前回は、クラウドサービスのセキュリティの評価制度ISMAPとはどのようなものか、その動向を含めて紹介した。クラウドサービス事業者がクラウドサービスをISMAPに登録するには、ISMAP管理基準に準拠する必要があるが、今回の記事では、ISMAP管理基準の概要と、クラウドサービス事業者が、まず行うべき事項について説明する。
 

ISMAP管理基準　クラウドサービス事業者向け規程

　ISMAP管理基準は、以下に示す通り、ガバナンス基準、マネジメント基準、管理策基準の3部から構成される。
 
　ISMAPは、クラウドサービス単位のセキュリティ評価制度であり、当該クラウドサービスにおける管理策は管理策基準に規定されている。ただし、それ以前にセキュリティを確保するための前提としてクラウドサービスを提供する事業者としては情報セキュリティガバナンスを、組織として情報セキュリティマネジメントを適切に整備・運用していることが必須であり、そのために、ガバナンス基準とマネジメント基準を規定している。

　情報セキュリティガバナンスとは、経営層が、事業者として情報セキュリティに関する統制を効かせられるようにするためのプロセス・仕組みを整備・運用することであり、ガバナンス基準ではそのための要件を規定している。そして、組織内に情報セキュリティを構築、運用、維持、改善するための仕組みとして、情報セキュリティマネジメントを導入する必要があり、マネジメント基準では、そのための要件を規定している。

　対象クラウドサービスをISMAPに登録するためには、事業者としてのセキュリティへの取り組みが必須である。その上で、対象クラウドサービスにおいて、利用用途や取り扱う情報、必要とするセキュリティレベルなどに従い、個々のセキュリティ管理策や機能を整備・運用する必要がある。この個々の管理策を規定しているのが管理策基準である。