前回は、クラウドサービス事業者向けに規定されたISMAP管理基準の概要を解説するとともに、ISMAP登録においてクラウドサービス事業者はクラウドサービスを提供する部門だけではなく、セキュリティ管理に関わる他部門の協力が必要であることを説いた。今回の記事では、クラウドサービスに求められる管理策の概要と対応にあたっての留意点について紹介する。
 

ISMAP管理基準における管理策概要

　ISMAP管理基準は、以下に示すように情報セキュリティに関する国際規格、国内および国外基準などを参考に策定された。
 
　国際規格については、情報セキュリティガバナンスのプロセスを規定するJIS Q 27014、業種・業態などを問わず、情報セキュリティマネジメントの要求事項と一般的なセキュリティ管理策を規定するJIS Q 27001、左記管理策を実現するための手段などを規定するJIS Q 27002が、全てISMAP管理基準に盛り込まれた。

　ISMAPはクラウドサービス向けの評価制度であるが、クラウドサービスの安全性を確保するためには、まず一般的なセキュリティ管理が行われていなければならないと考えられたからである。特に、情報セキュリティガバナンスやマネジメントは、事業者（組織）としてのセキュリティへの取り組みを示すものであるため、全て必須としている。

　その上でクラウドサービス向け管理策については、クラウドサービス向けの国際規格であるJIS Q 27017を盛り込み、さらに日本政府機関向けの管理策を定めた統一基準や米国クラウド評価制度の管理策を規定したSP800-53から、日本の政府機関など向けのクラウドサービスに対し必要となる管理策を選択し、ISMAP管理基準に盛り込んだ。なお、統一基準は「政府機関等の情報セキュリティ対策のための統一基準（平成30年度版）」で、2021年7月に「政府機関等のサイバーセキュリティ対策のための統一基準群（令和3年度版）」に改訂された。

　また、ISMAP管理基準の管理策において、達成すべきセキュリティの統制目標を3桁管理策として規定し、統制目標を実現するための具体的な手段などを4桁管理策として規定している。クラウドサービス事業者は、整備・運用するセキュリティ対策や機能として4桁管理策単位で自らが行っている内容を明らかにし、証跡などをそろえる必要がある。