新着情報 |
ニュースリリース
2024/05/28
エントラストジャパン株式会社
キヤノンITソリューションズ株式会社
さくらインターネット株式会社
日本電子計算株式会社
データ適正消去実行証明協議会(ADEC)
エントラストジャパン株式会社(本社:東京都港区、代表取締役 松﨑 隆伸、以下:エントラストジャパン)、キヤノンITソリューションズ株式会社(本社:東京都港区、代表取締役社長 金澤 明、以下:キヤノンITS)、さくらインターネット株式会社(本社:大阪府大阪市、代表取締役社長 田中 邦裕、以下:さくらインターネット)、日本電子計算株式会社(本社:東京都千代田区、代表取締役社長 茅原 英徳、以下:JIP)、データ適正消去実行証明協議会(事務局:東京都港区、会長:田中 邦裕、以下:ADEC)は、デジタル庁が推進しているガバメントクラウド(※1)と呼ばれるパブリック・クラウド環境において、保存されたデータの消去を行う際に必要とされる、NIST SP800-88Rev.1(※2)に準拠した、暗号鍵の抹消によるデータの暗号化消去を行い、同時に、そのプロセスを審査・認証することにより、生成されたログを利用した暗号化消去成立の証明が可能であることを確認しました。また、実証実験内では仙台市の協力を得てCSC(クラウドサービスカスタマ)側での実運用を行い消去証明書発行までの一連のフローが実行可能なことが確認されました。
地方自治体では、令和7年度までにシステムの標準化、およびガバメントクラウド等への対応を行うことが要求されています。その際、クラウド上に保存されたデータの抹消が必要な場合は、ISMAP(※3)管理基準に準拠した暗号化消去を用いることが必要です。
ADECでは、今回の実証実験の成果を用いて、暗号化消去の実行を証明するため、クラウドサービスを対象とした認証制度の構築および運用を2024年内に開始する予定です。また、最終的には認証を取得したクラウドサービスの暗号化消去の実行を担保する、消去証明書発行を目指してまいります。
※ 記載されている社名・製品名・サービス名は、各社の商標または登録商標です。
「暗号化消去」とは、情報を電磁的記録媒体に暗号化して記録しておき、情報の抹消が必要になった際に情報の復号に用いる鍵を抹消することで情報の復号を不可能にし、情報を利用不能にする論理的削除方法であるため、①クラウド上に情報の保存を開始する時点から暗号化が有効になっていること、②暗号化された情報の復号に用いる鍵(暗号鍵)が厳重に管理されていること、の2点が重要であり、システム運用に関する規定類に、必要とされる項目が網羅され、守られていることを確認する必要があります。また、ガバメントクラウドやISMAPは、米国のFedRAMP(※4)を参考にしているため、ISO/IEC27017(※5)だけではなく、NIST SP800-53Rev.4(※6)で定められた要求項目についても満足する必要があり、特に暗号化機能の管理に関しては、FIPS140-2/3(※7)に適合したHSM(※8)の使用が求められています。こうした状況を踏まえ、以下の2件の実証実験を行いました。
上記2件の実証実験において、ADECが策定するチェックリストに従い審査を受けたシステム運用を行っているクラウドシステムにおいては、システムが生成するログを使用して、データの確実な消去の確認ができ、証明書の発行が可能であることが証明されました。
ADECでは、従来のローカルに保存されたデータのみならず、今後はデータセンターやクラウド等の大規模システムに対しても、暗号化/暗号鍵管理/暗号化消去のシステム実装・管理に関する審査・認証を行い、認証されたシステム上に保存された機密情報の消去(暗号化消去)の実行に対するデータ消去証明書を発行してまいります。また、本取組みに参加いただける自治体(CSC)とクラウド環境を提供する事業者(CSP:クラウドサービスプロバイダ)を募集します。
現在、自治体では政府が推奨するクラウド・バイ・デフォルト原則に従い、システムとデータをクラウド環境に置くことで業務を効率化することを推進しており、ガバメントクラウドもその一環となっています。データ漏洩対策や、利用中止の際に必要となるデータ消去を考慮して、ガバメントクラウドの要求仕様書やISMAP管理規定では、暗号化消去が求められています。しかし、暗号化消去の実装/運用/動作確認を精緻に行える認証制度は存在していませんでした。
そこでADECは、実装状態の検証・認証を第三者証明サービスとして提供することで、この状況を解消すべく、2022年10月から長野県塩尻市で実際のシステム構成/運用管理に関する実証実験を行う等、着々と準備を整えてきました。(https://adec-cert.jp/news/detail.php?no=1677809520)
今回、これに引き続き、暗号化消去の成立を証明するために必要となる、システム運用/暗号鍵管理プロセスの認証を提供する事を目的として作成した、審査用のチェックリストの妥当性について、2ヵ所のフィールドで実証実験を行い、いずれにおいても、このチェックリストに従ったシステムの運用によって生成されたシステムのログを利用することで、適正なデータの消去証明書の発行が可能となることが証明され、このチェックリストの有用性が確認されました。
これからもADECは、地方自治体のみならず、民間企業に対しても、データ適正消去の第三者証明サービスとして、暗号化消去の普及を推進していきます。特に、地方自治体においては、ADECの第三者消去証明サービスを利用することにより、住民のデータを適切に管理していることを証明することが可能となるため、住民への説明責任を果たすことができます。
実施期間: | 2023年11月~2024年3月 |
---|---|
対象: | JIPの自治体向けクラウド環境に検証用暗号化ボリュームを設定し、仮想のユーザデータを作成・保存。暗号鍵管理と消去を実施 |
プロセス: |
|
実施期間: | 2024年1月~3月 |
---|---|
対象: | さくらインターネットの自治体向けサービスにおいて、仙台市向けのデータベースを暗号化。その後、鍵の消去を実施。 |
プロセス: |
|
ADECでは、引き続き本実証実験の参加者とも協力し、年内を目標にして暗号化消去の実行を証明するためにクラウドサービスを対象とした認証制度の構築/運用を開始する予定です。最終的には認証を取得したクラウドサービスの暗号化消去実行を担保する消去証明書の発行を実現する方針です。
エントラストジャパンは1998年設立以来、暗号化、認証、デジタル署名の分野で様々なPKIベースのセキュリティを提供しています。特に暗号鍵を安全に保護する「ハードウェアセキュリティモジュール(nShield HSM)」と、クラウドや仮想環境に存在する暗号鍵やSecretなどをコンプライアンスを準拠しつつ一元管理できる「Entrust KeyControl」は公共機関、金融機関をはじめとした様々な分野でのセキュリティ強化を実現してまいります。
キヤノン ITS は、キヤノン MJ グループの中期経営計画で掲げている ITS 事業拡大を主導する会社として、システムインテグレーションモデル・サービス提供モデル・ビジネス共創モデルの拡大に向けた取り組みを推進しています。 IT インフラに関するすべての領域に対応するサービス「SOLTAGE」ブランドのもと、クラウドセキュリティ領域をはじめとするサービスラインアップの拡充に継続して取り組むとともに、セキュリティ対策や情報漏えい対策に課題を抱えるお客さまを支援する体制を強化してまいります。
さくらインターネットは、1996年創業のインターネット企業です。個人から法人、文教・公共分野まで、さまざまなお客さまのニーズに合わせ、「さくらのレンタルサーバ」「さくらのVPS」「さくらのクラウド」などのクラウドコンピューティングサービスを自社運営の国内のデータセンターを生かし提供しています。「さくらのクラウド」は、2023年度にデジタル庁が募集した「ガバメントクラウド整備のためのクラウドサービス」に条件付きで認定されました。「『やりたいこと』を『できる』に変える」のビジョンのもと、あらゆる分野に対応するDXソリューションを提案します。
日本電子計算株式会社は、1962年の設立以来、証券分野の総合システム、自治体分野の総合行政サービスなどで豊富な実績を有するほか、銀行、大学、教育などの各分野でも多くのITシステムの提供や関連サービスを提供しています。今回、実証実験にて使用した「Jip-Base」は、複雑化する社会情勢や災害リスクへ対応する新たなインフラ基盤を、マルチベンダ・マルチキャリアを前提に自由度の高い構成で設計し、運用サービスを含めて提供するトータルなクラウドサービスにて、多くの地方公共団体様にご利用いただいています。
仙台市は人口100万人以上を有し、日本・東北地方の政治と経済の中心地です。大都市でありながら、自然と調和した「杜の都」として知られています。市内を流れる広瀬川、そしてケヤキ並木といった美しい自然があります。市内中心部も緑にあふれ、木々が生い茂る通りや公園がたくさんあります。
ADECは、データの適正な消去のあり方を調査・研究し、その技術的な基準を策定するとともに、これに基づいてデータの適正消去が実行されたことを証明するための第三者的な証明制度の普及・啓発を図り、我が国における健全で安心安全な循環型IT社会の実現に寄与することを目的としています。 詳細はWebサイトをご参照ください。URL:http://www.adec-cert.jp/
〇データ適正消去実行証明協議会(ADEC) 広報担当:鈴木
〒107-0052 東京都港区赤坂1-3-6 赤坂グレースビル(SAJ内)
e-mail:adec_info@saj.or.jp