政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 通称、ISMAP(イスマップ))が開始されて約3年半が経ちました。ISMAPは中央省庁、独立行政法人及び指定法人がクラウドサービスを導入する際に、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入を推進することを目的とした制度です。
本ブログではISMAPの概要と要求事項について説明します。
ISMAPの歩み
2018年6月、政府は2017年5月の閣議決定された「世界最先端IT国家創造宣言・官民データ活用推進基本計画」及び高度情報通信ネットワーク社会推進戦略本部・官民データ活用推進戦略会議決定された「デジタル・ガバメント推進方針」をもとに「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を定め、クラウド・バイ・デフォルト原則を掲げました。翌7月には「サイバーセキュリティ戦略」において「クラウド化の推進等による効果的なセキュリティ対策」を推進することが位置づけられました。
その後、様々な検討が行われ2020年1月に「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」においてISMAPの基本的な枠組みが完成し、同年6月にISMAPが開始されました。
さらにその翌年3月からは政府機関によるISMAPの利用が開始され、また同年末において27のクラウドサービスが登録されました。
2022年11月にはリスクの小さな業務・情報の処理に用いるSaaS サービスを対象としてISMAP for Low-Impact Use: 通称、ISMAP-LIU(イスマップ エルアイユー)が開始されました。
2023年10月時点では51のクラウドサービスが登録されており、今後ISMAPの制度改善や政府機関外でのISMAPの高まりを踏まえると、クラウドサービスの登録は増えるのではないか考えています。
ISMAPの要求事項
ISMAPは3つの基準で構成されています。
参照:政府情報システムのためのセキュリティ評価制度(ISMAP)の概要 - NISC・デジタル庁・総務省・経済産業省
ガバナンス基準及びマネジメント基準は、情報セキュリティマネジメントシステムの根幹です。従って、ISMAPでは実施が必須です。
管理策基準では、ISMAPに登録するクラウドサービスの情報セキュリティマネジメントに関する内容です。整備しているセキュリティコントロール及びその実施事項について丁寧な説明が必要です。
ISMAPの監査
ISMAPを取得するためにはISMAP運営委員会の認定を受けた監査法人による監査を受ける必要があります。監査法人はクラウドサービスプロバイダが言明したISMAP要求事項に対し、言明した通りに実施されているかを確認します。
監査における手続は整備状況評価と運用状況評価の2種類で構成されております。
整備状況評価とは監査対象期間内の一時点において整備していることを評価するものであり、運用状況評価とは監査の対象期間にわたり有効に運用されていることを評価するものです。尚、ガバナンス基準とマネジメント基準は整備状況評価のみとなります。
また、監査では主に5種類の証跡を求められます。それらは「規程、手順書等」、「根拠となる文書・記録等① サンプルテストを実施しないもの(設計書、仕様書等)」、「根拠となる文書・記録等② サンプルテストを実施するもの(申請書、承認記録、システムログ、台帳等)」、「根拠となる設定(パラメータ、ステータス、コマンド等)」、「設備・建物等」となります。
監査対象期間は最長で1年となり、毎年ISMAPを維持するために監査を受ける必要があります。そのため監査に掛かる費用や時間は膨大となりISMAP申請への課題となっています。2023年10月からの制度改善により監査の負担は軽減されると思われますが、まだ始まったばかりのためその効果を計ることは難しいですが、少しでもISMAPへ登録するクラウドサービスが増えることに繋がればと思います。
ISMAPの基準はISO27001、27002、27017、NISCの統一基準、及びNIST SP800-53を参考に作成されており、また日本政府が設立した評価制度のため審査が高い制度です。これを考慮すると、クラウドサービス導入時の一つの評価基準となります。
SAPは、主要なクラウドサービスを順次ISMAクラウドサービスリストに登録するプロジェクトを進めていまおり、2024年2月時点で、SAP S/4 HANA Cloud、SAP Business Technology Platform及びSAP SuccessFactorsの3サービスが登録されています。次回以降は、ISMAP制度を少し深掘りします。
You must be a registered user to add a comment. If you've already registered, sign in. Otherwise, register and sign in.
User | Count |
---|---|
12 | |
11 | |
10 | |
10 | |
8 | |
7 | |
6 | |
6 | |
6 | |
5 |