ニフクラ ブログ

ニフクラやクラウドの技術について、エンジニアが語るブログです。

ISMAPの概要とISMAPとその他クラウドセキュリティ認証制度を比較してみた

こんにちは。富士通クラウドテクノロジーズの鮫島です。

最近、猫も杓子もDXですが、実際のところどうなんでしょう? 某稲垣さんが間違って「デラックスだよね」というCMを見てもうここまでバズワードとして消費されてしまったかと思うと、その昔元首相の某森さんがITを「イット」といった話を思い出したりして、徐々に自身の老化も進んでいることを思い知らされます。

そんな話、どうでもいいですか?

本題に入ります。DXではなくISMAPの話をします。

f:id:sameshima_fjct:20210323101028j:plain
ISMAPの全体像ですが、正直よくわかりませんよね?

※引用元:政府情報システムのためのセキュリティ評価制度(ISMAP)について(内閣官房・総務省・経済産業省)

コロナとDXと政府共通プラットフォーム(ISMAPの背景)

日本政府が新型コロナウイルス感染症第一波の対策に躍起になっている段階で、政府や公共機関のIT化の遅れから手続きの遅滞が生じたことは記憶されているかと思います。

それが直接的なきっかけとなって、デジタル庁創設などが決まり、いよいよDXが進むかという段階になりつつあります。 しかし、どうも足踏み状態のようなデータが政府CIOポータルで公開されていました。

f:id:sameshima_fjct:20210322141722j:plain
赤の廃止と青の移行の実績がここ5年くらい増えていない

ちなみに、ここに記載されているPF=政府共通プラットフォームの略称です。

政府共通プラットフォームとは?
クラウドコンピューティングをはじめとする最新の情報通信技術(ICT)を活用して、従来は各府省が個別に整備・運用していた政府情報システムを統合・集約するとともに共通機能を一元的に提供する基盤システムのことです。
※引用元:IT DASHBOARD(政府CIOポータル)

はい、事情通の皆さんならもうお気づきかと思いますが、第二期政府共通プラットフォームはAWSを基盤に運用を開始することになってます。

「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(平成30年6月7日 各府省情報化統括責任者(CIO)連絡会議決定)にて、「クラウド・ バイ・デフォルト原則」が方針として打ち出されましたが、やっと動き出したように見えます。

しかし、第二期政府共通プラットフォームがAWSを基盤とする段階で、様々な議論があったこともわかっています。

それを裏付ける資料が公開されています。 第二期政府共通プラットフォームにおける クラウドサービス調達とその契約に係る報告書(参考資料) cio.go.jp

この報告書の中に、クラウドサービスの安全性について記載があります。

f:id:sameshima_fjct:20210322180459j:plain
政府のセキュリティ基準がたくさんありすぎて何が何だか…
※引用元:第二期政府共通プラットフォームにおけるクラウドサービス調達とその契約に係る報告書 概要(政府CIOポータル)

セキュリティに関しては、総務省と経産省と政府とFISC(金融情報センター)安全対策基準などを参考にしつつ、海外先進諸国の動向(おおむね米国)を踏まえた検討を行ったということですが、安全性を評価するための統一基準が必要ということになり、並行して制度化が進んでいたISMAPも取り入れつつ改善していくとのこと。 ここで、ようやくISMAPがでてきました!

ISMAP(イスマップ)とは、政府が情報システムを調達しやすくすることを目的とした、クラウドサービスの登録制度です。 政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)の略です。

詳しくはIPAが解説動画を公開しているので、そちらをご覧ください。

www.youtube.com

クラウドの安全性を評価する統一基準が必要な理由

そもそもの話ですが、なぜISMAPのようなクラウドサービスの安全性を評価する統一基準が必要か?という問題です。

旧来のようにオンプレミスで構築されたシステムならば、安全性を評価するために立ち入り監査を行えばよかったのですが、クラウドになるとそもそもデータセンターの場所も非公開が原則ですし、仮にそれでも強引にデーターセンターに立ち入りできたとしても、「このサーバー群のどこかに貴社の仮想サーバーがあります。」「ほぉー。どこにあるんですか?」「特定してどうするんですか?」「なんとなく安心感が得られます。」という話にしかなりません。

また、省庁ごとに微妙に異なる監査基準が存在すると、実際は同じような監査項目であるのに何度も監査を実施するとどちらがそのコストを負担するかは別にして大きな無駄が生じます。手続きを簡略化して監査コストを下げるのはもちろんですが、あらかじめ監査を経て安全性が確認されている(登録された)クラウドから選択するという方向になりました。

政府各省庁の要求を満たすクラウドサービスを、あらかじめ評価してリスト化しておくことで、導入時にサービスを個別に評価する必要がなくなり、結果としてサービスの導入が円滑に行えるようになります。 よって、政府情報システムのデジタルトランスフォーメーション(DX)を推進し、デジタルガバメント化を目指す上でも、ISMAPは重要な施策のひとつとなっているわけです。

ISMAPの管理基準とは?

前述の通り、ISMAPへの登録を申請するクラウドサービスは、ISMAP監査機関による非常に厳格な監査をパスする必要があります。監査のポイントとなるのは、ISMAPがクラウドサービス事業者に対して要求している「ガバナンス基準」「マネジメント基準」「管理策基準」の3つです。 この要求事項は残念ながらすべてが公開されているわけではありません。

ISMAP: 管理基準:IPA 独立行政法人 情報処理推進機構

こちらに、管理基準が公開されているようにみえますが、実際は半分程度しか公開されていません。

ISMAP管理基準は、以下の2つのJIS規格を購入いただいている場合のみ閲覧することができる

※下記の2つを購入している人だけが閲覧可能です。
 JIS Q 27014:2015 (ISO/IEC 27014:2013)
 JIS Q 27017:2016 (ISO/IEC 27017:2015)

せっかくだから全部見せてくださいよ~と思いますが、気になる人はここを見るとだいたいイメージができます。

ISMAP 管理基準(案) 令和2年 月〇日
※こちらも(案)ですので全部網羅されていないようです。

ISMAPの管理基準は、下記のようにガバナンス基準、マネジメント基準、管理策基準の3つから構成されます。 f:id:sameshima_fjct:20210322185310j:plain 引用元:ISMAP 管理基準(IPA)

ISMAP 管理基準は何を参照して策定されたか?

このブログを読んでいる人は、官公庁の方、官公庁にクラウドを提案する立場の方よりも、IT企業や企業の情シス担当者の方がはるかに多いと思います。
そういった方にとって、ISMAPは「ふーん?政府とか官公庁向けの基準でしょ?」程度の反応じゃないかと思います。 しかし、実際にそのクラウドサービスがどれくらいの安全対策を行っているかを理解する目安にはなります。

非常にざっくりした説明ですが、ガバナンス基準は、JIS Q 27014:2015 (ISO/IEC 27014:2013)、マネジメント基準と管理策基準は、いわゆる[ISMSクラウドセキュリティ認証で使用された管理基準であるJIS Q 27001(ISO/IEC 27001)とJIS Q 27017:2016 (ISO/IEC 27017:2015)で、それらでカバーしていない部分を米国の政府向け情報セキュリティガイドラインNIST SP800-53で補ったという感じです。

ISMAPの管理基準は1,000項目以上あるため、監査の負荷は非常に大きいものとなります。

それぞれの詳細なマッピングについては、先にあげたISMAP 管理基準(案)に記載されています。

クラウドに特化したセキュリティ認証制度としては、[ISMSクラウドセキュリティ認証や、クラウドセキュリティ推進協議会(JASA)のCSマーク制度があり、政府も取得を推奨していました。
これらは、いずれもJIS Q 27017:2016 (ISO/IEC 27017:2015)に準拠した管理基準を満たしているかを内部監査で確認して、監査法人がそれを適性であるか審査を行う方式です。

ISMAPでは、ISMAP監査機関リストに登録された監査機関に監査を依頼し、管理基準に基づいた情報セキュリティ対策の実施状況について監査基準等に基づき監査を受けます。

よって、ISMAPの監査はより厳密であり客観性が高いということになります。

SOC2とISMAPの単純比較は難しい

従来、クラウドサービスの安全性を証明する方法論として、SOC報告書が厳密な監査で知られていました。

SOC報告書は、もともと米国公認会計士協会(AICPA)が策定したものです。
ある業務を外部の企業から受託する際に、内部統制の状況を監査法人などが報告書として記載するものであり、特にクラウドサービスにおいては、SOC2報告書が利用されてきました。

特徴としては、報告書を作成するにあたって、セキュリティ、可用性、処理のインテグリティー、機密保持、プライバシーのいずれか一つ以上(複数も可)を選択する方式になります。

クラウドサービスの場合、セキュリティや可用性が選択されるケースが多いと思いますが、選択していないものについては当然内部統制状況は確認できません。

しかし、ISMSやISMAPと大きく異なる点が閲覧性の高さです。

 ・SOC報告書はサービス利用者が参照できる
 ・ISMSやISMAPの管理基準の具体的な対応状況は参照できない

このあたりが、クラウドサービスの安全性を確認する際、SOC2報告書のニーズが高い理由かもしれません。

しかし、監査という観点ではSOC2のように限定された分野での報告書(全部選択することもできますが…)であるのに対しISMAPは1,000を超える管理基準があり極めて網羅性が高いこと、米国のNIST SP800-53というサイバーセキュリティに特化したガイドラインを参照していることもあり、より実勢に合ったものだと考えられます。

下記は、代表的なクラウド情報セキュリティに関する制度を、私の感覚値に基づきレーダーチャートで比較したものです。

f:id:sameshima_fjct:20210323170805p:plain
あくまで私の主観です。ぜひSNSで炎上させてください。

※まったく根拠の無い数字で作られているのでくれぐれもビジネス用途で使用しないでくださいね。

もしも、特に重視しているセキュリティ要件があれば、それを満たしているかを確認することが必要です。 クラウドサービス事業者がセキュリティホワイトペーパーなどを活用してどれくらい情報開示しているかが閲覧性を判断する重要なポイントになります。

かくいうニフクラも、近日ISMAPクラウドサービスリスト登録へ向けて準備を進めているところです。

監査って正直大変ですね。

では、またお会いしましょう。