセキュリティ評価体制が確立できておらず、担当課からクラウドサービスを利用したいという相談を受けても、対応が追いついていない状況でした。
こうしたなか、総務省が「地方公共団体における情報セキュリティポリシーに関するガイドライン(以下、ガイドライン)※1」を改定し、外部サービスの項目を新設したことを受け、柏市の情報セキュリティポリシーを改定しました。
ガイドラインでは、外部サービスの選定にあたってのセキュリティ評価実施の必要性が明確に規定されており、まずはこれらの対応を、誰がどのようにいつのタイミングで行っていくかを整理していきました。
しかし、当時は体制が確立していなかったこともあり、実情としては、情報セキュリティに詳しい担当者が各クラウドサービスの約款を読み込み、セキュリティポリシーと照らし合わせるといったアナログな対応を個別に行うといった状況でした。
そのため、時間もかかるうえに、チェックした要件が必要十分であるかどうかも分からないまま、手探りで対応せざるを得なかったというのが、当時の一番の課題でした。
令和4年度に柏市ではDX推進計画を策定し、デジタルを活用した業務の効率化や市民サービスの利便性向上を通して、新しい価値を創造していくことを掲げました。こうしたデジタル化推進の動きと合わせて、国からも「クラウド・バイ・デフォルト原則」の提唱がされるようになり、クラウド活用を原則としていく方針が定められたことが、庁内のクラウドサービス利用が拡大するきっかけとなりました。
しかし当時のDX推進課は、クラウドサービスを安全に利用するためのセキュリティ評価体制が確立できておらず、担当課からクラウドサービスを利用したいという相談を受けても、対応が追いついていない状況でした。
こうしたなか、総務省が「地方公共団体における情報セキュリティポリシーに関するガイドライン(以下、ガイドライン)※1」を改定し、外部サービスの項目を新設したことを受け、柏市の情報セキュリティポリシーを改定しました。
ガイドラインでは、外部サービスの選定にあたってのセキュリティ評価実施の必要性が明確に規定されており、まずはこれらの対応を、誰がどのようにいつのタイミングで行っていくかを整理していきました。
しかし、当時は体制が確立していなかったこともあり、実情としては、情報セキュリティに詳しい担当者が各クラウドサービスの約款を読み込み、セキュリティポリシーと照らし合わせるといったアナログな対応を個別に行うといった状況でした。
そのため、時間もかかるうえに、チェックした要件が必要十分であるかどうかも分からないまま、手探りで対応せざるを得なかったというのが、当時の一番の課題でした。
必要十分であるかどうか分からなかった、というのは具体的にどのような懸念があったのでしょうか?
田北様:
各項目に対して、どのくらい対策できていればよいのかというレベル感のすり合わせができておらず、各担当者によって判断にバラつきがありました。
また、約款の内容だけでは、深いレベルまでの実態把握が難しいということもあり、統一化された基準で質を担保したうえで対応していきたいという考えがありました。
総務省のガイドラインは、あくまで考え方を示すにとどまるものなので、それを踏まえて最終的にどう判断するかは各自治体に任されています。当時は柏市としての明確な基準を設けられていなかったというのが問題だったと認識しています。
加えて、市役所独特の文化として、専門人材がいない、または、異動してしまうという課題があり、なかなか人が育たないというのも背景にあります。セキュリティ業務は、一事務職にはハードルの高い専門的な業務で、ガイドラインの解説を読み込むことさえも苦労します。それをAssuredのように有識者がいる第三者機関に協力いただけるのはありがたい流れだったと考えています。
各項目に対して、どのくらい対策できていればよいのかというレベル感のすり合わせができておらず、各担当者によって判断にバラつきがありました。
また、約款の内容だけでは、深いレベルまでの実態把握が難しいということもあり、統一化された基準で質を担保したうえで対応していきたいという考えがありました。
総務省のガイドラインは、あくまで考え方を示すにとどまるものなので、それを踏まえて最終的にどう判断するかは各自治体に任されています。当時は柏市としての明確な基準を設けられていなかったというのが問題だったと認識しています。
加えて、市役所独特の文化として、専門人材がいない、または、異動してしまうという課題があり、なかなか人が育たないというのも背景にあります。セキュリティ業務は、一事務職にはハードルの高い専門的な業務で、ガイドラインの解説を読み込むことさえも苦労します。それをAssuredのように有識者がいる第三者機関に協力いただけるのはありがたい流れだったと考えています。
統一化された基準で高品質なセキュリティ評価を、専門人材不在でも実現するため、Assuredの利用および包括連携協定を締結
当時、立ち上がって間もないサービスだったAssuredに対して、ご懸念などはなかったでしょうか?
恩田様:
一番懸念していたのは、Assuredの知名度がまだ低いなかで、クラウドサービス事業者の皆さまがAssuredのセキュリティ評価に協力してくれるかという点でした。
これに対しては、まず先方にセキュリティ評価の必要性をご理解いただき、Assuredという第三者機関による評価を受けていただきたい旨を丁寧に説明することで、ほぼすべてのクラウドサービス事業者さまにAssuredの評価を受けていただくことができました。
一番懸念していたのは、Assuredの知名度がまだ低いなかで、クラウドサービス事業者の皆さまがAssuredのセキュリティ評価に協力してくれるかという点でした。
これに対しては、まず先方にセキュリティ評価の必要性をご理解いただき、Assuredという第三者機関による評価を受けていただきたい旨を丁寧に説明することで、ほぼすべてのクラウドサービス事業者さまにAssuredの評価を受けていただくことができました。
Assuredのご利用と共に、包括連携協定を締結させていただいた背景や具体的な取り組みについても改めてお聞かせください。
田北様:
題目としては、「安心安全なクラウド活用推進に関する包括連携協定」(※2)を柏市とアシュアード社で締結させていただきました。
いくつかの項目を定めたなかでも、特に注力したのは、「クラウドサービス選定において考慮すべき項目・基準の策定に関すること」です。
Assuredの評価レポートで示される点数や、総括コメントで言及されているリスクを、どのように利用可否の判断に結びつけるか、という点が課題でした。そこで,ガイドライン及び柏市の情報セキュリティポリシーと、Assuredによる約120の評価項目を照らし合わせてマッピングし、その後具体的な選定基準を定めました。これは今回の連携協定の大きな成果だと思います。
題目としては、「安心安全なクラウド活用推進に関する包括連携協定」(※2)を柏市とアシュアード社で締結させていただきました。
いくつかの項目を定めたなかでも、特に注力したのは、「クラウドサービス選定において考慮すべき項目・基準の策定に関すること」です。
Assuredの評価レポートで示される点数や、総括コメントで言及されているリスクを、どのように利用可否の判断に結びつけるか、という点が課題でした。そこで,ガイドライン及び柏市の情報セキュリティポリシーと、Assuredによる約120の評価項目を照らし合わせてマッピングし、その後具体的な選定基準を定めました。これは今回の連携協定の大きな成果だと思います。
※2 https://www.city.kashiwa.lg.jp/shiseijoho/keikaku/dx/dx-guideline/progress/202301_securitycheck.html
選定基準を策定し、担当者ごとの判断のブレを解消。評価品質を高めながら7割の工数削減を実現
マッピングや選定基準の策定は具体的にどのように進められたのでしょうか?
田北様:
最初のステップとして、Assuredの約120の評価項目と、総務省のガイドラインの各項目がそれぞれどれにあたるのか紐づけ作業を行い、結果的に、120問中83問がガイドラインに紐づくものであるという整理をしました。この作業をマッピングと呼んでいます。
次のステップとして,紐づけされた83問の各項目がどのような回答であればよいのか判断するために,それぞれの項目に対して「利用可(◯)」「要確認(△)」「利用不可(×)」とする評価基準を検討・決定いたしました。
この評価基準を決める具体的な流れとしては、一定の期間を設けて、3人の担当者でまず一度自分なりの基準を決めてみました。その後、各々が決めた基準を持ち寄ってみたところ、まさしく当初懸念していた担当者ごとの見解のずれが露呈する結果となったのです。そこで、まずは3人のなかで認識がずれていたものを一つずつ議論し、すり合わせしていきました。そのうえで柏市としての見解をつくり、Assured様に第三者機関として確認・助言をいただきながら、最終的な選定基準の策定に至りました。
これにはだいぶ苦労しましたが、しっかり議論したからこそ各項目に対する理解も深まり、やってよかったなと考えています。今後、担当を引き継いだ際にも、判断の背景が分かる状態がつくれたことは、人材育成の観点でもよかったことだと考えています。
恩田様:
また、内部の議論だけでなく、Assured様のような有識者の皆さんとやり取りをしたこと自体も、セキュリティの先進事例に触れる機会となり、新たな学びや理解を深めるきっかけとなりました。
最初のステップとして、Assuredの約120の評価項目と、総務省のガイドラインの各項目がそれぞれどれにあたるのか紐づけ作業を行い、結果的に、120問中83問がガイドラインに紐づくものであるという整理をしました。この作業をマッピングと呼んでいます。
次のステップとして,紐づけされた83問の各項目がどのような回答であればよいのか判断するために,それぞれの項目に対して「利用可(◯)」「要確認(△)」「利用不可(×)」とする評価基準を検討・決定いたしました。
この評価基準を決める具体的な流れとしては、一定の期間を設けて、3人の担当者でまず一度自分なりの基準を決めてみました。その後、各々が決めた基準を持ち寄ってみたところ、まさしく当初懸念していた担当者ごとの見解のずれが露呈する結果となったのです。そこで、まずは3人のなかで認識がずれていたものを一つずつ議論し、すり合わせしていきました。そのうえで柏市としての見解をつくり、Assured様に第三者機関として確認・助言をいただきながら、最終的な選定基準の策定に至りました。
これにはだいぶ苦労しましたが、しっかり議論したからこそ各項目に対する理解も深まり、やってよかったなと考えています。今後、担当を引き継いだ際にも、判断の背景が分かる状態がつくれたことは、人材育成の観点でもよかったことだと考えています。
恩田様:
また、内部の議論だけでなく、Assured様のような有識者の皆さんとやり取りをしたこと自体も、セキュリティの先進事例に触れる機会となり、新たな学びや理解を深めるきっかけとなりました。
今回の取り組みを通じて、属人化や評価品質の担保といった課題は解決できたでしょうか?
恩田様:
Assuredの評価レポートを取得できた瞬間に、各項目に利用可否判断をつけられるようになったため、非常に効率よく利用可否の判断ができるようになりました。
また、担当者による判断のブレがなくなり、どの担当者が利用可否の最終判断をくだすとしても、統一化された評価基準でセキュリティ評価ができるということが大きな成果だったと捉えています。
Assuredの評価レポートを取得できた瞬間に、各項目に利用可否判断をつけられるようになったため、非常に効率よく利用可否の判断ができるようになりました。
また、担当者による判断のブレがなくなり、どの担当者が利用可否の最終判断をくだすとしても、統一化された評価基準でセキュリティ評価ができるということが大きな成果だったと捉えています。
効率性の観点では、具体的にどのくらいの工数削減につながりましたか?
恩田様:
体感的には7割程度の削減を実感しています。
例えば,従来のやり方では3時間かかっていたものが、1時間程度になった感覚です。クラウドサービスの約款を読んでクラウドサービス事業者への質問を作成する、それに対する回答内容を精査するといったところが削減できました。
体感的には7割程度の削減を実感しています。
例えば,従来のやり方では3時間かかっていたものが、1時間程度になった感覚です。クラウドサービスの約款を読んでクラウドサービス事業者への質問を作成する、それに対する回答内容を精査するといったところが削減できました。
選定基準を一度決めていただいたあと、実際に運用されていくなかでの課題感などはありませんか?
田北様:
Assuredではセキュリティトレンドに応じて年に何回か定期的に項目が改定されますが、政府のガイドラインにおいても定期的に見直しが行われているため、それらに合わせた柏市の評価基準の見直しは必要だと感じています。
恩田様:
約1年スパンで評価基準を見直していくかたちで問題ないのかなと考えています。
Assuredではセキュリティトレンドに応じて年に何回か定期的に項目が改定されますが、政府のガイドラインにおいても定期的に見直しが行われているため、それらに合わせた柏市の評価基準の見直しは必要だと感じています。
恩田様:
約1年スパンで評価基準を見直していくかたちで問題ないのかなと考えています。
今回の包括連携協定を振り返ってみていかがでしょうか?
田北様:
アシュアード様には、私たちの方針の基礎となるガイドライン及び柏市の情報セキュリティポリシーをしっかり読み込み、ご理解いただいたうえでサポートいただきました。
一般的な企業と異なる自治体特有のニュアンスも踏まえたうえで、共通言語で会話ができたことはありがたかったです。
選定基準・評価基準策定の際には、こちらも分からないことは率直に質問し、Assuredとしての見解を示していただきながら、深い議論ができたと考えています。
これらは通常のサービス利用では得られなかった成果だと思いますし、包括連携協定を結んだからこそのありがたい部分でした。
アシュアード様には、私たちの方針の基礎となるガイドライン及び柏市の情報セキュリティポリシーをしっかり読み込み、ご理解いただいたうえでサポートいただきました。
一般的な企業と異なる自治体特有のニュアンスも踏まえたうえで、共通言語で会話ができたことはありがたかったです。
選定基準・評価基準策定の際には、こちらも分からないことは率直に質問し、Assuredとしての見解を示していただきながら、深い議論ができたと考えています。
これらは通常のサービス利用では得られなかった成果だと思いますし、包括連携協定を結んだからこそのありがたい部分でした。
そのようにご評価いただき大変光栄です。
ここからは、Assuredの実際のご活用方法についてお聞かせください。まず、評価の対象とするサービスに基準を設けられていますか?
田北様:
庁内で外部サービスの新規導入をする際は基本的にすべてセキュリティ評価を実施しています。
担当課でクラウドサービスの比較検討を進め、ある程度どのクラウドサービスを利用するか決まった段階でセキュリティ評価を受けていただくようにしています。
庁内で外部サービスの新規導入をする際は基本的にすべてセキュリティ評価を実施しています。
担当課でクラウドサービスの比較検討を進め、ある程度どのクラウドサービスを利用するか決まった段階でセキュリティ評価を受けていただくようにしています。
外部サービスの利用については議会承認が必要となるかと思います。承認後にAssuredによるセキュリティ評価結果に懸念があり利用できなかったということはないでしょうか?
田北様:
おっしゃるとおり、予算確保がない状態で特定の事業者と契約はできないため、公募・調達の段階でクリアすべきセキュリティ基準を定め、事業者の皆さまに提示しています。こうした事前のフィルターを設けることで、一定のセキュリティ基準を満たしたサービスのみが比較検討の段階に進むようにしています。
おっしゃるとおり、予算確保がない状態で特定の事業者と契約はできないため、公募・調達の段階でクリアすべきセキュリティ基準を定め、事業者の皆さまに提示しています。こうした事前のフィルターを設けることで、一定のセキュリティ基準を満たしたサービスのみが比較検討の段階に進むようにしています。
公募の段階で一定の基準を満たしていたものの、実際にセキュリティ評価を実施してみて何かしらの懸念が発見されることもあるかと思います。その場合の対応はどうされているのでしょうか?
恩田様:
まずは、そのクラウドサービスを利用予定の担当課に、「こういったリスクがある」ということを認識してもらうようにしています。
そのリスクに対して、どのような対策・準備をすべきかをDX推進課から担当課に示すことで、リスクを回避し、最終的に利用可とすることが多いです。
もちろん、明らかに基準を満たしていないものは利用不可としますが、それ以外はある程度柔軟に対応する方針です。
まずは、そのクラウドサービスを利用予定の担当課に、「こういったリスクがある」ということを認識してもらうようにしています。
そのリスクに対して、どのような対策・準備をすべきかをDX推進課から担当課に示すことで、リスクを回避し、最終的に利用可とすることが多いです。
もちろん、明らかに基準を満たしていないものは利用不可としますが、それ以外はある程度柔軟に対応する方針です。
今後は、新規導入時に加えて、定期的なセキュリティ評価の実施を検討
Assuredを活用して、今後取り組んでいきたいことなどはございますか?
恩田様:
現在は新規導入のクラウドサービスのみをAssuredのセキュリティ評価の対象としているので、今後は、導入済みのクラウドサービスも定期的にセキュリティ評価を実施し、セキュリティ基準を維持しているか、懸念だった点を改善できているかどうかを確認していけるとよいなと考えています。
新規導入から再評価、最終的にはサービスの利用終了までのライフサイクルをうまく回せるようなフローをつくっていきたいですね。
田北様:
他の自治体も同様ですが、秋から冬にかけてが予算編成および外部サービスの契約対応が重なり、繁忙の時期が偏りがちなため、そこにセキュリティ評価対応が加わると二重三重で負担となってしまいます。年間を通じてどのようなスケジュール感で進めていくべきかは整理していく必要があると考えています。
また、セキュリティ評価の前段として、担当課からの相談窓口を整理し、導入時のフローなどを明確に示していくことも重要なポイントだと思っています。
現在は新規導入のクラウドサービスのみをAssuredのセキュリティ評価の対象としているので、今後は、導入済みのクラウドサービスも定期的にセキュリティ評価を実施し、セキュリティ基準を維持しているか、懸念だった点を改善できているかどうかを確認していけるとよいなと考えています。
新規導入から再評価、最終的にはサービスの利用終了までのライフサイクルをうまく回せるようなフローをつくっていきたいですね。
田北様:
他の自治体も同様ですが、秋から冬にかけてが予算編成および外部サービスの契約対応が重なり、繁忙の時期が偏りがちなため、そこにセキュリティ評価対応が加わると二重三重で負担となってしまいます。年間を通じてどのようなスケジュール感で進めていくべきかは整理していく必要があると考えています。
また、セキュリティ評価の前段として、担当課からの相談窓口を整理し、導入時のフローなどを明確に示していくことも重要なポイントだと思っています。
定期評価も含め、必要性を感じながらも、セキュリティに対する予算確保に悩まれている自治体、企業のお声をよくいただきます。御市ではどのように合意形成をされているのでしょうか?
田北様:
柏市では、電算業務に関わる予算については、DX推進課が予算査定のサポートを行っています。
当課がシステム利用料や、業務委託の内容などを精査しており、Assuredの利用に関する予算査定もこのなかに含まれています。
そのため、セキュリティ評価(Assured)を含むセキュリティ対策の必要度については、当課が主導となって予算立てをしているため、予算を確保しやすいという面はあるかと思います。
恩田様:
万が一セキュリティ事故が起きた場合の市民の方々の影響や、市としての対応を考えれば、十分見合ったコストだと捉えています。
田北様:
これはAssuredでセキュリティ評価をしてみて分かったことですが、基準に満たず利用不可となったサービスもゼロではありません。つまり、セキュリティ対策が不十分なサービスはやはり存在しているということです。何かあってからでは遅い、というのはまさにその通りで、「セキュリティ評価を実施している」という確固たるステップを踏んでいることこそが重要だと感じています。
恩田様:
加えて、Assured様のような外部の専門機関が評価してくれているという「お墨付き」がつくことで、安心感に繋がります。
私どもとしては、Assuredのセキュリティ評価を元に利用可としたということを外部に周知できるという面でもメリットがあると考えています。
田北様:
利用可の場合だけでなく、利用不可とした場合も、なぜ不可だったのかをAssuredの評価を元に明示できるのも大きなポイントですね。
特に、市民サービスに影響するものであれば尚更、第三者機関による評価を得て利用しているということが示せるかどうかは重要です。
柏市では、電算業務に関わる予算については、DX推進課が予算査定のサポートを行っています。
当課がシステム利用料や、業務委託の内容などを精査しており、Assuredの利用に関する予算査定もこのなかに含まれています。
そのため、セキュリティ評価(Assured)を含むセキュリティ対策の必要度については、当課が主導となって予算立てをしているため、予算を確保しやすいという面はあるかと思います。
恩田様:
万が一セキュリティ事故が起きた場合の市民の方々の影響や、市としての対応を考えれば、十分見合ったコストだと捉えています。
田北様:
これはAssuredでセキュリティ評価をしてみて分かったことですが、基準に満たず利用不可となったサービスもゼロではありません。つまり、セキュリティ対策が不十分なサービスはやはり存在しているということです。何かあってからでは遅い、というのはまさにその通りで、「セキュリティ評価を実施している」という確固たるステップを踏んでいることこそが重要だと感じています。
恩田様:
加えて、Assured様のような外部の専門機関が評価してくれているという「お墨付き」がつくことで、安心感に繋がります。
私どもとしては、Assuredのセキュリティ評価を元に利用可としたということを外部に周知できるという面でもメリットがあると考えています。
田北様:
利用可の場合だけでなく、利用不可とした場合も、なぜ不可だったのかをAssuredの評価を元に明示できるのも大きなポイントですね。
特に、市民サービスに影響するものであれば尚更、第三者機関による評価を得て利用しているということが示せるかどうかは重要です。
最後に、クラウドサービスの安心・安全な利用に向けて対応を検討されている自治体様へのメッセージをぜひお願いします。
田北様:
職員がクラウドサービスのセキュリティ評価を実施している自治体には、Assuredのような有識者による第三者評価サービスを活用するのは有効だと思います。
導入前に、現在すでに作られているセキュリティアセスメントとの差分を検証することも可能ですので、まずはAssuredに相談してみることをおすすめします。
恩田様:
個人では、スマホでさまざまなアプリやサービスを日常的に利用しますが、セキュリティについて気にしたことがある人はあまり多くないと思います。そのくらい、利便性を追求する一方で、セキュリティ対策に着目するのは未だに一般的ではない印象です。
しかし、インターネットを通じたシステム、サービスにはさまざまなリスクが存在するなか、これらに対してどう対策していくかが重要です。
こうした認識がより広まり、より安全にクラウドサービスを業務利用できるよう、全自治体がセキュリティ対策を徹底するような風潮ができるといいなと考えています。
職員がクラウドサービスのセキュリティ評価を実施している自治体には、Assuredのような有識者による第三者評価サービスを活用するのは有効だと思います。
導入前に、現在すでに作られているセキュリティアセスメントとの差分を検証することも可能ですので、まずはAssuredに相談してみることをおすすめします。
恩田様:
個人では、スマホでさまざまなアプリやサービスを日常的に利用しますが、セキュリティについて気にしたことがある人はあまり多くないと思います。そのくらい、利便性を追求する一方で、セキュリティ対策に着目するのは未だに一般的ではない印象です。
しかし、インターネットを通じたシステム、サービスにはさまざまなリスクが存在するなか、これらに対してどう対策していくかが重要です。
こうした認識がより広まり、より安全にクラウドサービスを業務利用できるよう、全自治体がセキュリティ対策を徹底するような風潮ができるといいなと考えています。
私たちも、社会全体のセキュリティ意識向上に寄与できるよう、引き続き邁進してまいります。この度は貴重なお話をありがとうございました。
関連記事
CONTACT
資料請求・お問い合わせはこちら
商談やサービス利用のご相談はこちら
サービス概要資料はこちら