科学技術情報通信部は国家情報院と企業の公共クラウド市場参入に必要な検証手続きを国家情報院の単一検証体制に一本化したと20日に明らかにした。単一体制は約1年の準備期間を経て来年7月から本格施行される。
これまでクラウドサービス企業が公共市場に参入するには科学技術情報通信部のクラウドセキュリティ認証「CSAP」を先に取得した後、国家情報院の「セキュリティ検証」も経なければならなかったが、単一検証体制へと改めるなどの改善策を用意したことが主な骨子である。セキュリティ検証はクラウドコンピューティングサービスについて策定したセキュリティ対策の適合性を検証する手続きだ。CSAP(Cloud Security Assurance Program)はクラウドコンピューティングサービス事業者が提供するサービスについて情報保護基準の遵守可否を評価・認証する制度だ。
科学技術情報通信部は、単一検証体制が施行される前にCSAP認証を受けた製品については有効期間をそのまま認め、検証項目もクラウド技術の特性に合わせて改善し、公共クラウドのセキュリティ水準は強化しつつ企業の負担は軽減する方針だと説明した。
政府はこのような内容を盛り込み、上半期中に「国家クラウドコンピューティングセキュリティガイドライン」などを改正し、1年間の猶予期間を経た後、2027年下半期から本格施行していく予定である。
あわせて、新規検証制度の円滑な施行のため、科学技術情報通信部推薦人事など関係機関および産・学・研の専門家で構成された「民官検証審議委員会」が検証結果の公正性・妥当性を評価し、既存のCSAP評価機関の専門性を新制度に連携して行政の連続性も確保する方針である。
科学技術情報通信部は公共領域のセキュリティ検証を国家情報院基準に合わせて単一化することでセキュリティの信頼性を高めると同時に、民間領域は企業の情報保護管理体系であるISMS(情報保護管理体系)にクラウドサービス分野の自律セキュリティ認証として統合・醸成する計画だ。ISMS(Information Security Management System)は企業のIT情報資産が安全に管理されることを指す。
科学技術情報通信部は今回の体制転換を通じて認証間の類似セキュリティ基準を一つに統合して行政手続きの効率性を極大化し、企業が核心サービスの革新に一層専念できる最適のビジネス環境を造成する見通しだと期待した。
柳済明(リュ・ジェミョン)科学技術情報通信部第2次官は「国家情報院と協力して省庁間の縦割りを大胆に取り払った。これにより韓国企業がセキュリティのハードルを容易かつ迅速に越えられるよう支援する」と述べ、「とりわけ既存企業の投資が無駄にならないよう制度転換期間を付与して産業エコシステムの安定的成長を助ける」と語った。
キム・チャンソプ国家情報院第3次長は「今回の政策でこれまで二重規制で不便を被ってきた企業の課題を解消しつつ、公共用クラウドのセキュリティ水準を高めることに主眼を置いた」と述べ、「企業の負担を緩和する方向で軟着陸できるよう業界と継続的に疎通していく」とした。