政府機関が利用するクラウドサービスのセキュリティを評価する「ISMAP(イスマップ)」。政府機関のセキュリティ基準が明確化することで、行政機関だけでなくクラウドサービスを導入したいと検討している企業にとっても導入の円滑化が図れると期待されている。では、ISMAPとは具体的にどのようなものなのか。この連載では、ISMAPについて解説する。

クラウドサービスの各種セキュリティ基準・ガイドライン検討の流れ

 クラウドサービスはその利便性、コストパフォーマンスの良さから利用を求められる一方、セキュリティに対する不安が、利用を妨げる要因になることが多く、クラウドサービスが広まり始めた2010年前後から、各国でクラウドのセキュリティガイドラインなどの検討が盛んになった。日本においても官民問わず、さまざまなクラウドサービス向けのセキュリティ基準や評価制度が検討、発行されてきた。

 例えば、11年4月に経済産業省から「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」が発行され、12年9月には「情報セキュリティ管理基準」をもとにクラウドサービス向け管理策を規定した「クラウド情報セキュリティ管理基準」が経済産業省から委託を受けた特定非営利活動法人 日本セキュリティ監査協会(JASA)から発行された。また、総務省からも14年4月「クラウドサービス提供における情報セキュリティ対策ガイドライン」が発行された。そして、これらの検討結果を踏まえ、日本が中心になってクラウドサービス向けの国際標準化を進め、「ISO/IEC 2017:2015 ISO/IEC 27002にもとづくクラウドサービスのための情報セキュリティ管理策のための実践規範」の発行に至った。

日本政府におけるクラウドサービス利用促進

 前述のように日本は、クラウドサービスの利用普及のための取り組みに熱心であった。そして、いよいよ日本政府の情報システムに、クラウドサービスを積極利用することが18年6月「政府情報システムにおけるクラウドサービスの利用に係る基本方針(クラウド・バイ・デフォルト方針)」と「未来投資戦略2018(閣議決定)」により、宣言された。だが、政府機関などがクラウドサービスを利用するためには、その安全性を評価する仕組みが必要であった。

 そのため、経済産業省・総務省が事務局となり、18年8月から20年3月まで「クラウドサービスの安全性評価に関する検討会」を開催し、情報セキュリティ、クラウドサービス、審査・評価・監査などに知見を持つ有識者が既存の国内外の各種基準、評価・認証制度などを参考に、日本独自のクラウドサービスのセキュリティを評価する方法を検討した。その安全評価方法は、経済産業省事業「令和元年度内外一体の経済成長戦略構築にかかる国際経済調査事業(クラウドサービスのトラスト確保に係る調査)」でシミュレーションを通して、その実効性を評価し、見つかった課題などをフィートバックした上で、最終的に「クラウドサービスの安全性評価に関する検討会とりまとめ」としてまとめられた。
 
クラウドサービス利用促進の流れ