政府機関が利用するクラウドサービスのセキュリティを評価する「ISMAP(イスマップ)」。政府機関のセキュリティ基準が明確化することで、行政機関だけでなくクラウドサービスを導入したいと検討している企業にとっても導入の円滑化が図れると期待されている。では、ISMAPとは具体的にどのようなものなのか。この連載では、ISMAPについて解説する。
クラウドサービスの各種セキュリティ基準・ガイドライン検討の流れ
クラウドサービスはその利便性、コストパフォーマンスの良さから利用を求められる一方、セキュリティに対する不安が、利用を妨げる要因になることが多く、クラウドサービスが広まり始めた2010年前後から、各国でクラウドのセキュリティガイドラインなどの検討が盛んになった。日本においても官民問わず、さまざまなクラウドサービス向けのセキュリティ基準や評価制度が検討、発行されてきた。
例えば、11年4月に経済産業省から「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」が発行され、12年9月には「情報セキュリティ管理基準」をもとにクラウドサービス向け管理策を規定した「クラウド情報セキュリティ管理基準」が経済産業省から委託を受けた特定非営利活動法人 日本セキュリティ監査協会(JASA)から発行された。また、総務省からも14年4月「クラウドサービス提供における情報セキュリティ対策ガイドライン」が発行された。そして、これらの検討結果を踏まえ、日本が中心になってクラウドサービス向けの国際標準化を進め、「ISO/IEC 2017:2015 ISO/IEC 27002にもとづくクラウドサービスのための情報セキュリティ管理策のための実践規範」の発行に至った。
日本政府におけるクラウドサービス利用促進
前述のように日本は、クラウドサービスの利用普及のための取り組みに熱心であった。そして、いよいよ日本政府の情報システムに、クラウドサービスを積極利用することが18年6月「政府情報システムにおけるクラウドサービスの利用に係る基本方針(クラウド・バイ・デフォルト方針)」と「未来投資戦略2018(閣議決定)」により、宣言された。だが、政府機関などがクラウドサービスを利用するためには、その安全性を評価する仕組みが必要であった。
そのため、経済産業省・総務省が事務局となり、18年8月から20年3月まで「クラウドサービスの安全性評価に関する検討会」を開催し、情報セキュリティ、クラウドサービス、審査・評価・監査などに知見を持つ有識者が既存の国内外の各種基準、評価・認証制度などを参考に、日本独自のクラウドサービスのセキュリティを評価する方法を検討した。その安全評価方法は、経済産業省事業「令和元年度内外一体の経済成長戦略構築にかかる国際経済調査事業(クラウドサービスのトラスト確保に係る調査)」でシミュレーションを通して、その実効性を評価し、見つかった課題などをフィートバックした上で、最終的に「クラウドサービスの安全性評価に関する検討会とりまとめ」としてまとめられた。
クラウドサービス利用促進の流れ
ISMAPの初年度動向
これらの検討を経て、20年6月、日本初の国によるクラウドサービスのセキュリティ評価制度である「政府情報システムのためのセキュリティ評価制度(ISMAP)」の運用が開始された。公式のISMAPポータルサイトでは、制度の枠組みやクラウドサービス事業者(Cloud Service Provider、CSP)が行うべき管理策や申請手続き、監査機関が行うべき外部監査などについて規定したISMAP規程類などが公開された。この制度は、CSPがISMAP管理基準に従い、各管理策を整備・運用し、CSPが言明した通りに管理策が整備・運用されていることを信頼できる第三者:監査機関が外部監査により確認し、その結果を申請し、問題がなれば、ISMAPクラウドサービスリストに登録する制度である。
CSPによるISMAP管理基準対応に係る準備期間、監査機関による外部監査の実施期間などの関係から、20年10月に申請受付を開始し、21年3月12日に初回リストに、NTTデータ、富士通、Google、セールスフォース・ドットコム、Amazon、NEC、KDDIなど、7社10サービスが登録された。
ISMAPサービスリストの公開を以って制度の利用が開始され、政府機関などは原則、本リストに登録されたクラウドサービスから自身の要件に一致するサービスを選択、利用する。政府機関などにクラウドサービスを提供するCSPは、ISMAPへの登録が必須となるのである。
ただし、関係者にかかる負担を考慮し、初年度においてはISMAP管理基準に基づく管理策の整備監査を以って申請を受け付けることや、リストの利用ができない場合の暫定措置(暫定措置期間中の申請予定を以って、対象クラウドサービスの利用を許可するなど)も公表し、制度を普及させるための工夫を行っている。
今後のスケジュール
[次のページ]ISMAP登録を調達要件とする「ガバメントクラウド」公募案件の登場
