「ISMAP」は政府お墨付きの証 - “クラウドファースト”時代の安全なサービス探し、どうする?
目次を閉じる
クラウドが仕事に欠かせなくなった
テレワーク制度を導入する企業が急増し、自宅などオフィス外から業務データにアクセスしたり、同僚とリモート共同作業したりする必要性が高まって、クラウドサービスの業務利用も増えています。民間企業だけでなく、DX推進に取り組んでいる政府も「クラウド・バイ・デフォルト原則」を掲げ、クラウドサービス利用を積極的に進めています。
IDC Japanが2021年3月に発表した「国内パブリッククラウドサービス市場予測」によると、国内パブリッククラウドサービス市場の規模は、2020年に前年比19.5%増の1兆654億円へと拡大しました。同市場は今後も成長を続け、2025年には2兆5,866億円規模になると予想されています。もはや、クラウドが仕事に欠かせない“クラウドファースト”時代になりました。
セキュリティ評価制度「ISMAP」とは
クラウド導入で業務が効率化されると、「ビジネスの加速」という恩恵がもたらされます。その一方、クラウド特有のセキュリティ対策が求められ、セキュリティ人材不足の問題で対応に苦慮している企業も多いようです。
信頼できるクラウドサービスはどのように選択すればよいでしょうか。政府は、「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program:ISMAP)」という制度を新設し対処しています。
政府はクラウド導入を推進しているが……
政府は、クラウド・バイ・デフォルト原則にもとづき積極的にクラウドサービスを利用する方針です。ところが、統一的なセキュリティ要求基準は策定されていません。クラウドを調達しようとする都度、担当者が候補となるサービスのセキュリティ対策を確認しなければなりませんでした。これは、負荷が高く効率の低い調達方法といえます。
この問題を解決するために、ISMAP(イスマップ)は制定されました。適切なセキュリティ水準が確保されたクラウドサービスを「信頼できるクラウド」とあらかじめ認めておき、それらサービスのなかから目的に合うものを導入します。こうすれば、適切なサービス選定にともなう作業の負荷は、大きく軽減されるでしょう。
そこで、内閣サイバーセキュリティセンター(NISC)や総務省、経済産業省が連携し、ISMAPの策定に乗り出しました。
政府が定めたクラウドセキュリティ要件
ISMAPは、政府機関などが導入するクラウドサービスに対して要求すべき、基本的な情報セキュリティの管理・運用基準を定めています。ISMAPにしたがったクラウドであれば、政府機関は安心して使えるのです。
既存の情報セキュリティマネジメントシステム適合性評価制度(Information Security Management System:ISMS)で求められている「JIS Q 27001(ISO/IEC 27001)」のほか「JIS Q 27002 (ISO/IEC 27002)」「JIS Q 27017 (ISO/IEC 27017)」といった国際的なセキュリティ規格をベースに、不足している要件などを追加してまとめました。
政府は、ISMAPに適合するクラウドサービスをリストで公開しますが、適合しているかどうかの監査は行いません。監査は、あらかじめ認定された第三者である監査機関が実施します。クラウドサービスプロバイダーからの申請に応じてセキュリティを確認し、要件を満たしていればリストへ掲載する流れです。
ISMAPリスト掲載サービスは?
原則として政府機関は、ISMAPで登録された、つまり、監査済みリストに掲載されたクラウドサービスのいずれかを選んで導入します。サービスプロバイダーの立場からみると、このリストに掲載されると政府から調達されやすくなるはずです。
ちなみに、第一弾の監査済みクラウドサービスは、2021年3月12日に「ISMAPクラウドサービスリスト」として公開されました。最新のリストは6月22日に掲載され、NTTデータ、富士通、グーグル、セールスフォース・ドットコム、アマゾン・ウェブ・サービシズ、日本電気(NEC)、オラクル、日本マイクロソフト、日立製作所の具体的なサービスが並んでいます。
ISMAPのウェブサイトでは、監査機関のリストも確認可能です。
民間企業のクラウド導入にも活用
ISMAPのリストには、セキュリティ面で安心できる具体的なクラウドサービスが掲載されています。民間企業のITスタッフにも役立つでしょう。
政府機関向けクラウドサービスが目的であるISMAPのセキュリティ要件は、企業にとって過剰で、コストが必要以上に高い可能性もあります。したがって、現時点では参考程度にとどめるリストです。
ただし、政府はISMAPのリストを民間企業にも参照してもらい、クラウドサービスの利用促進を目指しています。企業向けに提供される場合は、要件の緩和されたリストが新たに作られるかもしれません。そうなればISMAPリストの有用性は高まるので、動向を注視していましょう。
