政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program:ISMAP)は、政府機関等のクラウドサービス調達に関する制度です。
本稿では、クラウドサービス事業者がISMAP制度について知っておくべき基礎の全てをご紹介します。
ISMAP制度とはどういった制度なのか
どんなメリットがある制度なのか
ISMAP制度に対応するにはどうしたら良いのか
どのくらいの費用がかかるのか
これらを知りたい方は、是非本稿をご覧ください。
政府情報システムのためのセキュリティ評価制度(ISMAP)とは?
政府情報システムのためのセキュリティ評価制度(ISMAP)とは、政府が求めるセキュリティ水準を満たすクラウドサービスの調達を実現するため、予めクラウドサービスを評価し、登録する制度です。
クラウドサービスについて、ISMAP監査機関による外部監査を受ける
提出書類を準備し、ISMAPクラウドサービスリストへの登録を申請する
申請内容について、ISMAP運営委員会の審査を受ける
ISMAPクラウドサービスリストに登録される
政府機関等がISMAPクラウドサービスリストに登録されているクラウドサービスを調達する
ISMAP制度発足の経緯
ISMAP策定の背景として欠かせないのは「クラウド・バイ・デフォルト原則」です。2018年6月に掲げられたこの原則により、政府情報システムの調達において、クラウドサービスの利用を第一候補として検討を行うことが求められるようになりました。
2.1 クラウド・バイ・デフォルト原則 政府情報システムは、クラウド・バイ・デフォルト原則、すなわち、クラウドサービスの利用を第一候補として、その検討を行うものとする。その際、「3 具体方針」に基づき、単にクラウドを利用するのではなく、クラウドをスマートに利用するよう検討するものとする。 【出典】政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針
しかし、クラウドサービスの利用においては、クラウド特有のセキュリティ面の懸念が存在します。オンプレミス環境では、セキュリティリスクの可視性と統制可能性が自組織の範疇にある一方で、クラウドサービスのリスクは、自組織では解決できない、クラウドサービス事業者に依存する領域が多くなるためです。
こういったセキュリティ上の懸念に対処すべく、2018年8月より、クラウドサービスの安全性評価に関する検討会という名称にてISMAPの検討が開始され、2020年6月にISMAP制度が施行されました。
ISMAP制度の対象
では、ISMAPの対象となる政府機関等や、対象となるクラウドサービスは、どのような者になるのでしょうか。具体的には、以下の通りです。
ISMAPの活用が求められる政府機関等は、国の行政機関、独立行政法人、指定法人のみですが、例えば地方公共団体に対しても、クラウドサービス調達時に参照すべき認証・制度としてISMAPが紹介されており、また、重要インフラ事業者に対してもISMAP登録サービスが推奨されていることを踏まえると、直接的・間接的に関わらず、ISMAP制度は大きく注目を集めているといって良いでしょう。
また、ISMAPの対象となるクラウドサービスは、基本的に要機密情報を取り扱うサービスが対象となりますが、その中でも、セキュリティリスクが小さい業務・情報を取り扱うSaaSに対する仕組みとして、ISMAP for Low-Impact Use(ISMAP-LIU)が2022年11月に発足しています。更に、より高度なセキュリティ水準が求められる一例として、ガバメントクラウドの一要件にISMAP登録が位置付けられていること等、様々な領域でISMAPが参照されつつあります。
ISMAP-LIUについて詳しく知りたい方は、 「ISMAP-LIUとは?ISMAPとの違いやISMAP-LIU費用を徹底解剖」をご参考ください。
ISMAPの目的
ISMAPの制度の目的は大きく2つです。
安心・安全なクラウド調達を可能とする仕組みの実現
高度な調達プロセスの実現
1つ目の目的は、安心・安全なクラウド調達の実現です。前述したように、クラウドサービスの調達にはセキュリティ面での不安が多く存在します。また、要機密情報を取り扱う政府の情報システムでは、求められるセキュリティのレベルも相応なものとなります。そのため、ISMAPの枠組みでは、ISMS認証型の文書審査ではなく、民間のセキュリティ監査の枠組みを基にして、実際のセキュリティ対策の導入状況や、セキュリティ対策の運用状況まで踏み込んだ評価を行います。要求されるセキュリティ項目も最大で1,000を超える管理策群から構成されており、要求水準が比較的高い制度となっています。
また、セキュリティ監査のみならず、準拠法・裁判管轄に関する情報提供や、日本国内法以外の法令適用に対する情報提供等、民間へのサービス提供ではあまり意識がされない事項についても、対応が求められます。セキュリティ監査と併せてこうした情報も踏まえて調達ができるようにすることで、政府機関等が安心・安全なクラウドサービスを利用することに寄与しています。
3.4 申請者は、言明書に記載の内容に加えて以下の情報をISMAP運営委員会に提供しなければならない。 (1) 申請時点における申請者の資本関係及び役員等の情報 (2) クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用され、調達府省庁等が意図しないまま当該調達府省庁等の管理する情報にアクセスされ又は処理されるリスクについて、ISMAP運営委員会及び当該省庁等がリスク評価を行うために必要な情報 (3) 契約に定める準拠法・裁判管轄に関する情報 (4) ペネトレーションテストや脆弱性診断等の第三者による検査の実施状況と受入に関する情報 【出典】ISMAPクラウドサービス登録規則
2つ目の目的は調達プロセスの高度化です。これまでは、各政府機関等が個別にセキュリティチェックを行っていました。クラウド事業者としても、同様の確認項目に都度の対応を強いられ、非効率性を招いていました。ISMAPでは、セキュリティ監査に関する高度な知見を有した監査機関が評価を行い、その結果として登録されたサービスをホワイトリスト式に調達することができるため、セキュリティチェックの効率性及び品質の両面で、利便性の高い制度となっています。
ISMAPクラウドサービスリスト掲載のメリット
ISMAPクラウドサービスリストに登録されることによる、クラウドサービス事業者の主なメリットは3つあります。
政府機関等のシステム調達への入札参加
高いセキュリティレベルの証明
民間企業の高まる要求に応える
1.政府機関等のシステム調達への入札参加
1つ目は、ISMAPの本来の趣旨である政府機関等のシステム調達への参入です。ISMAPの開始以降、政府機関等は、原則としてISMAPに登録されているサービスから調達を行うことになりました。
2 各政府機関等における本制度の利用の考え方 各政府機関等は、クラウドサービスを調達する際には、本制度において登録されたサービスから調達することを原則とし、本制度における登録がないクラウドサービスの調達については、本制度で要求する事項を満たしていると、当該調達を行う政府機関等の最高情報セキュリティ責任者の責任において、それぞれの政府機関等で確認するものとし、詳細は、サイバーセキュリティ対策推進会議、デジタル社会推進会議幹事会において定めるものとする。
したがって、ISMAPクラウドサービスリストに掲載されることで、政府機関等のシステム調達への入札参加が容易になります。また、総務省が地方公共団体向けに公表している「地方公共団体における情報セキュリティポリシーに関するガイドライン」において、地方公共団体がクラウドサービスを調達する際に参照すべき認証・制度の1つにISMAPが位置づけられています。地方公共団体はISMAPの直接の対象とはなっていませんが、公的な機関として一定のセキュリティ水準が確保されたサービスを使うという点では類似しているため、ISMAPは、地方公共団体のシステム調達案件にも役に立つと考えられます。
2.高いセキュリティレベルの証明
ISMAPの要求事項は主に、ISO/IEC27017等の国際標準に基づいて作成されています。そういった国際的にも広く参照されている規格に適合しているという点で、政府機関等への案件入札だけではなく、民間に対する広いアピールが可能です。
また、セキュリティ要求事項(管理策)のみならず、セキュリティ対策状況の評価基準(監査基準)も、ISMS認証等よりはるかに厳しいため、一見すると似たセキュリティ要求事項であっても、ISMAPの方がより安心感があるという点が、アピール材料になり得ます。
ISMAPクラウドサービスリストは、公式サイトで公開されているため、対外的に高いセキュリティレベルを維持していることを証明できます。
3.民間企業の高まる要求に応える
民間企業のクラウドサービス調達におけるセキュリティ重視の傾向は年々高まってきています。特に経済安全保障の観点から、重要インフラ企業はサプライチェーン全体で高いセキュリティレベルを確保することが求められており、場合によっては、こうした需要の高まりに応える有効な手段となります。
ISMAP管理基準のすべて
ISMAP管理基準とは、クラウドサービス事業者が ISMAP クラウドサービスリストへの登録申請を行う上で実施すべきセキュリティ対策であり、かつ、監査機関が監査の前提として用いる基準です。
上記、図の通り、管理基準は、「ガバナンス基準」、「マネジメント基準」、及び「管理策基準」から構成されています。
ガバナンス基準 JIS Q 27014(ISO/IEC27014)の内容をもとに策定された事項。原則としてすべて実施しなければならない。
マネジメント基準 情報セキュリティマネジメントの計画、実行、点検、処置、及び、リスクコミュニケーションに必要な実施事項。原則としてすべて実施しなければならない。
管理策基準 組織における情報セキュリティマネジメントの確立段階において、リスク対応方針に従って管理策を選択する際の選択肢を与えるもの。管理目的と詳細管理策で構成される。詳細管理策の内、統制目標を満たすために採用している詳細管理策および末尾に B が付された詳細管理策は原則としてすべて実施しなければならない。
ISMAP監査のすべて
ISMAP監査は、ISMAPクラウドサービスリストに登録する上で必須のプロセスとなっています。監査は、ISMAP監査機関リストに登録されている監査機関から受ける必要があります。
EY新日本有限責任監査法人
有限責任監査法人トーマツ
有限責任あずさ監査法人
PwC Japan有限責任監査法人
三優監査法人
(記事公開・更新時点)
監査は「個別管理策」に基づいて実施されます。個別管理策とは、クラウドサービス事業者が、自身の選択した詳細管理策のそれぞれに対して、自身のクラウドサービスにおいて具体的に設計した個々の統制のことを言います。クラウドサービス事業者は、監査の前までにこの個別管理策を作成しておく必要があるということです。
監査プロセスでは、「整備状況評価」と「運用状況評価」が実施されます。特に「運用状況評価」ではサンプリング手法に基づき、複数の証跡をもって統制の運用実態が確認されることになります。
整備状況評価 クラウドサービス事業者が ISMAP 管理基準に準拠して統制目標及び詳細管理策を選択し、必要な統制を監査の対象期間内のある時点において整備していることを評価することをいう。
運用状況評価 クラウドサービス事業者が ISMAP 管理基準に準拠して統制目標及び詳細管理策を選択し、整備した統制が監査の対象期間にわたり有効に運用していることを評価することをいう。
ISMAP登録までの流れ(クラウドサービス事業者)
事前準備
まず初めに、クラウドサービス事業者は、監査を受けるための準備として「個別管理策」を作成する必要があります。統制目標を満たすために採用している詳細管理策を見極め、ISMAP管理基準に対して自組織が設計している統制内容を記述します。個別管理策を作成する中で、ISMAP管理基準を満たさない部分が見つかった場合には、不適合の改善対応を行います。
監査
個別管理策の作成が完了したら、ISMAP監査機関リストに登録されている監査機関から監査を受けます。監査機関から要求される資料の提出や質疑への応答を実施し、発見事項が見つかった際には改善計画書を作成します。監査の終了時に、実施結果報告書を受領し、次のステップに進みます。
審査
実施結果報告書およびその他の申請書類を準備し、ISMAPポータルで登録申請を行います。
申請書類はISMAP運営委員会により審査されます。審査では、不明確な部分等について質疑を受けることになり、クラウドサービス事業者はそれぞれ質疑があったときから1か月以内に真摯に返答することが求められます。
ISMAP費用の相場
ISMAPサービスリストへの登録に係る費用は、主に監査機関に支払う費用になります。各監査機関は主に2つのサービスを提供しており、1つが必須である本監査・本番評価であり、もう1つが、任意で受けることができる事前診断・プレ評価サービスとなっています。各監査機関が提供するサービスの内容及び費用には差があるという前提で、ISMAPサービスリストへの初回登録にかかる各種費用の相場感をまとめました。なお、詳細な費用については、各監査機関にお問い合わせください。
ISMAP制度に関する直近の動き(更新:2023/12)
ISMAP制度の運用の中で明らかになった「外部監査の負担軽減」や「審査の迅速化・効率化」などの課題に対して、改善を施した枠組みが2023年10月より運用開始されました。
外部監査の枠組みの見直し
モデル審査機関の枠組み
発見事項への対応の充実
ISMAP-LIU登録促進のための特別措置について
ISMAP関係主体とのコミュニケーションの深化
詳細はこちらから
いかがでしょうか。今回は、ISMAP制度について知るべき基礎の全てをご紹介しました。ISMAPはセキュリティコンプライアンスの領域では非常に価値が高く、注目されてきている制度です。今後、より詳細な制度説明も行っていきますので、ぜひそちらもご覧ください
本サイトでは、ISMAP制度における疑問・質問はどんな内容でも受け付けております。その他、制度理解や対応に役立つコンテンツをどんどん配信しているので、是非チェックしてみてください!
執筆者
東海林 和広
株式会社 X-Regulation 取締役
大手監査法人において、ISMAP監査やクラウドサービスに対するセキュリティ監査等を多数経験