令和元年度内外一体の経済成長戦略構築にかかる国際経済調査事業（クラウドサービスのトラスト確保に係る調査）報告書

この報告は、クラウドサービスのトラスト確保に係る調査について書かれた報告書である。経済産業省が実施した令和元年度の国際経済調査事業として、NTTテクノクロス株式会社が「Data Free Flow with Trust」のコンセプトに基づき、クラウドサービスの安全性評価制度の実効性を検証した。調査では、クラウドサービスプロバイダ11社と監査法人3社が参加し、ISO27001及び27017に基づく管理基準約1200項目について監査シミュレーションを実施した。プロジェクトごとに管理策を分担し、4つのグループに分けて各章を割り当て、重要な管理策については複数のプロジェクトで検証することで精度を向上させた。調査結果では、本制度の管理基準は国際規格と同等の内容を含み、FedRAMPやSOC1/SOC2等の他の認証制度との互換性があることが確認された。また、CSPが制度の枠組みで対応可能であり、監査主体による監査実施も可能であることが実証された。一方で、様々な形態のクラウドサービスに対応するため、登録の柔軟性確保や軽微な発見事項への対応、管理策の具体化、標準監査手続きの作成、英語対応等の改善要望が提起された。特に、クラウド技術の進歩に対応した管理策の見直し、差分監査の導入、リスクアプローチの採用、責任範囲の明確化等が重要な課題として指摘された。制度運用においては、監査負担の軽減と効率的なプロセス構築が求められている。