JAIPA Cloud Conference 2020の総務省講演レポート
クラウド・バイ・デフォルト原則で重要になる「セキュリティ評価制度(ISMAP)」とは?
2020年09月03日 09時00分更新
ISMAP運営委員会と登録有効期間、管理基準
ISMAPにおける最上位の意思決定機関となるのがISMAP運営委員会である。委員会の構成は有識者と総務省、経済産業省、内閣官房、内閣サイバーセキュリティセンター(NISC)となっており、「有識者委員は、クラウドサービス事業者や監査機関リストへの登録の決定を行なうため、これらの企業と場外での接触がないように、氏名などは非公表にしている」という。
ISMAPの基本的な流れ
一方、クラウドサービス事業者には、申請時の情報提供、登録期間中の対応、管理基準の3点の要求事項が課せられ、リスク評価を行うために必要な情報を提供するほか、重大な影響を及ぼしうる情報セキュリティインシデントが発生した場合には、遅滞なくISMAP運営委員会に報告することや、監査機関の監査を受けなければいけないことなどを示している。
クラウドサービスの登録有効期間は、登録の対象となった監査の対象機関の末日の翌日から、1年4カ月後までとしており、「クラウドサービス事業者は、これを経過するまでに再度監査を受け、登録の更新をする必要がある。監査が終わったとしても、ただちにリストに登録されるわけではなく、すべての手続きが終わって登録される。そのため、リストに登録されている期間は実質1年程度である。基本的には毎年、登録の更新をしてもらう仕組みになっている」と説明した。
管理基準は、経営陣を対象にした「ガバナンス基準」、管理者を対象にした「マネジメント基準」、業務実施者を対象とした「管理策基準」で構成。情報セキュリティに関するJIS Q(ISO/IEC) 27001、27002と、クラウドサービスの情報セキュリティに関するJIS Q(ISO/IEC) 27017を基礎とし、政府機関向けのセキュリティ統一基準の内容に則ることになる。さらに、SP800-53の内容から、FedRAMPによるインシデントレスポンスに関連する内容を中心に項目の追加が行なわれる。「JIS Q(ISO/IEC) 27001、27002やJIS Q(ISO/IEC) 27017を満たしているクラウドサービス事業者にとっては、過大な要求にはなっていないと認識している」とした。
ISMAP管理基準の構成
ISMAP管理基準の構成
ここでは、統制目標とされる3桁管理策(A.x.x.x)と、それを達成するための具体的な手段となる詳細管理策である4桁管理策(A.x.x.x.x)で管理基準を構成していることを示し、「3桁管理策を必須、4ケタ管理策は選択性とし、一部の重要な管理策を必須としている」とした。
また、監査機関には、情報セキュリティ監査基準に加えて、監査ガイドラインを遵守しなければならないことを示し、日本において情報セキュリティ監査を業務として行っている法人が、ISMAP監査機関リスト登録の対象となる。情報セキュリティ監査基準に定める独立性、客観性および職業倫理に関する要求事項を遵守していることなどを定めているほか、2年ごとに登録更新を行なうことが示されている。
2021年3月までに第1弾のクラウドサービス事業者の登録リストを作成
今後のスケジュールについては、「まずは監査機関の登録から開始する。監査機関が決まっていないと、クラウドサービス事業者の監査ができず、登録ができない。8月中に第1弾の監査機関の登録を行ない、2021年3月までに、第1弾となるクラウドサービス事業者の登録リストを作成し、公表することになる」とした。
また、ISMAPの制度開始に向けて、立ち上げ時の特例を用意していることも示した。「2020年度内に、全政府機関での利用開始が目標に掲げられているが、限られた検討期間のなかで、評価対象や管理基準のレベル分け、ガイドラインについては、運用開始後に継続検討する前提で整理を行なうことになる」とした。
具体的には、評価対象では、監査の対象となる整備評価と運用評価のうち、一定期間は整備評価だけを行ない、運営評価は、評価のための十分なサンプルを用意できないことに配慮し、更新時などのしかるべき時期から行なうことにしているという。また、管理基準のレベル分けでは、3段階の情報機密レベルのうち、立ち上げ時には、政府内でもっとも多く扱われるレベル(機密性2)の一種類にすること、ガイドラインでは、制度開始時には管理基準および標準監査手続きについては基準レベルの規定に留め、詳細なガイドラインは運用を行うなかで作成することになるという。
なお、IPAのホームページ内に、ISMAPの概要や各種規程、基準群を入手できるISMAP専用ページ(https://www.ipa.go.jp/security/ismap/index.html)を用意しているという。
JAIPA Cloud Conference2020では、デル・テクノロジーズやピュア・ストレージ・ジャパン、ヴィーム・ソフトウェア、トヨタ自動車などの講演が行われたほか、経営者パネルディスカッションでは、GMOグローバルサイン・ホールディングスの青山満社長、さくらインターネットの田中邦弘社長、NTTコミュニケーションズの佐々倉秀一取締役、DMM.comのCTOである松本勇気氏が登場。「コロナ時代のリーダーシップ」について議論した。
