その他

【クラウドサービス事業者必見~政府情報システムのためのセキュリティ評価制度(ISMAP)解説~・最終回】クラウドサービス事業者にとってのISMAP登録とは

2022/03/01 09:00

 前回は、クラウドサービスに求められる管理策の概要と、対応にあたっての基本的な留意点を解説した。今回の記事では、留意点の続きとISMAP登録のメリットと今後について紹介し、最終回とする。
 

クラウドサービス事業者によるISMAP対応に関する留意点 

 クラウドサービスの形態はさまざまであるが、例えば基盤部分で他事業者が提供するIaaSなどを利用し、アプリケーションサービスを提供するSaaS事業者は非常に多い。このような事業者がISMAP登録を目指す際に、ISMAP管理基準にどこまで対応すれば良いのか疑問がよく発生する。

 勘違いされることも多いが、提供するクラウドサービスの対象範囲がSaaSのように狭義であったとしても、ISMAP管理基準で規定される、情報セキュリティガバナンス(ガバナンス基準)、情報セキュリティマネジメント(マネジメント基準)の整備・運用は必須である。クラウドサービスのセキュリティを確保する前提として、事業者として、情報セキュリティを統制、管理する体制やプロセスを備えていることは必須だからである。
次に問題となるのが、クラウドサービス向けの管理策(管理策基準)への対応である。これらの管理策については、自身のクラウドサービスが責任を持つセキュリティ対策・機能、他事業者の提供するクラウドサービスが対応するセキュリティ対策・機能によって対応されるものがある。クラウドサービス事業者は、自身と他事業者の責任範囲を明確に認識し、各管理策をどちらが対応しているか明らかにする必要がある。
 
他クラウドサービスを利用するクラウドサービス事業者におけるISMAP対応

 クラウドサービス事業者の中には、サービス範囲が狭義のSaaSなどのクラウドサービスを提供する際は、IaaSなどのクラウドサービス事業者に比べ、ISMAP登録の準備にかかる負荷が大きく軽減されるのではないかと想定する事業者も多いが、政府機関などに導入されるクラウドサービスである以上、一定のセキュリティを確保する必要があり、現時点で大きな軽減は発生しない。クラウドサービス特有の管理策に関し、ISMAP登録済みの他クラウドサービスが行う一部管理策について、言明の対象範囲外になる程度である。

 クラウドサービス事業者においては、自身のクラウドサービスに対するセキュリティ機能や対策だけではなく、社としての情報セキュリティガバナンスやマネジメントの整備・運用や、他のクラウドサービスとのセキュリティの切り分けなど、さまざまな対応を行わなければならない。そのため、社内関連部署の協力(担当メンバのリソース確保)に加えて、ISMAP管理策に関する理解を深める必要がある。ただし、ISMAP管理策数は非常に多く、その内容も多岐に渡るため、これらのISMAP管理策を網羅的に理解し、過不足なく対応するためには情報セキュリティに関する高いスキルと多くの稼働が必要となる。負担を軽減するためには、ISMAPに詳しい外部コンサルティングの活用なども検討することが望ましい。

続きは「週刊BCN+会員」のみ
ご覧になれます。

(登録無料:所要時間1分程度)

新規会員登録はこちら(登録無料)

会員特典

詳しく見る
  1. 注目のキーパーソンへのインタビューや市場を深掘りした解説・特集など毎週更新される会員限定記事が読み放題!
  2. メールマガジンを毎日配信(土日祝をのぞく)
  3. イベント・セミナー情報の告知が可能(登録および更新)
    SIerをはじめ、ITベンダーが読者の多くを占める「週刊BCN+」が集客をサポートします。
  4. 企業向けIT製品の導入事例情報の詳細PDFデータを何件でもダウンロードし放題!
  • 1

関連記事

【クラウドサービス事業者必見~政府情報システムのためのセキュリティ評価制度(ISMAP)解説~・1】 政府のクラウドシフトで顕在化した安全性評価制度の必要性

【クラウドサービス事業者必見~政府情報システムのためのセキュリティ評価制度(ISMAP)解説~・2】 ISMAP登録でまず行うべきこととは?

【クラウドサービス事業者必見~政府情報システムのためのセキュリティ評価制度(ISMAP)解説~・3】求められる管理策と留意すべきこと

外部リンク

「ISMAP -政府情報システムのためのセキュリティ評価制度」ポータルサイト=https://www.ismap.go.jp/csm