ISMAP（政府情報システムのためのセキュリティ評価制度）とは？

はじめに

ISMAP（イスマップ）とは、正式には「政府情報システムのためのセキュリティ評価制度」（Information system Security Management and Assessment Program）という名称の制度です。政府が求めるセキュリティ要求を満たしているクラウドサービスを、予め評価し登録することで、政府のクラウドサービス調達におけるセキュリティ水準の確保を図るもので、それによりクラウドサービスの円滑な導入へとつなげることが目的とされています。

この制度の根拠となるのは、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」という令和2年1月30日のサイバーセキュリティ戦略本部の決定で、その後、令和2年6月にはNISC（内閣サイバーセキュリティセンター）、デジタル庁、総務省、経済産業省を所管省庁として立ち上げが行われました。

背景

2018年6月の政府調達における「クラウド・バイ・デフォルト原則」の表明以降、クラウドサービスの導入が進んでいきました。しかし、当時は、その一方でクラウドサービスの業務利用においてセキュリティの不安が官民ともに根強くありました。このため、特に、機密性の高い政府の情報システムにおいてはセキュリティ確保が急務となり、統一的な評価が求められるようになりました。

当時の状況として、各政府機関が独自にセキュリティ要件を最初から確認するための非効率が顕在化していました。同じクラウドサービスでも、調達担当によって要件の設け方にばらつきが生じることや、政府調達におけるベースラインが不透明であることなど、調達者と提案者双方にとっての課題が積み重なっていました。

このような状況が、クラウドサービスに対する統一的なセキュリティ基準の明確化と、実効性・効率性を重視したセキュリティ評価制度の必要性を高めました。そこから生まれたISMAPは、各省がクラウド評価に追加的な要件のみを指定し、評価済みであれば一定のセキュリティ基準を充足するというメリットをもたらしました。提案者にとっても、同じ要件に対する一度の評価で共通化が可能となり、政府調達におけるベースラインが透明化されることを期待されたのです。

制度の関係者

この制度は国際標準などを基に策定された基準に従い、クラウドサービスの監査を経て登録するプロセスで構成されています。各政府機関は、原則として安全性が評価された「登録簿」に掲載されたサービスから調達します。制度運用に関する実務と技術的支援はIPAが担当し、監査機関の評価と管理に関する業務はJASAに再委託される仕組みとなっています。

ISMAP運営委員会

ISMAP運営委員会は、監査機関とクラウドサービス事業者の登録を行うなど、中心的な役割を果たしています。この委員会が規程を定め、戦略本部決定に基づいた制度の運用と円滑な制度運用のための柔軟な制度の見直しを行います。また、クラウドサービスの登録、監査機関の登録、規程の制定・改廃などについて最終的な責任を負います。

制度所管省庁

NISC・デジタル庁・総務省・経済産業省などの省庁が制度の所管を担当しており、ISMAP運用支援機関が適正に業務を実施する監督と、円滑な制度運営のための調整と情報提供などの責務を負っています。

クラウドサービス事業者

クラウドサービス事業者は、登録された監査機関に監査を依頼し、管理基準に基づいた情報セキュリティ対策の実施状況について監査を受ける役割を果たします。本制度の規程に誠実に従い、必要な協力を行う責務があります。

監査機関

監査機関は、技術的・能力的な観点から規則に基づく体制を構築し、ISMAP運営委員会の審査を経て登録されます。登録更新は2年ごとに行われ、監査業務を誠実に遂行する責務があります。

調達府省庁等

調達府省庁等は、ISMAP等クラウドサービスリストからクラウドサービスの調達を原則とし、情報システム全体のセキュリティ確保を図ります。

このように、ISMAPは多岐にわたる関係者の協力と責務を基盤に、クラウドサービスのセキュリティと調達の透明化・効率化を促進しています。役割分担と協調体制のもとで、組織全体の信頼と安全性の向上が期待されています。

ISMAPクラウドサービスリスト

ISMAPにおいては、統一的なセキュリティ要求基準に基づき、安全性が評価されたクラウドサービスを「ISMAPクラウドサービスリスト」に登録し、ISMAPポータルサイトで一般公開しています。令和３年３月には初回として、ISMAPクラウドサービスリストの登録・公開が行われました。政府機関等がクラウドサービスを調達する際、調達府省庁等が意図しない情報へのアクセスリスク等の評価を可能にするため、リージョン、統制目標、準拠法などの「詳細情報」として公開しています。

クラウドサービス事業者（CSP）に対しては、ISMAPクラウドサービス登録規則において、登録申請に際し、大きく分けて３種類の要求事項が課されます。

申請時の情報提供

申請者の資本関係及び役員等の情報は、クラウドサービス事業者の信用性を確認するために必要です。クラウドサービスで取り扱われる情報に対しての法令適用やペネトレーションテスト等の実施状況は、セキュリティ対策の透明性を保証するために求められます。

登録期間中の対応

登録されているサービスについて、重大な情報セキュリティインシデントが発生した場合、迅速な対応と共有が求められます。また、統制の変更や情報の変更があった場合の速やかな報告は、最新の情報を提供し、信頼性を維持するために重要です。調達交渉時には、国の調達方針に従った適切な対応が求められます。

管理基準

クラウドサービス事業者における管理基準は、経営層から業務実施者へのセキュリティ対策の方針と実施状況を明確にし、一貫したセキュリティ管理を行うために構築されています。

ガバナンス基準では、経営陣が情報セキュリティの戦略や方針を承認し、管理者に適切に調整させることが規定されています。

マネジメント基準では、情報セキュリティマネジメントの確立、運用、維持、改善などが盛り込まれ、全体的なセキュリティ管理の方向付けがされています。

管理策基準では、具体的なセキュリティ対策如、アクセス制御、暗号化、マルウェアからの保護などが詳細に規定され、実施する際の方針が示されています。

ISMAP管理基準の構成は、国際標準であるJIS Q(ISO/IEC) 27001、27002、27017を基礎としており、クラウドサービスの情報セキュリティの向上を図るために重要な要素となっています。

ISMAP-LIU

ISMAP-LIU（イスマップエルアイユー）は、ISMAP for Low-Impact Useの略称で、セキュリティ上のリスクが小さい業務や情報の処理に特化した枠組みを提供しています。現行のISMAPの枠組みを基盤とし、外部監査対象範囲の縮小などの調整が行われています。

ISMAPの対象となっている情報システムはIaaS、PaaS、SaaSと多岐にわたり、特にSaaSのサービスの幅は広がっています。中には、クラウドサービスの用途や機能が限定的なものや、比較的重要度が低い情報のみを取り扱うサービスなどの、リスクが低いものも存在しています。このようなサービスに対して、現行のISMAPと一律の取扱いとすると、過剰なセキュリティ要求が生じ、クラウドサービスの活用を妨げてしまう恐れがあります。

この懸念への対策として、ISMAP-LIUが設定されました。

リスクの低いサービスに関しては外部監査の対象範囲を縮小するなど、過剰なセキュリティ要求を抑制しながら、適切な管理を実現します。

まとめ

ISMAP（Information Security Management Platform）は、政府機関などがクラウドサービスを調達する際に、サービスの安全性を評価・管理するための仕組みです。これにより、公共機関の情報セキュリティが確保されると同時に、クラウドサービス市場の健全な発展が図られています。

ISMAPの評価は、セキュリティ要求基準に基づき、第三者機関による客観的な評価を行います。要求基準はJIS Q (ISO/IEC) 27017等の国際基準に準じており、一貫性と信頼性が保証されています。クラウドサービス事業者はこの評価に合格することで、そのサービスの信頼性を示すことができます。

このセキュリティ評価を通過したクラウドサービスは「ISMAPクラウドサービスリスト」に登録され、ISMAPポータルサイトで一般に公開されます。政府機関等がクラウドサービスを調達する際には、このリストを参照し、必要な情報を得ることができます。

クラウドサービス事業者には、ISMAPクラウドサービス登録規則に従い、登録申請に際して情報提供が求められます。また、登録期間中には、セキュリティインシデントの報告や重大な統制の変更等の届け出が必要となります。さらに、管理基準として、経営陣が継続的にセキュリティに関する意思決定や指示を行い、クラウドサービスの運営者や業務実施者が実際にセキュリティ対策を実施することが求められます。

これらの取り組みを通じて、ISMAPは情報セキュリティの確保とクラウドサービスの品質向上を推進しています。これは公共機関だけでなく、一般のユーザーにとってもクラウドサービスの信頼性を確保する重要な役割を果たしています。