2020年12月

企業のITセキュリティ講座

日本政府がクラウドサービス評価制度「ISMAP」を公開

ライター・吉澤亨史

日本政府は、政府の情報システムのためのセキュリティ評価制度「ISMAP」を公開した。これは、政府がクラウドサービスを調達する際に要求するセキュリティ基準であり、この要求を満たしたクラウドサービスを評価・登録するもの。今後は一般企業でもクラウドサービスを選ぶ際の指針になる可能性が高い。ここでは、ISMAPの概要と目的、内容について紹介する。

「ISMAP」の目的と概要

クラウドサービスの文脈で、「ISMAP」という言葉を目にすることが多くなってきた。ISMAPは、内閣官房、総務省、経済産業省により設立された「政府情報システムのためのセキュリティ評価制度」のことである。ISMAPは、この英訳である「Information system Security Management and Assessment Program」を略した通称名であり「イスマップ」と読む。

ISMAPの目的は、政府がクラウドサービスを調達する際に、そのセキュリティレベルを判断できるようにするための基準を定めること。政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することで、円滑な導入を実現するための制度である。つまり、ISMAPに登録されていないクラウドサービスは、政府が導入検討する情報システムの対象とされない可能性が高い。

あくまで政府が情報システムを調達するための指針といえるが、政府から業務を請け負う大企業もISMAPを参考にすると考えられ、それが下請けとなる中堅・中小企業にも適用される可能性もある。つまり、日本の全ての企業がISMAPをクラウドサービス利用の指針として活用する可能性があるわけだ。

ISMAPの始まりは、2018年にCIO連絡会議で決定された「政府情報システムにおけるクラウドサービスの利用に係る基本方針」にさかのぼる。この基本方針において、政府の情報システムの調達に「クラウド・バイ・デフォルト原則」が採用された。これは、調達するシステムの第一候補にクラウドサービスの利用を検討するというもの。

同年6月に閣議決定された「未来投資戦略2018」において、「クラウドサービスの多様化・高度化に伴い、官民双方が一層安全・安心にクラウドサービスを採用し、継続的に利用していくため、情報資産の重要性に応じ、信頼性の確保の観点から、クラウドサービスの安全性評価について、諸外国の例も参考にしつつ、本年度から検討を開始する」とされ、クラウドサービスの安全性評価に関する検討会が開催されている。翌年、「成長戦略2019」および「デジタル・ガバメント実行計画」において、2020年度内の制度利用の開始を決定した。

ISMAPの基本的な流れ

引用元:IPA「政府情報システムのためのセキュリティ評価制度(ISMAP)について」

目次へ戻る

「ISMAP」の運用

ISMAPは、制度所管省庁として総務省、経済産業省、内閣サイバーセキュリティセンター、情報通信技術(IT)総合戦略室があり、これらで構成されたISMAP運営委員会が運営を行う。また、独立行政法人情報処理推進機構(IPA)が、ISMAPの制度運用に係る実務および評価に係る技術的な支援を行う。また、監査機関の窓口として、特定非営利活動法人 日本セキュリティ監査協会(JASA)も参画している。

ISMAPの基本的な枠組みは、「国際標準等を踏まえて策定した基準」に基づき、各基準が適切に実施されているか監査するプロセスを経て、サービスを登録する制度となっている。監査により安全性が評価されたクラウドサービスは「登録簿」に掲載される。各政府機関は、登録簿に掲載されたサービスから情報システムを調達することになる。

そのためISMAP運営委員会では、先行して監査機関の登録を受け付け、審査、登録を行っている。監査機関とは、ISMAPに登録申請を行ったクラウドサービス事業者に対し、監査を行う機関のこと。現在、4社の監査法人がISMAP監査機関として登録されている。なお、監査機関の登録有効期限は申請を行った日から2年間とされており、期限が切れると再度申請を行うことになる。

クラウドサービス事業者は、ISMAP登録への申請を行い、審査を受ける。そして2020年度末、つまり2021年2月~3月までにISMAP運営委員会がサービスの登録を決定し、登録簿に記入。ISMAPクラウドサービスリストとして公開する予定だ。登録は四半期ごとに行うとしている。登録の有効期限は、ISMAPの登録対象となった監査の対象期間の末日の翌日から1年3カ月後までとなる。

ISMAPの今後のスケジュール

引用元:IPA「今後のスケジュール(イメージ)」

目次へ戻る

「ISMAP」の構成と活用

ISMAPの管理基準は、クラウドサービス事業者が管理者層に対して、「(1)セキュリティに関する意思決定や指示等を継続的に実施」し、これを受けたクラウドサービスの「管理者」が「(2)的確にマネジメントを実施」、クラウドサービスの「業務実施者」が実際に「(3)セキュリティ対策を実施していることを確認する」という流れとなる。この(1)から(3)のそれぞれに対して基準を設けている。

管理基準は、(1)はガバナンス基準、(2)はマネジメント基準、(3)は管理策基準となる。実際の管理基準は、「JIS Q(ISO/IEC) 27001、27002」(情報セキュリティマネジメントシステム:ISMS)と、「JIS Q(ISO/IEC) 27017」(クラウドサービスの情報セキュリティに関するマネジメントシステム)を基礎としている。また、「SP800-53」(連邦政府情報システム、および連邦組織のためのセキュリティ管理策とプライバシー管理策)のインシデントレスポンスに関する内容を中心に、(1)、(2)に含まれない観点を追加している。

統一基準の内容を、その趣旨を残したままクラウドサービス事業者向けに書き換え(主語をクラウドサービス事業者、対象をクラウドサービスとする)、(1)に含まれない内容であり、かつクラウドサービス事業者が実施しなければ政府において統一基準を満たすことが難しい内容を追加するとしている。言葉にすると分かりにくいが、ISMSおよびそのクラウドサービス事業者向けの規格であるISO 27017、それにSP800-53を取得していれば、ISMAPの登録は比較的容易であるといえる。

既に登録された4社の監査法人をはじめ、各社がISMAP登録に向けたコンサルティングや助言を行うサービスを開始している。今後はSIerなどの事業者がサービスに参入すると考えられる。クラウドサービス事業者においても、外資系企業やグローバル企業を中心に登録に向けた取り組みを発表している。現在、こうした事業者登録制度は米国の「FedRAMP」など国ごとに制定されており、ISMAPも世界的に注目されている。情報システムをクラウドでサービス提供している事業者は、登録を前提に準備が進んでいくと考えられる。また、今後利用者が自社の情報システムにクラウドサービスを利用する際には、重要な指針の一つとなるであろう。

ISMAP管理基準の構成

引用元:IPA「政府情報システムのためのセキュリティ評価制度(ISMAP)について」

目次へ戻る

関連記事