内容
GW中に下記の資料を読んで内容と今までの流れをまとめてみました。
流れ
基本方針の中でクラウド・バイ・デフォルト原則が発表され、政府情報システム調達の際は、オンプレの前にSaaS→IaaS/PaaSを検討しなさいという流れになりました。クラウドはセキュリティが心配という声が多く、また、統一的なセキュリティ基準がなかったため作成されたのがISMAPです。その後、基本方針の改定案が発表され、下記方針のもと、マネージドサービスやIaCなどスマートでモダンな技術を中心に使っていくことが方針として明記されました。
クラウドファースト(先ずはクラウドの利用を検討する)から
クラウドスマート(クラウドを賢く適切に利用する)へ
方針の改定
2022年12月に改定された基本方針の中に出てきたキーワードをいくつかピックアップしてみました。このキーワードからどの様なサービスが求められている想像がつきやすいかと思います。また、「調達の際は基本アプリとインフラを分けない」、「オンプレの現行踏襲をしない」等、モダンな技術を使用していくのに必要なプロセスの記載も色々とあります。
ISMAP
どんなものか
セキュリティ基準を満たしたクラウドサービス提供者がリストに登録されます。政府情報システム調達の際、基本的にはクラウドサービスはISMAPに登録されたものを選択する方針となっています。なお、基本方針の「4.1 ISMAP 以外のクラウドセキュリティ認証等」にISMAP登録されていないサービスを利用する際の推奨事項に関して記載があります。
運営
ざっくり運営側(制度を運営、基準を作る人たち)、CSP(クラウドサービスの提供者)、監査機関で構成されます。この三権分立パターンは(国会、行政、裁判所)や(株主総会、取締役会、監査役会)のようにガバナンスをきかせる鉄則パターンかもしれません。
管理基準
クラウドサービス事業者が守るべき基準の一覧です。これはJISQ270XXや統一基準など複数のプラクティスや文章を元に作成されています。管理基準の内容は階層的に「管理策基準」、「マネジメント基準」、「ガバナンス基準」とありますが、全体的な方針があり、それをどう管理していくか、具体的にどうやるかといった、ISMSやセキュリティ管理基準で良く見られるパターンです。
ISMAP-LIU
ISMAPの基準は膨大でありであるため、セキュリティ上のリスクの小さな業務・情報の処理に用いるSaaSを対象にISMAPの簡易版であるISMAP-LIUが登場しました。