IT技術が日々発展し続けている現代ですが、クラウドの普及速度は、海外と比べても日本は遅いと言われています。
日本の政府で利用するクラウドサービスに必要な要件を定める評価制度が制定されました。
それがISMAP(イスマップ)です。
ISMAPは今後、政府にクラウドサービスが利用される場合の基準となるもので、官公庁や一般企業のクラウドサービス適用基準としても利用されるといわれています。
今回は、そんなISMAPについて概要から施行の背景、基本的な仕組み、クラウド事業者がISMAPに認定されるための準備について記載します。
LRMでは、ISMAP登録支援コンサルティングサービスを行っています。
訪問回数無制限、チームによるご支援体制など、安心してお任せください。
まずはお気軽にこちらから無料相談/お問い合わせください。
ISMAPとは
ISMAP(Information system Security Management and Assessment Program: 通称、ISMAP(イスマップ))は日本政府によるクラウドサービスのセキュリティ評価を行う制度です。
日本語では「政府情報システムのためのセキュリティ評価制度」と呼ばれ、政府機関のクラウドサービス調達のセキュリティレベルを担保し、クラウドサービスの円滑な導入を行えるようにすることを目的としています。
管理基準の構成は「ガバナンス基準」、「マネジメント基準」「管理策基準」の 3 つから構成され、
ISMAP管理基準は JIS Q(ISO/IEC)27001、27002、27014、27017といったISO27000シリーズなどの、複数のガイドラインを参照、組み合わせて構成されています。
運営者は「内閣サイバーセキュリティセンター」「デジタル庁」「総務省」「経済産業省」で、独立行政法人情報処理推進機構(IPA)が制度運用に係る実務と評価への技術的な支援を行います。
ISMAPでは、クラウドサービスを監査機関に登録依頼し、規程に基づいていることが認められた場合にはISMAPクラウドサービスリストへ登録します。
このリストは一般に公開されており、政府だけでなく官公庁や民間企業もクラウドサービスのセキュリティが評価されていることを確認できる仕組みとなっています。
ISMAPが施行される背景
2018年6月、政府情報システムを整備する際にはクラウドサービスを第一候補とする「クラウド・バイ・デフォルト原則」が示されました。
各府省情報化統括責任者(CIO)連絡会議決定における「政府情報システムにおけるクラウドサービスの利用に係る基本方針」として提案されており、日本政府においてもクラウドサービスを全面的に利用することに舵を切ったものです。
しかし、この時点では日本は国家としてクラウドサービスの安全性を評価・認定する仕組みが存在していませんでした。
クラウドサービスの利用においては、セキュリティ面でのリスクが伴います。
特に政府情報システムにおいて扱われる情報は、機密情報や個人情報なども含まれるため安全性の確保が必要です。これを受けて評価・認定制度を策定することとなり、施行されたのがISMAPです。
ISMAPの基本的な仕組み
ISMAPでは、以下を含む規程が運営委員会により定められています。
- クラウドサービス登録申請者に対する要求事項
- 情報セキュリティ管理・運用の基準となる管理基準
- 監査機関登録申請者に対する要求事項
クラウドサービスをISMAPクラウドサービスリストに登録するためには、上記の要求事項、管理基準を満たす必要があります。
このISMAPクラウドサービスリストへサービスを登録する流れは下記となります。
- クラウドサービス事業者がISMAPへサービスの登録を望む場合、ISMAP監査機関リストより監査機関を探し、監査を依頼します。
- ISMAP監査機関は管理基準に基づいた情報セキュリティ対策の実施状況について監査を行います。
- ISMAP運営委員会は、監査されたクラウドサービス事業者からの申請を受けて、クラウドサービス登録申請者に対する要求事項への適合状況を審査します。
登録が妥当と判断されたクラウドサービスは、ここで晴れてISMAPクラウドサービスリストに登録されます。
このISMAPクラウドサービスリストは調達府省庁等に参照され、ISMAP運用開始後は掲載されているクラウドサービスの中から調達が行われます。
ISMAP施行によって政府情報システムの調達はどう変わるか
2021年3月にISMAPの運用が開始しており、原則としてISMAPクラウドサービスリストに登録されたサービスから、政府の情報システムの調達が行われるように変わっています。
つまり、政府の情報システムにクラウドサービスが選定されるには、ISMAPクラウドサービスリストへ登録されることが必須となります。
またISMAPクラウドサービスリストは一般に公開されています。
ISMAPへの登録は上記の通り、監査や審査といったプロセスを経てサービスのセキュリティが評価されたことを示すものです。
政府だけに限定されず、官公庁や民間企業がクラウドサービスの選定を行う際にも基準や参考として活用されると考えられます。
ISMAPに認定されるには
ISMAPクラウドサービスリストへ登録されるためには、クラウドサービス事業者は以下のような準備が必要となります。ここでは、ISMAP運営委員会の出している、「ISMAP管理基準」に基づいて解説します。
適用範囲の検討・方針の決定
ここで主にやることとしては、下記が挙げられます。
- 対象のサービスの検討
- 対象とするサービスの決定
- 社内体制等の確認
- スケジュールの作成
まずは、ISMAP登録を目指すサービスを決定し、スケジュールの作成と取り組みの基本方針を決定していきます。
外部監査を受ける前の準備段階として、情報セキュリティマネジメントを確立、導入、運用、監視、レビュー、維持及び改善するために、ISMAP登録を目指すサービスの適用範囲を決定し、スケジュールの作成と取り組みの基本方針を決定していきましょう。
適用範囲を決める際、考慮するポイントは以下のように記載されています。
引用元:ISMAP運営委員会「ISMAP管理基準」
- 自らの事業
- 体制
- 所在地
- 資産
- 技術の特徴
- 外部及び内部の課題
- 利害関係者の情報セキュリティに関連する要求事項
- 組織が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関
また、方針の確立の際は、以下を満たす組織の情報セキュリティ方針を確立すると記載されています。
引用元:ISMAP運営委員会「ISMAP管理基準」
- 組織の目的に対して適切であること
- 情報セキュリティ目的、又は情報セキュリティ目的を設定するための枠組
- 情報セキュリティに関連して適用する要求事項を満たすことへのコミットメントを含むこと
- 情報セキュリティマネジメントの継続的改善へのコミットメントを含むこと
また、情報セキュリティ方針は、情報セキュリティマネジメントにおける判断の基盤となる考え方なので、作成する際には、組織の戦略に従って慎重に作成しましょう。
リスクアセスメント
ここで主にやることとしては、下記が挙げられます。
- 情報資産の洗い出し
- リスク分析
- リスク対応計画作成
- 残留リスクの承認
リスクアセスメントでは、情報資産の特定、リスク分析を進めつつベースライン分析を用いてコンサルタントと一緒に組織の対策を練っていきます。
リスクアセスメントとは、現状の発生しうるリスクの大きさを分析し、それに基づいて対策する事象の優先度を決め、リスクの除去又は低減の措置を検討する仕組みです。
洗い出されたリスクに対し、ISMAP で定められた要求事項と基準を満たすべく、統制目標と個別管理策を設計します。
外部及び内部の課題を洗い出して、リスクが実際に生じた場合に、起こり得る結果や発生頻度を分析し「リスク受容基準」「情報セキュリティリスクアセスメントを実施するための基準」を決めましょう。
また、リスク受容基準には「組織の価値観」「目的」の他にも「発生頻度」「利害関係者の見解」などもあわせて考慮しましょう。
文書の作成
ここで主にやることとしては、下記が挙げられます。
- 規程の作成、もしくは既存規程を修正
「適用範囲の検討・方針の決定」「リスクマネジメント」を終えた後は、規定の文章を作成します。
対策の実施
ここで主にやることとしては、下記が挙げられます。
- 個別管理策の実施、実装
対策の実施を行い、その成果の状況を確認します。
たとえば、テレワークを許可している組織の場合は、建物や周辺環境の物理的セキュリティを考慮に入れる対策を実施する必要があります。
内部監査の実施
ここで主にやることとしては、下記が挙げられます。
- 内部監査計画の立案
- 内部監査の実施
- 内部監査の報告書の作成
ISMAP監査機関による監査の実施の前に、クラウドサービス事業者やその支援サービス提供者による内部監査を行います。
内部監査の実施は任意ですが、実際の監査を行う前に対策や状況を確認するために重要です。
自社の詳しい人材か、コンサルタントなどの外部業者内部監査員として各種チェックを実施します。
監査機関の決定・契約の締結・監査
ここで主にやることとしては、下記が挙げられます。
- 監査機関の選定、監査を依頼
- 監査機関と契約の締結
- 監査機関とクラウド提供事業者間の間で契約を締結
- 監査機関による監査を受ける
ISMAP監査機関から監査を行う機関を選択し、契約を締結、監査を実施します。
監査が無事にクリアできるように、事前に入念な準備やチェックを行いましょう。
修正すべきポイントが見つかった際は、監査後の改善対応も実施しましょう。
IPAへサービス登録申請
ここで主にやることとしては、下記が挙げられます。
- 申請書の作成
- IPAにサービス登録申請
ISMAPの審査を受けるには、「申請書」が必要になり、これらを ISMAP 運用支援機関(IPA)に提出して登録申請を行います。
クラウドサービスリストの登録有効期限は、登録の対象となった監査の対象期間の末日の翌日から1年4ヶ月後です。
そのため、クラウドサービス事業者は登録の有効期限までに、登録の更新を申請しなければなりません。
下記のページから提出書類チェックリストと共にダウンロードできます。
具体的な書類は、例えば「言明書」「経営者確認書」「実施結果報告書」「改善計画書」などが挙げられます。
また、この申請書類に記載した内容が登録時に公開されますので、それらを前提に書類を作成する必要があります。
LRMのISMAP登録支援コンサルティングサービス
クラウドサービス事業を行ううえで、ISMAPに登録されることは大きなメリットを持ちます。
政府の情報システムの調達元のリストに名を連ねるだけでなく、セキュリティ評価に関してお墨付きをもらえる仕組みでもあるからです。
クラウドサービス事業者からすれば、ISMAPに登録することで官公庁や民間企業に対してもセキュリティに関する評価を保証することができる仕組みでもあります。
しかし、ISMAPへの認定にはセキュリティ対策の立案、実施、そして書類作成と監査などの手続きが必要となります。
クラウドサービス事業者にとっても、認定のための取り組みを一から行うことは大きな負担となってしまいます。
そのような場合に活用できるのが、LRM株式会社の提供するISMAP登録支援コンサルティングサービスです。
クラウドセキュリティに関して豊富な知見を持つコンサルタントが、ISMAP登録までのサポートを行います。
訪問回数無制限、書類の作成はコンサルタントが実施、チームによる安心できる支援体制という特色を持ちます。
まとめ
ISMAPは日本政府によるクラウドサービス事業者のセキュリティ評価を行う制度です。
直接的には、ISMAPの要件を満たし監査を通ることでISMAPクラウドサービスリストに登録されると、政府の情報システムの調達先の選択肢となることができます。
またこのリストは一般公開されているため、官公庁や民間企業などのクラウドサービス選定の基準としても重要となることが想定されています。
ISMAPに登録されるには、要求基準を満たしたセキュリティ対策、管理が必要となるため、支援コンサルティングサービスを利用することも検討ください。
LRMでは、ISMAP登録支援コンサルティングサービスを行っています。
訪問回数無制限、チームによる支援体制など、安心してお任せください。
まずはお気軽にこちらから無料相談/お問い合わせください。