独立行政法人情報処理推進機構（ＩＰＡ）セキュリティセンター　西尾秀一

政府情報システムのためのセキュリティ評価制度（Information system Security Management and Assessment Program: 通称、ISMAP（イスマップ））は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、政府機関へのクラウドサービスの円滑な導入に資することを目的とした制度です。

2018年6月に公開された「政府情報システムにおけるクラウドサービスの利用に係る基本方針 」では、「クラウド・バイ・デフォルト原則」が掲げられました。その一方で、クラウドサービスプロバイダに要求する統一的なセキュリティ要求基準は存在せず、各政府機関等が調達の際に、個別のプロバイダのセキュリティ対策を確認し調達を行っており、非効率であるという課題がありました。これに対し、政府機関等が調達するクラウドサービスに対して要求すべき基本的な情報セキュリティ管理・運用の基準を定めた上で、本制度で定められた情報セキュリティ監査の枠組みを活用した評価プロセスに基づき、上記の基準を満たすセキュリティ対策を実施していることが確認されたクラウドサービスを、本制度が公表するクラウドサービスリストに登録し、政府機関等がそのリストを活用することで、安全・安心かつ効率的な調達を可能とする制度としてISMAPが創設されました。

併せて、本制度における監査を行うことができる監査機関についても、あらかじめ本制度で定める要求事項を満たすことが確認された監査機関を、本制度が公表する監査機関リストに登録することで、監査の品質や公平性を確保しています。

ISMAPの所管は内閣サイバーセキュリティセンター（NISC）、情報通信技術（IT）総合戦略室、総務省、経済産業省で、最高意思決定機関としてISMAP運営委員会を設置し、事務局はNISCに置かれています。また、運用実務については情報処理推進機構（IPA）が担当しています。さらに、運用実務のうち、監査に係る実務については特定非営利活動法人日本セキュリティ監査協会（JASA）に委託しています。このため、クラウドサービスリストへ登録を希望される企業の方はIPAへ、監査機関リストへの登録を希望される企業の方はJASAに対して申請手続き等を行うことになります。制度の詳細、制度規程類等はIPAの以下のページにてご覧いただけます。

https://www.ipa.go.jp/security/ismap/index.html

約2年間にわたり検討が行われてきたISMAPですが、2020年6月3日に、運用開始が正式に発表され、制度規程等が公表されました。8月20日には、初の監査機関リストが公表され、4社がリストに掲載されています。10月１日からはクラウドサービスの登録申請受付が開始されました。クラウドサービスの申請数や新型コロナウイルス感染状況などにもよりますが、遅くとも今年度末までには、クラウドサービスリストが公表される予定となっています。

ISMAPは、創設間もない制度のため、IPAでは関係する皆さまに制度についてご理解いただくための様々なコンテンツを整えつつあります。その１つが、制度規程の英訳の公開です。クラウドサービスプロバイダの中には、外国に本社を置く企業も多いため、あくまで参考訳とはなりますが一部の規程について英訳を公開することで、申請にあたっての参考にしていただければと考えています。

また、各企業の皆さまからの問い合わせをまとめてFAQとして公開しています。
制度全般、各種規程、監査機関登録、クラウドサービス登録やその他の項目について、よくあるお問合せについて回答を掲載していますので是非ご参照ください。

さらに、IPAではISMAPを紹介する動画を公開しています。この動画では、ISMAPとは何か？という制度の概要からクラウドサービスプロバイダ、ISMAP監査機関への要求事項などをわかりやすく解説しています。動画は４本立てとなっていますので、各企業にとって関係する部分だけをご覧いただくことも可能です。

・制度の概要
https://www.youtube.com/watch?v=Dlgjg3WDF18

・ISMAPの全体像と基本規程
https://www.youtube.com/watch?v=qMP9qasJrcc

・クラウドサービス事業者に対する要求事項
https://www.youtube.com/watch?v=gpPYYoi5v0Q

・監査機関を対象とした基準等
https://www.youtube.com/watch?v=Q7Juqc_58mw

本制度は、「政府情報システムのための」というタイトルが付いていますが、近い将来には、独立行政法人及び指定法人まで対象範囲を広げることを視野に入れています。さらに、本制度の運用が本格化した際には、特に情報セキュリティ対策が重要となることが想定される重要産業分野等をはじめとした民間において、クラウドサービスリスト及びその他公開される情報等が参照されることで、クラウドサービスの適切な活用が推進されることも期待されています。

繰り返しになりますが、ISMAPはスタートしたばかりの制度です。今後、本制度が安全・安心なクラウドサービス利用に向けて実効性・効率性をもって幅広く参照されるために、実務の状況等も踏まえながら、柔軟に制度の整備が進められる予定ですので、今後のスケジュール等、最新の状況をIPAのページにてご確認いただければ幸いです。

 

＃連載リレーコラム、ここまで

＜お断り＞本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

＜ワンクリックアンケートお願い＞
今回のメールマガジン第197号の感想をお寄せください。
https://ux.nu/QFkXX
※googleアンケートフォームを利用しています。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

============================================================

☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡　<http://www.jnsa.org/aboutus/ml.html>

*************************************
JNSAメールマガジン　第197号
発信日：2020年10月16日
発　行：JNSA事務局　
*************************************