前回は、クラウドサービスに求められる管理策の概要と、対応にあたっての基本的な留意点を解説した。今回の記事では、留意点の続きとISMAP登録のメリットと今後について紹介し、最終回とする。
クラウドサービス事業者によるISMAP対応に関する留意点
クラウドサービスの形態はさまざまであるが、例えば基盤部分で他事業者が提供するIaaSなどを利用し、アプリケーションサービスを提供するSaaS事業者は非常に多い。このような事業者がISMAP登録を目指す際に、ISMAP管理基準にどこまで対応すれば良いのか疑問がよく発生する。
勘違いされることも多いが、提供するクラウドサービスの対象範囲がSaaSのように狭義であったとしても、ISMAP管理基準で規定される、情報セキュリティガバナンス(ガバナンス基準)、情報セキュリティマネジメント(マネジメント基準)の整備・運用は必須である。クラウドサービスのセキュリティを確保する前提として、事業者として、情報セキュリティを統制、管理する体制やプロセスを備えていることは必須だからである。
次に問題となるのが、クラウドサービス向けの管理策(管理策基準)への対応である。これらの管理策については、自身のクラウドサービスが責任を持つセキュリティ対策・機能、他事業者の提供するクラウドサービスが対応するセキュリティ対策・機能によって対応されるものがある。クラウドサービス事業者は、自身と他事業者の責任範囲を明確に認識し、各管理策をどちらが対応しているか明らかにする必要がある。
他クラウドサービスを利用するクラウドサービス事業者におけるISMAP対応
クラウドサービス事業者の中には、サービス範囲が狭義のSaaSなどのクラウドサービスを提供する際は、IaaSなどのクラウドサービス事業者に比べ、ISMAP登録の準備にかかる負荷が大きく軽減されるのではないかと想定する事業者も多いが、政府機関などに導入されるクラウドサービスである以上、一定のセキュリティを確保する必要があり、現時点で大きな軽減は発生しない。クラウドサービス特有の管理策に関し、ISMAP登録済みの他クラウドサービスが行う一部管理策について、言明の対象範囲外になる程度である。
クラウドサービス事業者においては、自身のクラウドサービスに対するセキュリティ機能や対策だけではなく、社としての情報セキュリティガバナンスやマネジメントの整備・運用や、他のクラウドサービスとのセキュリティの切り分けなど、さまざまな対応を行わなければならない。そのため、社内関連部署の協力(担当メンバのリソース確保)に加えて、ISMAP管理策に関する理解を深める必要がある。ただし、ISMAP管理策数は非常に多く、その内容も多岐に渡るため、これらのISMAP管理策を網羅的に理解し、過不足なく対応するためには情報セキュリティに関する高いスキルと多くの稼働が必要となる。負担を軽減するためには、ISMAPに詳しい外部コンサルティングの活用なども検討することが望ましい。
ISMAP登録のメリットと今後
ISMAPは、クラウドサービスにおいて網羅的で過不足のないセキュリティ対策・機能を整備・運用し、信頼のおける第三者が一定の品質を保った外部監査を行うことで、対象クラウドサービスが安全性を確保している確認する仕組みであり、ISMAクラウドサービスリストに登録、公開することで、クラウド利用を検討する者への参考となる。
日本政府は、クラウドサービスを積極的に利用する方針であり、利用促進の仕組みとして、ISMAPの運用を開始した。2020年6月開始時点では、政府機関を対象に運用していたが、2022年4月1日からは、独立行政法人、指定法人の調達においてもISMAPの適用が開始される予定である。また、実際にガバメントクラウドの調達案件で、デジタル庁及び地方自治体が利用するクラウドサービスに対しISMAP登録を要件とする事例も登場した(2021年10月4~15日公募「デジタル庁におけるクラウドガバメント整備のためのクラウドサービス提供-令和3年度地方公共団体による先行事業及びデジタル庁WEB構築業務」)。今後、公共分野においてISMAP登録を要件とする調達案件は増えていくことになるだろう。
なお、ISMAPは、制度検討段階から地方自治体や重要産業に展開していくことを想定して作られた制度である。将来的には、公共分野に限らず、民間で高いセキュリティを求められる各種産業にも適用されることが予測される。また、正式な適用前であっても、ISMAPの知名度が広がれば、安全なクラウドサービスとして、ISMAP登録しているクラウドサービスから、利用するクラウドサービスを選ぶ動きが出てくる可能性もある。
クラウドサービス事業者は、これらの動向を見据え、自身が提供するクラウドサービスのうち、高いセキュリティ要件を求められる分野向けのサービス、重要な情報を取り扱うサービスなどについて、ISMAPへの対応または登録の必要性を検討することを推奨する。なお、ISMAPクラウドサービスリストの登録は、2021年3月の初回公開から2021年12月20日更新によって、初回の7社10サービスから、22社34サービスまでに増えている。登録事業者・サービスも、国内外最大規模のクラウドサービス事業者、IaaS系サービスの他に、大規模クラウドサービス事業者、Web会議、ファイル共有、その他業務系アプリケーションサービスなどが徐々に含まれるようになった。これらのことからISMAPを必要と判断するクラウドサービス事業者が増えていることが窺える。また、ISMAP登録そのものは行わなくとも、国内外のセキュリティ規格・基準を検討した上で制定されたISMAP管理基準を参照し、あるべきセキュリティ対策の見直しや改善を行うことは、自身のセキュリティを向上させるのに役立つものである。
ISMAPは、運用開始して間もない制度であり、ISMAP規程類や手続きの改定、FAQの追加など、適宜、見直し・改善を行っている制度でもある。クラウドサービス事業者がISMAP対応のための負担の大きさや管理策の難解さなどを感じることも多いため、クラウドサービス事業者からも、ISMAP制度に関する改善の要望や意見などを積極的に提示することを期待する。
■執筆者プロフィール
中田美佐(ナカダ ミサ)
NTTテクノクロス セキュアシステム事業部 アーキテクト
各社に対するセキュリティの整備、構築、運用コンサルティングに従事。「JASA-クラウドセキュリティ推進協議会」の主要ワーキンググループメンバーとしても活動している。
