特集
» 2020年08月12日 07時00分 公開

クラウドサービス選定を効率化する 新セキュリティ評価制度「ISMAP」とは

2020年6月、政府機関のクラウドサービス調達にフォーカスしたセキュリティ評価制度「ISMAP」がついにスタートした。ISMS認証などの評価制度や各種基準とは何が違い、民間企業などではどう生かせるのか? 制度のポイントを整理しておこう。

[土肥正弘,ドキュメント工房]

 「ISMAP」(イスマップ)とは「政府情報システムのためのセキュリティ評価制度(Information System Security Management and Assessment Program)」の略称で、政府機関のクラウドサービス導入/運用時にセキュリティを統一的に評価する制度だ。これまで各省が個別にセキュリティを評価してきたのを改め、共通した基準にのっとりクラウドサービス単位で評価することで、継続的な監査を可能とし、導入の効率化を図る。同時に、要件の抜け漏れなどを防ぎ、ばらつきのないセキュリティ確保も可能にするのが目的だ。

 「ISMAP」は、国が新しく策定した基準をベースに、第三者である監査機関がクラウドサービス単位でセキュリティ実装状態や運用状況を監査し、その結果を踏まえてISMAP運営委員会が基準に適合していることを確認したサービスをリストアップする。ITを導入したい組織は自身が行うべき設定などを含めたセキュリティ対策と追加的に必要な個別要件だけをチェックすれば導入が可能になるため、クラウドサービス導入時の作業負担が軽減でき、要件のばらつきを抑えることができるようになる。

 政府機関のIT調達のための制度だが、制度設計の前から民間企業・組織による評価結果の活用も視野に入れられており、企業の情報システム担当者にとってもその基準や登録リストは大いに参考となるだろう。またクラウドサービスを提供する側にも、政府基準への適合や監査の実施は幅広いユーザーのセキュリティ懸念を低減できるメリットがある。

 図1に制度の枠組みと制度運用の流れを示す。制度の所管は内閣官房(NISC[内閣サイバーセキュリティセンター]、IT室)・総務省・経済産業省であり、NISCが事務局を担当、IPA(独立行政法人情報処理推進機構)が制度の運用や技術の支援をする。

「ISMAP」制度の基本的な流れ 図1 「ISMAP」制度の基本的な流れ

(注)制度運用実務と評価にかかわる技術的な支援はIPAが担当し、監査機関の評価および管理に関する業務は特定非営利活動法人 日本セキュリティ監査協会(JASA)に再委託される。

「ISMAP」の成り立ち、クラウド・バイ・デフォルトで考える

 多くの民間組織と同様に政府機関の情報システム導入も、いわゆる「クラウドファースト」という考え方に舵を切っている(クラウド・バイ・デフォルト原則)。これを基本的なIT導入方針としたのが2018年6月のことだ。それから2年、既存の政府の統一基準と国際的なセキュリティ標準との整合などを検討してセキュリティ基準と監査ルールが整えられてきた。

 従来「ISMS認証(情報セキュリティマネジメントシステム適合性評価制度)」をはじめとしたセキュリティ認証制度や各種セキュリティ基準、ガイドラインがあるが、クラウドサービスをサービス単位でセキュリティ評価および運用を継続的に監査する仕組みはこれまでになかった。「ISMAP」では、図2に示すような規定や規則、管理基準、監査基準、ガイドラインなどの文書が用意され、クラウドサービス事業者(以下、CSPと表記)も監査機関も、これら文書に基づいて申請をし審査を受けることになる。現在は監査機関の登録審査が行われているところで、CSPによるクラウドサービスの登録申請はこれからの段階だ。順次、登録申請を審査して、2021年の初め(令和2年度内)には登録リスト「ISMAPクラウドサービスリスト」が公開され、制度利用が始まる見込みだ。

「ISMAP」制度の規定・規則・管理基準・監査基準などの構成 図2 「ISMAP」制度の規定・規則・管理基準・監査基準などの構成

クラウドファースト方針を取る国外事例を参考に政府の「お墨付き」を与える

 同じくクラウドファーストの方針をとっている米国政府とオーストラリア政府は、第三者が評価したクラウドサービスをレベル別にリストアップし、マーケットプレースや専用Webサイトで公開している。英国はクラウドサービスプロバイダーの自己宣言情報をマーケットプレースに公開する形で政府機関が自己判断する方法を採っている。「ISMAP」はこういった国外事例も参考にし、政府のいわば「お墨付き」となるクラウドサービスリストを公開する。

 ただし、会計監査のように監査法人が監査内容を保証する形ではなく「監査機関が実施状況の事実確認を行うが、意見の表明や判断はしない方法=助言型」で、一部にAUP(Agreed Upon Procedures:合意された手続き)と呼ばれる監査方法の要素を取り入れている。つまり、リストに載っているからといって直ちにセキュリティが保証されるというものではなく、客観的な基準と手続きで適切に監査されたサービスであることが確認できるというわけだ。この方法をとることで、監査機関として監査法人ばかりでなく、セキュリティ専門企業なども登録できるという。セキュリティ確保の最終的な責任は利用者の側が負うことになることはこれまでと変わらないが、セキュリティ評価のコストと労力が大幅に削減できることは確実だ。

「ISMAP」のセキュリティ管理基準の要素とは

 「ISMAP」のコア部分となるのは新しく策定されたセキュリティ管理基準と、それに基づいた監査方法・ルールの規定である。監査項目は約1200項目あり、その監査方法の全ては公開されないが、セキュリティ管理基準は既存のセキュリティ規格や政府の統一基準がほとんどそのまま採用されているので、クラウドサービスがこれらの規格や基準をクリアしていればリストに登録されることになる。以下では、「ISMAP」のセキュリティ管理基準の要素とクラウドサービスの提供側、ユーザー側それぞれが注意すべきポイントを見ていきたい。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。