「ISMAP」とは？ クラウド選定を効率化するセキュリティ評価制度を解説

2020年6月、政府機関のクラウドサービス調達にフォーカスしたセキュリティ評価制度「ISMAP」がついにスタートした。ISMS認証などの評価制度や各種基準とは何が違い、民間企業などではどう生かせるのか？　制度のポイントを整理しておこう。

[土肥正弘，ドキュメント工房]

　「ISMAP」（イスマップ）とは「政府情報システムのためのセキュリティ評価制度（Information System Security Management and Assessment Program）」の略称で、政府機関のクラウドサービス導入／運用時にセキュリティを統一的に評価する制度だ。これまで各省が個別にセキュリティを評価してきたのを改め、共通した基準にのっとりクラウドサービス単位で評価することで、継続的な監査を可能とし、導入の効率化を図る。同時に、要件の抜け漏れなどを防ぎ、ばらつきのないセキュリティ確保も可能にするのが目的だ。

　「ISMAP」は、国が新しく策定した基準をベースに、第三者である監査機関がクラウドサービス単位でセキュリティ実装状態や運用状況を監査し、その結果を踏まえてISMAP運営委員会が基準に適合していることを確認したサービスをリストアップする。ITを導入したい組織は自身が行うべき設定などを含めたセキュリティ対策と追加的に必要な個別要件だけをチェックすれば導入が可能になるため、クラウドサービス導入時の作業負担が軽減でき、要件のばらつきを抑えることができるようになる。

　政府機関のIT調達のための制度だが、制度設計の前から民間企業・組織による評価結果の活用も視野に入れられており、企業の情報システム担当者にとってもその基準や登録リストは大いに参考となるだろう。またクラウドサービスを提供する側にも、政府基準への適合や監査の実施は幅広いユーザーのセキュリティ懸念を低減できるメリットがある。

　図1に制度の枠組みと制度運用の流れを示す。制度の所管は内閣官房（NISC［内閣サイバーセキュリティセンター］、IT室）・総務省・経済産業省であり、NISCが事務局を担当、IPA（独立行政法人情報処理推進機構）が制度の運用や技術の支援をする。

図1　「ISMAP」制度の基本的な流れ

（注）制度運用実務と評価にかかわる技術的な支援はIPAが担当し、監査機関の評価および管理に関する業務は特定非営利活動法人 日本セキュリティ監査協会（JASA）に再委託される。

「ISMAP」の成り立ち、クラウド・バイ・デフォルトで考える

　多くの民間組織と同様に政府機関の情報システム導入も、いわゆる「クラウドファースト」という考え方に舵を切っている（クラウド・バイ・デフォルト原則）。これを基本的なIT導入方針としたのが2018年6月のことだ。それから2年、既存の政府の統一基準と国際的なセキュリティ標準との整合などを検討してセキュリティ基準と監査ルールが整えられてきた。

　従来「ISMS認証（情報セキュリティマネジメントシステム適合性評価制度）」をはじめとしたセキュリティ認証制度や各種セキュリティ基準、ガイドラインがあるが、クラウドサービスをサービス単位でセキュリティ評価および運用を継続的に監査する仕組みはこれまでになかった。「ISMAP」では、図2に示すような規定や規則、管理基準、監査基準、ガイドラインなどの文書が用意され、クラウドサービス事業者（以下、CSPと表記）も監査機関も、これら文書に基づいて申請をし審査を受けることになる。現在は監査機関の登録審査が行われているところで、CSPによるクラウドサービスの登録申請はこれからの段階だ。順次、登録申請を審査して、2021年の初め（令和2年度内）には登録リスト「ISMAPクラウドサービスリスト」が公開され、制度利用が始まる見込みだ。

図2　「ISMAP」制度の規定・規則・管理基準・監査基準などの構成

クラウドファースト方針を取る国外事例を参考に政府の「お墨付き」を与える

　同じくクラウドファーストの方針をとっている米国政府とオーストラリア政府は、第三者が評価したクラウドサービスをレベル別にリストアップし、マーケットプレースや専用Webサイトで公開している。英国はクラウドサービスプロバイダーの自己宣言情報をマーケットプレースに公開する形で政府機関が自己判断する方法を採っている。「ISMAP」はこういった国外事例も参考にし、政府のいわば「お墨付き」となるクラウドサービスリストを公開する。

　ただし、会計監査のように監査法人が監査内容を保証する形ではなく「監査機関が実施状況の事実確認を行うが、意見の表明や判断はしない方法＝助言型」で、一部にAUP（Agreed Upon Procedures：合意された手続き）と呼ばれる監査方法の要素を取り入れている。つまり、リストに載っているからといって直ちにセキュリティが保証されるというものではなく、客観的な基準と手続きで適切に監査されたサービスであることが確認できるというわけだ。この方法をとることで、監査機関として監査法人ばかりでなく、セキュリティ専門企業なども登録できるという。セキュリティ確保の最終的な責任は利用者の側が負うことになることはこれまでと変わらないが、セキュリティ評価のコストと労力が大幅に削減できることは確実だ。

「ISMAP」のセキュリティ管理基準の要素とは

　「ISMAP」のコア部分となるのは新しく策定されたセキュリティ管理基準と、それに基づいた監査方法・ルールの規定である。監査項目は約1200項目あり、その監査方法の全ては公開されないが、セキュリティ管理基準は既存のセキュリティ規格や政府の統一基準がほとんどそのまま採用されているので、クラウドサービスがこれらの規格や基準をクリアしていればリストに登録されることになる。以下では、「ISMAP」のセキュリティ管理基準の要素とクラウドサービスの提供側、ユーザー側それぞれが注意すべきポイントを見ていきたい。

　基本的に準拠が必要なのが「JIS Q 27001」（「ISO/IEC 27001」）だ。この規格は、ISMS認証（情報セキュリティマネジメントシステム適合性評価制度）の要求事項としてご存じの方も多いだろう。ISMS認証は、組織の事業所単位でセキュリティが確保できているかを第三者が適合性を評価する制度。近年はこれに加えて、クラウドサービス固有の管理策が適切に実施されているかどうかを評価する基準「JIS Q 27017」（「ISO/IEC 27017」）への適合を、やはり第三者が評価するISMSクラウドセキュリティ認証を取得する企業も増えている。

　これらの規格に関連する「JIS Q 27002」（「ISO/IEC 27002」）や「JIS Q 27014」（「ISO/IEC 27014」）の項目は、原則として全て「ISMAP」の管理基準に採用されている。加えて、政府の各種セキュリティ統一基準の表現の一部を書き換えた（目的趣旨は同一）の項目と、米国標準技術研究所（NIST）のセキュリティ規格「SP800-53」の一部項目が追加されている。図3に既存規格類との関係を示す。

図3　既存のセキュリティ規格・政府統一基準の管理項目との関係

　すでにISMS認証を取得済みのCSPは多く、そのような業者は提供サービスの「ISMAP」管理基準とのギャップ部分を中心に対応すれば申請から登録まではそう難しくはないと考えられるが、「暗号鍵の管理をユーザー側で可能にする」「情報の消去に際して物理的破壊でなく暗号鍵の消去を要求する」というような新しいポイントも盛り込まれているので注意が必要だ。

　クラウドサービスのユーザー側としては、自組織が必要とするセキュリティ機能や求めるレベルとのマッチ度合いを検討することが重要になるだろう。ISMAP制度設計や運用に携わる経済産業省商務情報政策局の関根悠介氏は取材で「セキュリティ確保には透明性とアカウンタビリティが重要」だと述べた。ISMAP制度は、客観的な基準やルールを示し、第三者による監査を経ることにより、導入サービスにおけるセキュリティの透明性やアカウンタビリティを一定のレベルに高めることを意図している。

　ただし、「ISMAP」は現在のところ、政府機関による個人情報や機密（不開示）情報などの要保護情報を取り扱うためのセキュリティレベルを想定して作り込まれている。そのため組織や用途・目的によっては、必ずしもそこまでの保護レベルが必要なケースばかりではなく、調達コストが課題になってくる場合も想定される。その懸念に答えるため、関根氏によると「評価項目数を削減するなど複数の対応を検討し、より効率的に登録を進められる一段低いレベルの基準も考えている」ところだという。

　なお、政府機関対象の制度ではあるものの、国内プロバイダーだけでなく、グローバルなプロバイダーのサービスも制度の対象となっており、申請・登録されればリスト内に含まれることになる。その場合、データの保管場所への海外法の適用などについて懸念されるが、使用リージョンなどの情報は合わせて公開されるため、ユーザー側が判断、選別できるようになるとのことだ。

　クラウドサービス利用における懸念事項の筆頭は今も昔もセキュリティ。新しく導入するクラウドサービスのセキュリティをどう把握し、いかに評価・選別すべきなのか、その工数や労力、コスト、ノウハウ不足に頭を抱える組織は多い。サービス単位でのセキュリティの新しい目安となる「ISMAP」は、導入担当者の頼れる味方になりそうだ。