2023/10/05ガバナンス
ISMAPって本当にコンサルが必要?
CISO事業部 池山 郁穂
本記事では、政府機関がクラウドサービスを調達する際に登録が必要となる、ISMAP制度についてご紹介いたします。
ISMAPとは、「政府情報システムのためのセキュリティ評価制度(英語名:Information system Security Management and Assessment Program)」のことで、内閣サイバーセキュリティセンター(NISC)、デジタル庁、総務省、経済産業省を所管省庁とした制度です。また、本制度の最高意思決定機関として、有識者と所管省庁を構成員とした制度運営委員会(ISMAP運営委員会)が設置されています。[1]
本制度は、政府機関がクラウドサービスを調達する際に、一定のセキュリティ水準を確保したクラウドサービスを円滑に導入することを目的としており、政府機関は原則としてISMAP登録されたクラウドサービスの中から調達することになります。調達できるクラウドサービスは、ISMAP運営委員会が定めるセキュリティ要求事項を満たしたクラウドサービスとして「ISMAPクラウドサービスリスト」に登録されます。
一方、調達される側のクラウドサービスは、そのサービスを提供している企業(クラウドサービス事業者)が、ISMAPに準拠していることを監査機関により評価されたのち、ISMAP運営員会にあらかじめ登録申請を行います。この登録申請が承認されたクラウドサービスが、前述の「ISMAPクラウドサービスリスト」に掲載されています。なお、2023年7月時点においては48のクラウドサービスが「ISMAPクラウドサービスリスト」に登録されています。[2]
図1.ISMAP制度の概要図
出典:"ISMAP概要"[1]を基にアイディルートコンサルティングにて作成
ISMAP制度が発足した背景として、2018年6月より、政府調達において「クラウド・バイ・デフォルト原則」が採用されたことが挙げられます。これは、「政府情報システムにおけるクラウドサービスの利用に係る基本方針(2018年6月7日CIO連絡会議決定)」の一つであり、政府情報システムを調達する際はクラウドサービスの利用を第一候補として検討を行うことが決定されています。[3]
また、「未来投資戦略2018(2018年6月15日閣議決定)」では、クラウドサービスの多様化・高度化に伴い、官民双方が安全かつ安心に、そして継続的にクラウドサービスを利用していくために、諸外国の例も参考にしつつクラウドサービスの安全性評価について検討を行うことが決定されています。[4]
上記を踏まえ、「成長戦略2019(2019 年6月21日 閣議決定)」では、クラウドサービスの安全性評価制度について、2020年秋の全政府機関での利用開始に向け、2019年度中に実証を行いつつ、評価基準や制度を確立することが決定されました。[5]そして、「デジタル・ガバメント実行計画(2019 年12月20日 閣議決定)」では、2020 年度内に、全政府機関において安全性が評価されたクラウドサービスの利用を開始できるよう整備を進めることが決定されました。[6]こうした経緯を経て、2020年6月よりISMAP制度の運用が開始されるに至りました。
ISMAP登録により、クラウドサービス事業者は内部・外部それぞれに対して期待できる効果があります。内部に対する効果として、ISMAP運営委員会が定めたセキュリティ要求事項を満たしていることで、社内の情報セキュリティが一定のレベルで確保できることが挙げられます。また、外部に対する効果としては、「ISMAPクラウドサービスリスト」に登録されてサービス名が公表されることで、政府の入札要件を満たしたクラウドサービスとして政府機関からも調達が許されているクラウドサービスであり、民間企業や地方公共団体、医療機関、教育機関などから認知される、という宣伝効果が期待できると考えられます。
ISMAP制度の概要や発足した背景についてお伝えしたところで、ISMAP登録にあたりコンサルティング会社の支援は必要か、という問いについてお話しします。結論、筆者自身の見解としては、コンサルティング会社の支援は必要であると考えます。その理由については順を追って説明いたします。
ISMAPの管理策は、2023年7月時点においては1,159項目あります。ISO/IEC(JIS Q) 27001、27002、27014と、クラウドサービスの情報セキュリティに関するISO/IEC (JIS Q)27017を基礎として、これらのISO規格に含まれない観点をNISCの統一基準やNIST(米国国立標準技術研究所、英語名:National Institute of Standards and Technologyの略称)のSP800-53から抽出・追加して策定されています。[7]なお、本記事における管理策とは、情報セキュリティ上のリスクを低減させるための対策のことを指します。
既にISO/IEC 27001認証やISO/IEC 27017認証を取得されているクラウドサービス事業者としては、管理策の数自体は多いものの、構成だけ見れば基礎はISO規格(ISO27000シリーズ)なのだから、既存の社内プロセスをベースに不足している部分を新たに構築・運用することで登録できるのではないかと考えられるかもしれません。しかしながら、それ以外にも考慮しなければならない点があります。というのも、ISMAP登録では、国際規格の認証審査を行う審査機関ではなく、監査機関により監査が行われるためです。
ISMAPの監査においては、評価(監査)対象期間における、クラウドサービス事業者が採用した全ての管理策に対する整備状況評価と、ISMAP 運営委員会によって指定された全ての管理策(約300~400項目、年度により対象の項目が一部異なる)に対する運用状況評価が行われます。
これらの監査は監査機関による質問や観察(現地での視察)に加え、証跡(プロセスがISMAP管理策を満たしていることを客観的に証明するための文書やその他記録類)の閲覧を主として実施されます。そして、要点となるのが運用状況評価における閲覧と観察です。運用状況評価における閲覧と観察では、監査で確認する内容に合わせて、母集団とサンプルという2種類の証跡を監査機関に提示する必要があるのですが、これらの情報を特定して適切な資料を提出することは非常に困難です。
というのも、運用状況評価を実施するにあたり、まず監査機関はクラウドサービス事業者に対して管理策の内容を満たす母集団の提示を要求してきますが、監査機関はクラウドサービス事業者の内情すべてを把握しているわけではありません。そのため、管理策1つ1つに対して適切な母集団を指定できるとは限りません。一方で、クラウドサービス事業者としても、ISMAPに関するノウハウがない場合、何を母集団として提示すればよいかが判断できず、管理策の内容に沿わない母集団を提示してしまう可能性があります。
そして、管理策の内容に沿わない母集団から適切にサンプルを指定することはできないため、誤ったサンプルが指定され、不適切な証跡を提出してしまうことになります。その結果、正当な監査が行われず、該当の管理策については発見事項(統制上の不備)が存在するとみなされる場合があります。
登録申請に際して発見事項が存在する場合、クラウドサービス事業者は2ヶ月以内に対応可能かどうかを判断し、可能である場合は改善計画書を作成して提出しなければなりません(勿論、改善計画書に記載した通りに発見事項の改善に取り組む必要があります)。なお、2ヶ月以内の対応が不可能である場合は再度社内プロセスを構築・運用し直す必要があります。
そのようなケースを極力減らすためにも、ISMAPに関するノウハウを持つコンサルティング会社による支援が重要になります。ノウハウを持つコンサルティング会社であれば、各管理策に対する母集団、サンプルの関係をロジカルに組み立てることができ、場合によっては監査機関に対してそのロジックの妥当性を説明することができます。
管理策に合わせて社内プロセスを新たに構築・運用することも重要でありますが、監査においては監査機関に対してそれらを客観的かつ合理的に証明することも重要なポイントであり、コンサルティング会社が強みを発揮する部分でもあります。今後ISMAP登録を目指すクラウドサービス事業者におかれては、円滑にISMAP登録をするために、ISMAP登録に関するノウハウを持つコンサルティング会社の支援を受けることが有効な手段であると考えます。
池山 郁穂(いけやま いくほ)
2021年にアイディルートコンサルティング株式会社(IDR)の前身であるデジタルアーツコンサルティング株式会社に入社。入社後は国内大手IT企業におけるISMS及びISMSクラウドセキュリティ認証維持のための運用支援業務や、ISMAP運用支援業務に従事。また、国内大手通信事業者におけるISMAP登録支援業務の経験を有する。
監修:吉田 卓史(よしだ たくし)
20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。
[1] 独立行政法人情報処理推進機構(IPA), "ISMAP概要", ISMAPポータル,https://www.ismap.go.jp/csm?id=kb_article_view&sysparm_article=KB0010005&sys_kb_id=027db440dbdfd9506e6cb915f39619f5&spa=1
[2] 独立行政法人情報処理推進機構(IPA), "ISMAPクラウドサービスリスト",ISMAPポータル, May 11, 2023,https://www.ismap.go.jp/csm?id=cloud_service_list
[3] デジタル庁, "政府情報システムにおけるクラウドサービスの利用に係る基本方針", デジタル庁ウェブサイト, September 10, 2021,https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/dafcde5b/20220422_resources_standard_guidelines_policy_05.pdf
[4]内閣官房内閣広報室 "未来投資戦略 2018 ―「Society 5.0」「データ駆動型社会」への変革―", 首相官邸ホームページ, June 15, 2018,https://www.kantei.go.jp/jp/singi/keizaisaisei/pdf/miraitousi2018_zentai.pdf
[5]内閣官房, "成長戦略フォローアップ", 内閣官房ウェブサイト, June 21, 2019,https://www.cas.go.jp/jp/seisaku/seicho/pdf/fu2019.pdf
[6]内閣官房, "デジタル・ガバメント実行計画", 政府CIOポータル, December 20, 2019,https://cio.go.jp/sites/default/files/uploads/documents/densei_jikkoukeikaku_20191220.pdf
[7]独立行政法人情報処理推進機構(IPA), "【クラウドサービス事業者様向け】各種お手続きについて", ISMAPポータル,https://www.ismap.go.jp/csm?id=kb_article_view&sysparm_article=KB0010010&sys_kb_id=75335994db21d110d2b773f4f39619eb&spa=1/ISMAP管理基準マニュアル_1,2章.pdf
2024/02/05
ガバナンス
NIST SP800-50に基づいたセキュリティ研修の実...
2023/12/06
ガバナンス
「ISO/IEC 27001:2022」の改訂概要と必要...
2023/10/05
ガバナンス
ISMAPって本当にコンサルが必要?
CISO...
2023/10/05
ガバナンス
NIST SP800-53とISO27001の違いを踏ま...