政府機関が利用するクラウドサービスの安全性を確保するISMAPとは
セキュリティを知りたい
先生、「ISMAP」って最近よく聞くんですけど、どんなものなんですか? セキュリティと関係があるって聞いたんですけど…
セキュリティ研究家
そうだね。「ISMAP」は、簡単に言うと政府が安全だと認めたクラウドサービスの一覧表のことだよ。 政府機関が安全なクラウドサービスを簡単に選べるように、事前に政府がセキュリティチェックをしてくれているんだ。
セキュリティを知りたい
なるほど! つまり、政府のお墨付きのサービスってことですね! なんで、そのような制度が必要になったんですか?
セキュリティ研究家
良い質問だね! 昔はクラウドサービスごとにバラバラにセキュリティ対策をしていたから、政府機関がサービスを選ぶのが大変だったんだ。 そこで、統一的な基準を作って安全性を保証することで、安心してクラウドサービスを使えるようにしたんだよ。
ISMAPとは。
政府の情報を守るための仕組みとして『情報システム等セキュリティ評価・登録制度』、略して『ISMAP』(イスマップ)があります。これは、政府が安全だと認めたクラウドサービスを、あらかじめ調べてリストアップしておく仕組みです。 各省庁や機関は、原則としてこのリストに載っているサービスを使うことになっています。 なぜこのような仕組みが必要になったかというと、以前はクラウドサービスを提供する会社によって、安全対策の基準がバラバラだったためです。そのため、各省庁などは、サービスを使うたびに、その会社の安全対策を個別に確認しなければなりませんでした。 そこで、政府全体のサイバーセキュリティを強化するために、信頼できる安全なクラウドサービスの利用を促進することになりました。その具体的な取り組みの一つとして、ISMAPが作られました。 ISMAPは、内閣サイバーセキュリティセンター、IT総合戦略室、総務省、経済産業省が協力して運営しています。そして、実際にサービスの評価や登録業務などを行う技術的なサポートは、IPA(情報処理推進機構)が担っています。 各省庁などは、クラウドサービスを使うときは、基本的にISMAPに登録されているサービスから選ぶことになっています。そのため、クラウドサービスを提供する会社は、ISMAPへの登録に積極的に取り組んでいます。 2021年3月12日には、IPAによって、ISMAPに登録された10個のクラウドサービスが公表されました。
ISMAPとは
– ISMAPとはISMAPは、「情報システムのセキュリティ管理及び評価プログラム」の略称で、国の機関が利用するクラウドサービスの安全性を評価し、登録する制度です。この制度は、政府が推進するクラウドサービスの利用促進と、安全性の確保の両立を目的としています。国の機関は、原則としてこのISMAPに登録されたクラウドサービスの中から、利用するサービスを選ぶことになっています。 ISMAPに登録されるためには、クラウドサービスを提供する事業者は、セキュリティに関する様々な管理策を実施していることを、第三者機関の審査によって証明する必要があります。 審査項目には、データの保管場所やアクセス制御、情報漏えい対策など、多岐にわたる項目が含まれており、厳しい基準をクリアする必要があります。ISMAPへの登録は、利用者である国の機関にとって、クラウドサービスの安全性を客観的に判断する基準となります。 また、クラウドサービスを提供する事業者にとっても、政府機関に対して、自社のサービスの信頼性を示す重要な指標となります。ISMAPは、クラウドサービスの利用が拡大する中で、安全性を確保するための重要な制度として、今後もその役割が期待されています。
| 項目 | 内容 |
|---|---|
| ISMAPとは | 情報システムのセキュリティ管理及び評価プログラムの略称。国の機関が利用するクラウドサービスの安全性を評価し、登録する制度。 |
| 目的 | 政府が推進するクラウドサービスの利用促進と、安全性の確保の両立。 |
| 登録基準 | データの保管場所やアクセス制御、情報漏えい対策など、多岐にわたるセキュリティ項目に関する厳しい審査基準をクリアする必要がある。 |
| メリット (国の機関) |
クラウドサービスの安全性を客観的に判断する基準となる。 |
| メリット (事業者) |
政府機関に対して、自社のサービスの信頼性を示す重要な指標となる。 |
ISMAP導入の背景
– ISMAP導入の背景従来、国の機関が業務効率化やコスト削減のためにクラウドサービスを利用するケースが増加していました。しかし、クラウドサービスを提供する事業者側のセキュリティ対策がそれぞれ異なり、統一的な基準が存在しなかったため、利用する側の国の機関は、個別にセキュリティ対策の確認を行う必要がありました。各機関が個別にセキュリティ対策を確認することは、機関にとって大きな負担となっていました。また、機関ごとにセキュリティ対策の確認方法や評価基準が異なるため、セキュリティ水準にばらつきが生じ、政府全体として見た場合にセキュリティ上の弱点となる可能性も孕んでいました。そこで、政府全体のサイバーセキュリティ強化を目的とする「サイバーセキュリティ戦略」(平成30年7月27日閣議決定)に基づき、政府機関が安心してクラウドサービスを利用できるよう、セキュリティ対策の基準を統一し、信頼できるクラウドサービスの利用促進を図るためにISMAPが策定されました。ISMAPは、クラウドサービス事業者に対して、統一的なセキュリティ基準への準拠を義務付けるとともに、第三者機関による評価・認証制度を導入することで、政府機関が安心してクラウドサービスを利用できる環境を整備することを目的としています。
| 従来の課題 | ISMAP導入による解決策 |
|---|---|
| クラウドサービス事業者側のセキュリティ対策が異なり、統一的な基準が存在しなかったため、国の機関は個別にセキュリティ対策の確認を行う必要があり、大きな負担になっていた。 | クラウドサービス事業者に対して、統一的なセキュリティ基準への準拠を義務付けるとともに、第三者機関による評価・認証制度を導入することで、政府機関が安心してクラウドサービスを利用できる環境を整備する。 |
| 機関ごとにセキュリティ対策の確認方法や評価基準が異なるため、セキュリティ水準にばらつきが生じ、政府全体として見た場合にセキュリティ上の弱点となる可能性があった。 | 統一的なセキュリティ基準を設けることで、政府機関が利用するクラウドサービスのセキュリティ水準を一定以上に保ち、政府全体のセキュリティレベル向上を図る。 |
ISMAPの運営体制
– ISMAPの運営体制情報セキュリティ管理評価制度(ISMAP)は、複数の政府機関が連携して運営する、強力かつ信頼性の高い制度です。制度の中核を担うのは、内閣サイバーセキュリティセンター(NISC)です。NISCは、我が国のサイバーセキュリティ戦略の司令塔として、ISMAPの全体的な方向性を定め、制度設計の中心を担っています。情報通信技術(IT)総合戦略室は、IT戦略の策定や推進を行う政府機関です。ISMAPにおいては、IT分野における国の政策と整合性をとりながら、円滑な制度運営を支援しています。総務省と経済産業省も、ISMAPの運営に深く関わっています。それぞれの省が管轄する業界や事業者に対して、制度への参加を促し、情報セキュリティ対策の向上を推進しています。さらに、独立行政法人情報処理推進機構(IPA)が、ISMAPの円滑な運用を技術面から支えています。IPAは、長年の経験と専門知識に基づき、制度運用や評価に関する技術支援、評価機関に対する研修など、多岐にわたる業務を行っています。このように、ISMAPは複数機関による連携体制によって、公平性・透明性を確保し、信頼性の高い制度として運用されています。
| 機関名 | 役割 |
|---|---|
| 内閣サイバーセキュリティセンター(NISC) | ・サイバーセキュリティ戦略の司令塔 ・ISMAPの全体方針策定 ・制度設計の中心 |
| 情報通信技術(IT)総合戦略室 | ・IT戦略の策定・推進 ・国のIT政策とISMAPの整合性確保 ・円滑な制度運営支援 |
| 総務省と経済産業省 | ・管轄業界・事業者への制度参加促進 ・情報セキュリティ対策向上推進 |
| 独立行政法人情報処理推進機構(IPA) | ・制度運用・評価に関する技術支援 ・評価機関に対する研修 ・円滑なISMAP運用を技術面から支援 |
ISMAPの評価と登録
– ISMAPの評価と登録
ISMAP(Information-security Management and Assessment Program)は、政府機関が安全にクラウドサービスを利用できるよう、サービスの安全性に関する評価と登録を行う制度です。
クラウドサービスを提供する事業者は、ISMAPへの申請を行い、独立行政法人情報処理推進機構(IPA)による評価を受けます。評価は、国際標準規格に基づいたセキュリティ要求事項に適合しているかどうかを基準として行われます。
評価項目は多岐にわたり、組織のセキュリティ体制、システムの技術的な安全性、運用時のセキュリティ対策などが厳格にチェックされます。具体的には、情報セキュリティポリシーの策定、アクセス制御の実施、脆弱性への対応、インシデント発生時の対応などが評価対象となります。
そして、評価の結果、適合と認められたサービスが「ISMAPクラウドサービスリスト」に登録されます。
政府機関は、原則としてこのリストに掲載されたサービスから調達を行うことになります。これにより、政府機関はセキュリティレベルの高いクラウドサービスを容易に選択することができ、安全な情報システムの構築が可能となります。
ISMAPは、クラウドサービスの安全性に対する信頼性を高め、政府機関のデジタル化を推進する上で重要な役割を担っています。
| 項目 | 内容 |
|---|---|
| 概要 | 政府機関が安全にクラウドサービスを利用できるよう、サービスの安全性に関する評価と登録を行う制度 |
| 評価主体 | 独立行政法人情報処理推進機構(IPA) |
| 評価基準 | 国際標準規格に基づいたセキュリティ要求事項への適合性 |
| 評価項目 | 組織のセキュリティ体制、システムの技術的な安全性、運用時のセキュリティ対策など – 情報セキュリティポリシーの策定 – アクセス制御の実施 – 脆弱性への対応 – インシデント発生時の対応 |
| 登録 | 評価の結果、適合と認められたサービスは「ISMAPクラウドサービスリスト」に登録 |
| 政府機関による調達 | 政府機関は、原則として「ISMAPクラウドサービスリスト」に掲載されたサービスから調達 |
ISMAPの普及状況と今後の展望
– ISMAPの普及状況と今後の展望2021年3月12日、情報処理推進機構(IPA)から初めての「ISMAPクラウドサービスリスト」が公表され、セキュリティ対策が施された安全なクラウドサービスとして10個のサービスが登録されました。このリストは、政府機関がクラウドサービスを調達する際に、セキュリティの観点から信頼できるサービスを容易に選択できるようにすることを目的としています。 ISMAP(Information system Security Management and Assessment Program)とは、政府機関が利用するクラウドサービスのセキュリティ対策の実施状況を客観的に評価し、その結果を相互に承認する制度です。従来、政府機関がクラウドサービスを導入する際には、個別にセキュリティ対策の評価を行う必要があり、多大な時間と費用がかかっていました。しかし、ISMAPの導入により、一度評価を受けたサービスは他の機関でもその評価結果を共有できるようになり、政府機関全体のクラウドサービス導入の効率化とセキュリティレベルの向上が期待されています。公開以降、ISMAPへの登録サービス数は増加傾向にあり、政府機関におけるクラウドサービス調達において重要な役割を果たしつつあります。今後も、政府機関やクラウドサービス事業者に対するISMAPの認知度向上や理解促進に向けた取り組みが重要となります。また、より多くのクラウドサービス事業者がISMAPに登録し、多様なニーズに対応できるサービスが提供されるようになると、政府機関のクラウドサービス利用の安全性と信頼性がさらに高まり、我が国のデジタル化推進に大きく貢献することが期待されます。
| 項目 | 内容 |
|---|---|
| ISMAPとは | 政府機関が利用するクラウドサービスのセキュリティ対策の実施状況を客観的に評価し、その結果を相互に承認する制度 |
| 目的 | 政府機関がクラウドサービスを調達する際に、セキュリティの観点から信頼できるサービスを容易に選択できるようにする 政府機関全体のクラウドサービス導入の効率化とセキュリティレベルの向上 |
| 効果と展望 | – ISMAPへの登録サービス数増加傾向 – 政府機関におけるクラウドサービス調達において重要な役割を果たす – より多くのクラウドサービス事業者がISMAPに登録することで、政府機関のクラウドサービス利用の安全性と信頼性がさらに高まり、我が国のデジタル化推進に貢献 |
| 今後の取り組み | – 政府機関やクラウドサービス事業者に対するISMAPの認知度向上や理解促進 – 多様なニーズに対応できるサービス提供 |