その他

【クラウドサービス事業者必見~政府情報システムのためのセキュリティ評価制度(ISMAP)解説~・3】求められる管理策と留意すべきこと

2022/02/01 09:00

 前回は、クラウドサービス事業者向けに規定されたISMAP管理基準の概要を解説するとともに、ISMAP登録においてクラウドサービス事業者はクラウドサービスを提供する部門だけではなく、セキュリティ管理に関わる他部門の協力が必要であることを説いた。今回の記事では、クラウドサービスに求められる管理策の概要と対応にあたっての留意点について紹介する。
 

ISMAP管理基準における管理策概要

 ISMAP管理基準は、以下に示すように情報セキュリティに関する国際規格、国内および国外基準などを参考に策定された。
 
「管理基準の構成と考え方」
※出展元:経済産業省・総務省「クラウドサービスの安全評価に関する検討会とりまとめ
(令和2年1月 クラウドサービス安全評価に関する検討会)」における「管理基準の構成と考え方」

 国際規格については、情報セキュリティガバナンスのプロセスを規定するJIS Q 27014、業種・業態などを問わず、情報セキュリティマネジメントの要求事項と一般的なセキュリティ管理策を規定するJIS Q 27001、左記管理策を実現するための手段などを規定するJIS Q 27002が、全てISMAP管理基準に盛り込まれた。

 ISMAPはクラウドサービス向けの評価制度であるが、クラウドサービスの安全性を確保するためには、まず一般的なセキュリティ管理が行われていなければならないと考えられたからである。特に、情報セキュリティガバナンスやマネジメントは、事業者(組織)としてのセキュリティへの取り組みを示すものであるため、全て必須としている。

 その上でクラウドサービス向け管理策については、クラウドサービス向けの国際規格であるJIS Q 27017を盛り込み、さらに日本政府機関向けの管理策を定めた統一基準や米国クラウド評価制度の管理策を規定したSP800-53から、日本の政府機関など向けのクラウドサービスに対し必要となる管理策を選択し、ISMAP管理基準に盛り込んだ。なお、統一基準は「政府機関等の情報セキュリティ対策のための統一基準(平成30年度版)」で、2021年7月に「政府機関等のサイバーセキュリティ対策のための統一基準群(令和3年度版)」に改訂された。

 また、ISMAP管理基準の管理策において、達成すべきセキュリティの統制目標を3桁管理策として規定し、統制目標を実現するための具体的な手段などを4桁管理策として規定している。クラウドサービス事業者は、整備・運用するセキュリティ対策や機能として4桁管理策単位で自らが行っている内容を明らかにし、証跡などをそろえる必要がある。

続きは「週刊BCN+会員」のみ
ご覧になれます。

(登録無料:所要時間1分程度)

新規会員登録はこちら(登録無料)

会員特典

詳しく見る
  1. 注目のキーパーソンへのインタビューや市場を深掘りした解説・特集など毎週更新される会員限定記事が読み放題!
  2. メールマガジンを毎日配信(土日祝をのぞく)
  3. イベント・セミナー情報の告知が可能(登録および更新)
    SIerをはじめ、ITベンダーが読者の多くを占める「週刊BCN+」が集客をサポートします。
  4. 企業向けIT製品の導入事例情報の詳細PDFデータを何件でもダウンロードし放題!
  5. 企業向けIT製品の導入事例情報の掲載が可能(登録および更新)自社の導入事例を無料でPRできます。
  6. ※会員登録フォーム内、「ITベンダー登録」欄での申請が必要です。
  • 1

関連記事

【クラウドサービス事業者必見~政府情報システムのためのセキュリティ評価制度(ISMAP)解説~・1】 政府のクラウドシフトで顕在化した安全性評価制度の必要性

【クラウドサービス事業者必見~政府情報システムのためのセキュリティ評価制度(ISMAP)解説~・2】 ISMAP登録でまず行うべきこととは?

自治体のリフト&シフトを進める ガバメントクラウド

外部リンク

「ISMAP -政府情報システムのためのセキュリティ評価制度」ポータルサイト=https://www.ismap.go.jp/csm

おすすめ記事