ASP・SaaS安全性・信頼性に関わる情報開示認定制度とは
この制度は、平成19年11月に総務省から公表された「ASP・SaaS 安全・信頼性に係る情報開示指針(第1版)」に基づき、一般財団法人マルチメディア振興センターが平成20年4月より「ASP・SaaS 安全・信頼性に係る認定制度」として創設し、現在は特定非営利活動法人ASP・SaaS・IoT クラウド コンソーシアムが運用しているものになります。これまでに238件(165事業者)のサービスが認定を取得しています(*1)
(*1):平成30年3月19日時点の「ASP・SaaS情報開示認定制度」全体としての件数
制度の目的
この制度の目的は、クラウドサービスの利用を考えている企業や地方公共団体など(以下、ユーザー)が事業者やサービスを比較、評価、選択を容易にするため、「安全性」や「信頼性」に関する情報を、その事業者が適切に公開しているかどうかをユーザーに代わり中立的な立場の第三者が審査・認定することにより、クラウド(ASP・SaaS)の利用を推進することを目的としています。
制度の背景
多くの事業者・サービスの中から、ユーザーの選定基準を満たすサービスレベルを有しているものを見つけ出すのは容易なことではありません。複数のサービスを比較したくても、事業者毎に提供される情報は標準化されておらず、高度な専門知識がないと理解できない情報も少なくありません。また、ユーザーにとって重要な情報を提供していない業者の場合には、他サービスとの比較自体が出来ないことになってしまいます。
制度の特長
本制度では情報開示項目を規定し、クラウド(ASP・SaaS)の高度な専門知識をもっていなくとも審査基準や審査内容が理解できるような項目毎に記述され、一部の項目については一定の基準を満たしていることが認定の条件となっています。そのため、サービス選択時に一般的なユーザーが知りたい項目について、基準を満たしているかどうかを容易に確認することが出来るようになっています。
申請・審査対象項目について
申請の際には、各々の審査項目に関して回答内容を疎明する資料の提示が求められており、通常ユーザー自らが確認することが難しい事業者の内部文章であるインフラ運用の計画書・手順書、情報セキュリティの管理基準や、契約時点あるいは契約後にならないと入手できない文章であるサービスレベルアグリーメントなどの93項目(最大合計)で審査されています。
審査対象項目の一部
- 目標稼働率
- 実績稼働率
- バックアップの周期、保存期間
- 大規模災害への備えとしての多重化
- 情報セキュリティに関する規定等の整備
- SLA(サービスレベルアグリーメント)
- 回線
- サーバ設置場所
- サービスサポート
- セキュリティ対策(ユーザー認証の方法、接続元制限の有無、第三者による脆弱性診断の対象や頻度、障害監視、ウイルスチェック、ログ等