ISMAP(イスマップ)とは?日本政府が利用するクラウドサービスのセキュリティ評価制度
ISMAP(イスマップ)とは
ISMAP(イスマップ)とは、日本の政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)の略です。政府が利用するクラウドサービスのセキュリティ水準を確保し、円滑に導入できるようにすることを目的としています。
ISMAPは2020年(令和2年)から運用されており、内閣官房(内閣サイバーセキュリティセンター(NISC))・デジタル庁・総務省・経済産業省が共同で運営しているほか、独立行政法人情報処理推進機構(IPA)が制度運用に必要な技術支援を行っています。
ISMAPのセキュリティ要求基準を満たしたクラウドサービス(ISMAPクラウドサービスリスト)は、ISMAPポータルサイトにて公開されています。ISMAPクラウドサービスリストは政府機関がサービス調達を行う際に参照されるものですが、政府は、「公開されるリスト等を民間等においても参照することで、クラウドサービスの適切な活用が推進されることが期待される(*1)」としています。
*1: 政府情報システムのためのセキュリティ評価制度(ISMAP)について - 政府機関総合対策グループ
ISMAP 設立の経緯
ISMAPが始まった背景には、2018年の「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の決定があります。このなかで、政府の利用する情報システムはクラウドサービスの利用を第一候補とする方針(クラウド・バイ・デフォルト原則)が示されましたが、当時の各政府機関では、クラウドサービスの採用にあたって個別にクラウドサービスのセキュリティ対策状況を評価しているような状況でした。
そうした状況を鑑み、2018年「未来投資戦略2018」と「サイバーセキュリティ戦略」において、クラウドサービスの安全性評価について検討することが閣議決定され、同年度から総務省と経済産業省を中心として「クラウドサービスの安全性評価に関する検討会」が始まり、ISMAPの安全性評価基準や安全性評価の監査の仕組みが作られました。
2019年の「デジタル・ガバメント実行計画」では、そうした安全性評価や監査の枠組みを利用し、全政府機関において評価済みのクラウドサービスの利用が開始できるよう環境整備等について検討を進める、とされ、2020年の「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」によってISMAPの①基本的枠組み、②各政府機関等における利用の考え方、③所管と運用体制が決定されたことで運用を開始しました。
ISMAP管理基準
ISMAP の管理基準は大きく①ガバナンス基準、②マネジメント基準、③管理策基準の3種類から構成されます。
ガバナンス基準
ガバナンス基準は、クラウドサービス事業者の経営陣が組織の情報セキュリティ活動を指導し管理することを求める基準です。経営陣は情報セキュリティの戦略および目的を承認し、その有効性や達成度を評価・モニタしなければなりません。ISMAPでは、ガバナンス基準は原則としてすべて実施しなければなりません。
マネジメント基準
マネジメント基準は、クラウドサービス事業者の管理者が情報セキュリティマネジメントを確立し、導入、運用、監視、維持及び改善することを求める基準です。そのためにセキュリティマネジメントの適用範囲と方針を確立し、セキュリティリスクアセスメントを実施しなければなりません。ISMAPでは、マネジメント基準は原則としてすべて実施しなければなりません。
管理策基準
管理策基準は、クラウドサービス事業者の業務実施者がリスク対応方針に従って管理策を選択する際の選択肢となる基準です。各項目は管理策基準は統制目標と詳細管理策で構成されます。
ISMAPでは、統制目標としての管理策は原則すべて実施しなければなりませんが、詳細管理策は一部の重要なものを必須としつつ、組織・環境・技術等に応じて必要なものを選択します。管理策基準には以下の14カテゴリがあります。
- 情報セキュリティのための方針群
- 情報セキュリティのための組織
- 人的資源のセキュリティ
- 資産の管理
- アクセス制御
- 暗号
- 物理的及び環境的セキュリティ
- 運用のセキュリティ
- 通信のセキュリティ
- システムの取得、開発及び保守
- 供給者関係
- 情報セキュリティインシデント管理
- 事業継続マネジメントにおける情報セキュリティの側面
- 順守
ISMAP管理基準が参考にしている規格
ISMAPの管理基準は、以下のような規格を参照して作成されています。
JIS Q 27001、JIS Q 27002、JIS Q 27017
主にマネジメント基準、管理策基準の内容は、情報セキュリティに関するISO規格と同様の内容であるJIS Q 27001、JIS Q 27002、JIS Q 27017を参照しています。このうちマネジメント基準に該当する情報セキュリティマネジメントシステムの構築についてはJIS Q 27001を参照し、具体的なセキュリティ管理策についてはJIS Q 27002を、特にクラウドサービスに関わる管理策についてはJIS Q 27017を参照しています。
JIS Q 27014
ガバナンス基準の内容は、JIS Q 27014を参照しています。JIS Q 27014は、組織が情報セキュリティを継続的かつ効果的に運用するためのガバナンス目標とプロセスについて記載されています。
統一基準(政府機関等のサイバーセキュリティ対策のための統一基準群)
ISMAPの管理策は、サイバーセキュリティ基本法に基づく「政府機関等のサイバーセキュリティ対策のための統一基準群」も参照しています。この統一基準は、政府機関等の情報セキュリティのベースラインや、より高い水準の情報セキュリティを確保するための対策事項を規定するものです。
NIST SP800-53
NIST SP800-53は、アメリカ合衆国連邦政府の情報システムおよび組織のためのセキュリティとプライバシーの管理策を規定した規格です。ISMAPでは、JIS規格では不足しているセキュリティ対策についてこのNIST SP800-53を参照し、管理策を追加しています。
ISMAP 認定クラウドサービス
ISMAP認定クラウドサービスとしては、例えば以下のようなサービスが登録されています。IaaSからSaaSまで幅広く登録されていることがわかります。
IaaS
PaaS
SaaS
その他のクラウドサービスの掲載情報については、ISMAP公式のクラウドサービスリストにて確認できます。
