前回は、クラウドサービス事業者向けに規定されたISMAP管理基準の概要を解説するとともに、ISMAP登録においてクラウドサービス事業者はクラウドサービスを提供する部門だけではなく、セキュリティ管理に関わる他部門の協力が必要であることを説いた。今回の記事では、クラウドサービスに求められる管理策の概要と対応にあたっての留意点について紹介する。
 

ISMAP管理基準における管理策概要

　ISMAP管理基準は、以下に示すように情報セキュリティに関する国際規格、国内および国外基準などを参考に策定された。
 
　国際規格については、情報セキュリティガバナンスのプロセスを規定するJIS Q 27014、業種・業態などを問わず、情報セキュリティマネジメントの要求事項と一般的なセキュリティ管理策を規定するJIS Q 27001、左記管理策を実現するための手段などを規定するJIS Q 27002が、全てISMAP管理基準に盛り込まれた。

　ISMAPはクラウドサービス向けの評価制度であるが、クラウドサービスの安全性を確保するためには、まず一般的なセキュリティ管理が行われていなければならないと考えられたからである。特に、情報セキュリティガバナンスやマネジメントは、事業者（組織）としてのセキュリティへの取り組みを示すものであるため、全て必須としている。

　その上でクラウドサービス向け管理策については、クラウドサービス向けの国際規格であるJIS Q 27017を盛り込み、さらに日本政府機関向けの管理策を定めた統一基準や米国クラウド評価制度の管理策を規定したSP800-53から、日本の政府機関など向けのクラウドサービスに対し必要となる管理策を選択し、ISMAP管理基準に盛り込んだ。なお、統一基準は「政府機関等の情報セキュリティ対策のための統一基準（平成30年度版）」で、2021年7月に「政府機関等のサイバーセキュリティ対策のための統一基準群（令和3年度版）」に改訂された。

　また、ISMAP管理基準の管理策において、達成すべきセキュリティの統制目標を3桁管理策として規定し、統制目標を実現するための具体的な手段などを4桁管理策として規定している。クラウドサービス事業者は、整備・運用するセキュリティ対策や機能として4桁管理策単位で自らが行っている内容を明らかにし、証跡などをそろえる必要がある。

管理策対応における基本的な留意点

　クラウドサービス事業者が行うセキュリティ対策や機能は、クラウドサービスにおいて必要とするセキュリティレベルやサービス仕様などに応じて異なるものである。そのため、管理策基準の4桁管理策は全て実施するものではなく、クラウドサービス事業者がISMAP登録対象のクラウドサービスに応じて、取捨選択するべきものであることに留意すべきである。管理策の取捨選択においては、情報セキュリティマネジメントプロセスにおいて行うリスクアセスメントが重要な役割を果たすことにも留意すべきある。
 
　なお、ISMAPにおいては、政府機関など向けのクラウドサービスに必須とする4桁管理策32項目を規定しているが、原則上記を必須とし、他の4桁管理策についてはクラウドサービスごとに採用／非採用を選択し、採用する4桁管理策について自らが行っている内容を明らかにした上で証跡を揃えること、非採用とする4桁管理策について非採用の理由を明らかにすれば良い。

　また、管理策基準で規定される各管理策は、ISMAP登録対象のクラウドサービス（およびサービスを構成するシステム）においてのみ整備・運用されることではない。例えば、対象クラウドサービスを開発、運用する上で使用する、クラウドサービス事業者の社内環境、物理的な会社ビルやフロア、社内システム・ネットワークなどにおいて、管理策基準に則った、適切な管理策を整備・運用している必要があることに留意すべきである。

※次回はクラウドサービス事業者にとってのISMAP登録とは（予定）

■執筆者プロフィール
中田美佐（ナカダ ミサ）
NTTテクノクロス　セキュアシステム事業部 アーキテクト
各社に対するセキュリティの整備、構築、運用コンサルティングに従事。「JASA-クラウドセキュリティ推進協議会」の主要ワーキンググループメンバーとしても活動している。