2018年(平成30年)6月に、政府は「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(平成30年6月7日 各府省情報化統括責任者(CIO)連絡会議決定)を定め、クラウド・バイ・デフォルト原則を掲げる一方で、「未来投資戦略2018」(平成30年6月15日閣議決定)、及び「サイバーセキュリティ戦略」(平成30年7月27日閣議決定)において、クラウドサービスの安全性評価に関する検討の必要性が位置付けられた。
これを受け、同年8月から2019年(令和元年)12月にかけて、総務省と経済産業省が事務局となり、「クラウドサービスの安全性評価に関する検討会」を開催し、2020年(令和2年)1月にはパブリックコメントを経たとりまとめが行われた。また、これらの閣議決定等を踏まえ、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和2年1月30日サイバーセキュリティ戦略本部決定)において、本制度の①基本的枠組み、②各政府機関等における利用の考え方、③所管と運用体制が決定された。
基本的枠組みを受け、2020年(令和2年)5月25日に本制度の最高意思決定機関として有識者と制度所管省庁(内閣官房(内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室)・総務省・経済産業省)を構成員としたISMAP運営委員会を設置するとともに、同年5月26日に第1回ISMAP運営委員会を開催し、委員会において制度に関する各種規程等が決定され、制度が立ち上げられた。同年8月には当該規程等に基づいた審査を経たISMAP監査機関リストが公開された。2021年(令和3年)3月には、本制度で定められた基準に基づいたセキュリティ対策を実施していることが確認されたクラウドサービスのリストがISMAPクラウドサービスリスト8として公開された。
テレワークは、時間や場所を有効に活用でき、柔軟な働き方を実現するだけでなく、感染症の拡大予防や、災害発生時も含めた業務継続という観点からも有効かつ重要である。一方、テレワークの実施に当たっては、インターネットを利用したり、端末の持ち出しや私用端末の利用も想定されたりすること等から、組織内利用のみを想定していた従来のセキュリティ対策に加えて、テレワーク的な視点からもセキュリティ対策を実施する必要がある。実際に、テレワーク導入企業に対して実施したアンケートでも、セキュリティ確保が最大の課題とされている9。
総務省では、こうしたセキュリティ上の不安を払拭し、安心してテレワークを導入・活用していただくため、2004年(平成16年)から「テレワークセキュリティガイドライン」10を策定している。感染症対応を契機として、テレワークによる勤務が一部の従業員に限ったものから、より一般的な形態になるなど、テレワークを取り巻く環境が変化しているほか、クラウドの活用進展やサイバー攻撃の高度化などセキュリティ動向の変化も生じていることから、実施すべきセキュリティ対策や具体的なトラブル事例などを全面的に見直す改定を2021年(令和3年)5月に行った。
また、中小企業等をはじめ、テレワークが幅広く浸透する中で、セキュリティの専任担当がいない場合や、担当が専門的な仕組みを理解していない場合も想定され、こうした場合でもガイドラインに沿ったセキュリティ対策は欠かせないものの、個別に十分な検討を行うことが現実的に難しい面もあるため、総務省では、最低限のセキュリティを確実に確保していただくことに焦点を絞った「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」を2020年(令和2年)9月に策定し、2021年(令和3年)5月にガイドライン改定と合わせて改定を行った。
無線LANは家庭や職場、外出先での公衆無線LANサービスに代表されるように幅広く利用が進んでいるが、適切なセキュリティ対策をとらなければ、無線LAN機器を踏み台にした攻撃や情報窃取が行われるおそれがある。そのため、総務省では、無線LANのセキュリティ対策について、利用者・提供者のそれぞれに向けたガイドラインを策定しており、2020年(令和2年)5月に、新技術や最新のセキュリティ動向に対応した改定版を公表している11。
無線LANの利用者に向けた「Wi-Fi利用者向け 簡易マニュアル」では、利用者が留意すべきセキュリティ対策として、①接続するアクセスポイントをよく確認、②正しいURLでHTTPS通信をしているか確認、③自宅に設置している機器の設定を確認、の3つのポイントを示した上でそれぞれについて解説を加えている。
無線LANの提供者に向けた「Wi-Fi提供者向け セキュリティ対策の手引き」では、飲食店や小売店等をはじめとする無線LANを提供する幅広い方々が、提供に当たってどのようなセキュリティ上のリスクがあり、どのようなセキュリティ対策をすればよいかを確認できるようにしている。
8 ISMAPクラウドサービスリスト:https://www.ismap.go.jp/csm?id=cloud_service_list
9 テレワークセキュリティに係る実態調査(2020年度2次実態調査):https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
10 テレワークにおけるセキュリティ確保:https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
11 無線LANの安全な利用について:https://www.soumu.go.jp/main_sosiki/cybersecurity/wi-fi/