この記事は、NTTテクノクロス Advent Calendar 2020の11日目です。
はじめまして、NTTテクノクロスの中田と申します。
普段は、ISMS(ISO/IEC 27001)、クラウドセキュリティ(ISO/IEC 27017)、 クラウド情報セキュリティ監査制度(CSマーク)、情報セキュリティポリシー策定などに関するセキュリティコンサルティング業務に携わり、新しい規格・基準、制度等ができるとノウハウをためてはメニューを増やしています。(今年は、ISMAP登録コンサルティングを増やしました)
また、ときおり、社外向けに、セキュリティ規格・基準等の解説本執筆や社外(企業・大学など)向けセキュリティ研修の講師なども行っています。
##はじめに
今回は、2020年6月に開始された、政府機関等向けのクラウドサービスの安全性評価制度、
「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)」(以下、ISMAP)を紹介します。
###◇ISMAPって何?
クラウドサービスは安価で便利に使われる反面、セキュリティに関する不安がささやかれるのが常でした。
政府もクラウドサービスの導入を積極的に推奨する一方、その安全性を評価する必要があると考え、2018年秋より、「クラウドサービスの安全性評価に関する検討会」で有識者を集め、制度設計・構築について議論してきました。その結果を踏まえて出来たのが、ISMAPです。
政府機関等(省庁や独立行政法人等)は、クラウドサービス導入に当たっては、今後は、ISMAPに対応したクラウドサービス群から、自身の要件にあうものを選定し、採用します。
ISMAPへの対応は必要なのか?
制度開始後の暫定措置として、導入済みのクラウドサービスは、令和2年10月1日~令和3年9月30日にISMAP申請を、今後利用予定の場合は、利用開始から1年以内にISMAP申請することを前提としています。
言い換えれば、政府機関等に対しクラウドサービスを提供しようとするクラウドサービス事業者は、ISMAPに対応し、登録申請しなければ、提案・検討の候補になることもできなくなってしまうのです。
###◇ISMAPの枠組み
クラウドサービス事業者は、対象クラウドサービスを選定し、「ISMAP管理基準」に定める要件や管理策に対応させ、外部のISMAP監査機関による外部監査を受け、ISMAP管理基準に対応していることを評価してもらいます。その後、クラウドサービス事業者は、外部監査結果と、ISMAP登録申請に必要な申請書類を作成し、ISMAP運用支援機関である独立行政法人情報処理機構(以下、IPA)に申請します。
ISMAP運営委員会によって、登録可否の判定がされた後、問題がなければ、ISMAPサービス登録リスト(Web公開予定)に、対象クラウドサービスが登録されます。政府機関等は当該リストから、自身の利用するクラウドサービスを選定します。
出典:IPA 情報セキュリティ> ISMAP:ISMAP概要 > 制度の基本的枠組み
###◇クラウドサービスの安全性は技術+α!
「ISMAP管理基準」に定める内容は、非常に多岐にわたります。まず、組織として、セキュリティに関するガバナンス、マネジメントを有効、適切に導入・運用していることが必須です。その上で、対象クラウドサービスに対し、組織的・人的な管理策、物理的な管理策、情報資産への管理策、ネットワーク及びシステム等への一般的な管理策、クラウド固有のリスクを考慮した更なる管理策など、あらゆる面から管理策の整備・実施を検討する必要があります。
なお、「ISMAP管理基準」は、JIS Q 27014、27001、27002、27017(ISO/IEC 27014、27001、27002、27017)、日本「クラウド情報セキュリティ管理基準」「政府機関等の情報セキュリティ対策のための統一基準」、米国SP800-53などの各種セキュリティ規格・基準等を元に検討し、総合的な管理策を漏れなく含む内容となっています。
クラウドサービス事業者は、対象クラウドサービスにおいて、ISMAP管理基準に規定される管理策の内、どのような管理策をどのような手段で達成すべきか、改めて見直し、必要に応じて、改善することになるでしょう。
更に、その整備・実施状況を、独立した機関であるISMAP監査機関が外部監査するため、監査に耐えうる証跡等の準備や監査対応の稼働、監査費用などのコストも必要になります。
設計者、開発者として、個々のセキュリティ対策の整備、実装を、自信をもって取り組まれてきた方であっても、これらのことに総合的に対応するのは、相当な準備や稼働などが必要になるでしょう。
社のセキュリティ部門やコンプライアンス部門、監査部門等とも連携し、対応する必要が出てきます。
###◇具体的な達成手段の言明と証跡の準備が大変!
ISMAPでは、適切な管理策を整備、実施していることを証明するため、どのような手段によって管理策を達成しているかを言明する必要があります。この達成手段は、約1200個あり、クラウドサービス事業者は、自身の判断で、セキュリティを確保するために必要とする達成手段を選択する必要があります。また採用しなかった達成手段については、その理由を言明する必要があります。その上で、採用する達成手段を言明通りに整備・実施していることを示す監査証跡を用意する必要があります。
どのクラウドサービスにおいても、一定のセキュリティ管理策を実施していると思いますが、ISMAP管理基準という明確な基準に照らし合わせて整理することは、このような評価制度に慣れていない担当者にとっては、大きな負担になることが想定されます。また、クラウドサービスにおいては、証跡類が他の地域、国、リージョン等に存在することもよくあるため、外部監査に必要な証跡類を収集することが困難な場合もあります。
反面、基準に沿って、対象クラウドサービスにおけるセキュリティ管理の在り方を総合的に見直すことになり、現状の会社、組織としてのセキュリティ管理の仕組みから、現場におけるセキュリティ機能・対策、ユーザへの情報提供など、様々な点での改善のきっかけとすることができるでしょう。
###◇ISMAPのメリット
現時点では、政府機関等に適用する評価制度ですが、将来的には、他の重要産業や民間への活用を目指している制度でもあります。本制度に登録することは、世間一般に対して、クラウドサービスの安全性の確保、維持、改善に、適切に取り組んでいることのアピールとなるでしょう。
##おわりに
最後まで読んでいただきありがとうございました。
ISMAP開始初年度である2020年6月~2021年5月以降も、制度運用実績を踏まえてのブラッシュアップや、政府機関等以外への展開・普及等が予測されますので、それらの動向にも着目し、ノウハウを蓄積してゆきます。そして適宜、お知らせしてゆけたらと思います。
それでは、NTTテクノクロス Advent Calendar 2020の12日目にバトンタッチします。
引き続き、お楽しみください。
###参考リンク
- クラウドサービスの安全性評価に関する検討会 ニュースリリース
- ISMAP開始のニュースリリース
- ISMAP公式HP