基礎知識
政府情報システムのためのクラウドセキュリティ評価制度「ISMAP」
政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)を略してISMAP(イスマップ)と呼びます。ISMAPとは、政府が情報システムを調達しやすくすることを目的としたクラウドサービスの登録制度です。
政府が導入するクラウドサービスは、政府が要求するさまざまなセキュリティ対策を実施しているサービスでなければなりません。政府の要求を満たすクラウドサービスをあらかじめ評価してリスト化しておくことで、導入時にサービスを個別に評価する必要がなくなり、結果としてサービスの導入が円滑に行えるようになります。政府情報システムのデジタルトランスフォーメーション(DX)を推進し、デジタルガバメント化を目指す上でもISMAPは重要な施策の1つとなっています。
なお、米国政府には「FedRAMP:Federal Risk and Authorization Management Program」というISMAPと類似の制度があり、ISMAPは「日本版FedRAMP」と呼ばれることもあります。
ISMAPができた背景とは
クラウドナビでも何度か紹介している通り、2018年6月の「政府情報システムにおけるクラウドサービスの利用に係る基本方針」において、政府情報システムにおいてはクラウドサービスの利用をデフォルトとする「クラウド・バイ・デフォルト原則」が打ち出されました。
しかし、クラウドに対するセキュリティ面の不安は依然として官民問わず存在し、これがクラウドサービスの導入を妨げる課題の1つになっています。例えば、総務省発行の「令和2年版 情報通信白書における企業におけるクラウドサービスの利用動向」では、「クラウドサービスを利用しない理由」として(「必要がない」を除く)「情報漏洩などセキュリティに不安がある」が最多となっています。
政府はこのような実情を鑑み、ますます多様化・高度化が進むクラウドサービスを円滑に導入するためには、セキュリティに対する統一的な評価を実施することが有効であると判断しました。現時点でも、クラウドサービスの導入に対するさまざまなガイドラインは存在します。しかし、各省庁ごとに異なる調達基準が存在し、個別にセキュリティ要件を確認しているため、効率よく評価・導入が行えていないのが実情です。そこで、統一的なセキュリティ基準を明確化することで、こうした非効率さを解消するのがISMAPの狙いです。
今後、政府機関がクラウドサービスを調達する際は、原則としてISMAPに登録されたサービス内から選択することになります。
ISMAPの運営について
ISMAPは大きく「ISMAP運営委員会」「ISMAP監査機関」「クラウドサービス事業者」によって、構成されています。
ISMAP運営委員会は、クラウドサービスの登録や監査機関の登録、本制度に関する規程の制定や改廃について、その意思決定の最終的な責任を負う組織です。ISMAP監査機関は、クラウドサービスをISMAPに登録するにあたり、当該サービスがISMAPで要求される事項を満たしているかについての監査を行う機関です。そして、クラウドサービス事業者は、文字通りクラウドサービスを提供する事業者を指します。
ISMAP運用の流れは、おおまかに以下の通りです。
まず、クラウドサービス事業者は、自社サービスがISMAPの規定を満たしているか、監査機関による監査を受ける必要があります。この監査にパスできてはじめて、ISMAPクラウドサービスリストへの登録申請が行えます。そして、登録申請が受理されると、そのサービスが政府の要求を満たしたクラウドサービスとして、ISMAPに登録されます。政府の各省庁が新たにシステムの導入を行う際には、このISMAPクラウドサービスリストを元に導入するクラウドサービスを選定します。
また、上記の3機関とは別にISMAPには、運用支援機関が定められています。「独立行政法人情報処理推進機構(IPA)」がこれに該当し、ISMAPを円滑に運用するための技術的な支援を行うことになっています。
クラウドサービス事業者への要求事項とは
前述の通り、ISMAPへの登録を申請するクラウドサービスは、ISMAP監査機関による非常に厳格な監査をパスする必要があります。監査のポイントとなるのは、ISMAPがクラウドサービス事業者に対して要求している「ガバナンス基準」「マネジメント基準」「管理策基準」の3つです。この要求は、情報セキュリティのガバナンスに関する規格であるJIS Q 27014:2015 (ISO/IEC 27014:2013)、ISMSクラウドセキュリティ認証で使用された管理基準であるJIS Q 27017:2016 (ISO/IEC 27017:2015)、米国のNIST SP800-53などがベースとなっています。
「ガバナンス基準」はクラウドサービス事業者の経営陣に向けて定められた基準です。クラウドサービス事業者の経営陣が自社組織の情報セキュリティ活動を指導し、管理するための方針です。
「マネジメント基準」はクラウドサービス事業者の管理者に向けて定められた基準です。クラウドサービス事業者の管理者が情報セキュリティマネジメントを確立・導入・運用・監視・維持・改善するための方針です。
「管理策基準」はクラウドサービス事業者で実務にあたる実施者に向けて定められた基準です。実務実施者が現場において取り組むべきセキュリティ対策がまとめられています。
ISMAPによって政府が目指すもの
政府はクラウド・バイ・デフォルト原則を打ち出しましたが、実際にクラウドサービスを調達・利用できなければ、どのような方針も絵に描いた餅に過ぎません。そのため、ISMAPは行政機関におけるデジタルトランスフォーメーション(DX)を後押しするためにも、重要な施策として位置づけられています。
政府は「デジタル・ガバメント実行計画」において、2020年度内に本制度の利用を開始できるよう検討を進めるとしています。クラウド・バイ・デフォルト原則が、いよいよ実行されるフェーズへ移ったと言えるでしょう。
しかし、冒頭で述べた米国のFedRAMPには、すでに数百ものクラウドサービスが登録されているのに比べて、現時点のISMAPは、まだまだ登録されているクラウドサービスが少ないのが現実です。こうした点からも日本は米国に比べて、政府情報システムのクラウド導入が遅れていると言えます。
さらなるデジタルガバメント化を推進するためにも、政府がクラウドサービスを調達する際の選択肢となるISMAPの拡充は非常に重要です。なお、FJcloud-Vについても2021年12月20日にISMAPのクラウドサービスリストへの登録が完了いたしました。FJcloud-Vの登録状況の詳細につきましては、「クラウドサービスリスト詳細(ニフクラ/FJcloud-V)」をご確認ください。