こんにちは、さとうです。

2020年3月27日に経済産業省・内閣官房(NISC・IT総合戦略室)・総務省から
「政府情報システムのためのセキュリティ評価制度における各種基準(案)」
が公開されています。

これは、日本政府の情報システムにおけるクラウドセキュリティ評価制度の枠組みや考え方等の案を策定したものであり、1か月後の4/27を期限としたパブリックコメントになります。
※制度の名称は「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: ISMAP(イスマップ))」

<6/6追記>
2020年6月3日に制度の概要が決まりました。

https://www.ipa.go.jp/security/ismap/index.html




これは、クラウド事業者を対象とした評価制度です。簡単にまとめると以下のような制度です。

・主な対象者は、政府の情報システムをクラウド上で構築・運用する(もしくはその可能性のある)クラウド事業者
・クラウド事業者は、「ISMAP管理基準」への遵守状況について、監査機関による監査を受ける必要がある。
・「ISMAP管理基準」は、ガバナンス基準、マネジメント基準、管理策基準の3つのカテゴリがある。
・監査の指摘事項が軽微であること等のいくつかの要件を満たしたクラウド事業者は、IPAを通じてNISCに申請し、問題がなければ「ISMAPクラウドサービスリスト」に登録される。
・登録の有効期限は実質的にはほぼ1年間
・登録されたクラウド事業者は、自らのサービスを本制度の登録済みクラウドサービスとして表明することができる。
・政府の各省庁等は ISMAPクラウドサービスリストに掲載されているクラウドサービスの中からシステム調達を行うことを原則とする。

*制度所管は内閣官房、総務省及び経済産業省。運営事務局はNISC(内閣サイバーセキュリティセンター)。
*本制度の実質的な運用機関はIPA(情報処理推進機構)。



クラウド事業者が遵守すべき「ISMAP管理基準」(案)は以下の国際標準を参考に策定されています。

・ガバナンス基準
 -JIS Q 27014(ISO/IEC11 27014)情報セキュリティガバナンス)
・マネジメント基準
 -JIS Q 27001(ISO/IEC 27001)情報セキュリティマネジメントシステム)
・管理策基準
 -JIS Q 27002(ISO/IEC 27002)情報セキュリティ管理策の実践のための規範
 -JIS Q 27017(ISO/IEC 27017)JIS Q 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範
 -政府機関等の情報セキュリティ対策のための統一基準群(平成30年度版)
 -SP800-53 rev.4
※マネジメント基準および管理策基準は「クラウド情報セキュリティ管理基準(平成28年度版)」を基礎としている。


それぞれの基準の大まかな項目は以下の通りです。

■ガバナンス基準:経営陣が実施すべき事項
3.1.1 概要
3.1.2 評価
3.1.3 指示
3.1.4 モニタ
3.1.5 コミュニケーション

※原則としてすべて実施しなければならない。

■マネジメント基準:管理者が実施すべき事項
4.4 情報セキュリティマネジメントの確立
4.5 情報セキュリティマネジメントの運用
4.6 情報セキュリティマネジメントの監視及びレビュー
4.7 情報セキュリティマネジメントの維持及び改善
4.8 文書化した情報の管理
4.9 情報セキュリティリスクコミュニケ―ション

※原則としてすべて実施しなければならない。

■管理策基準:リスク対応方針に従って管理策を選択する際の選択肢を与えるもの
5 情報セキュリティのための方針群
6 情報セキュリティのための組織
7 人的資源のセキュリティ
8 資産の管理
9 アクセス制御
10 暗号
11 物理的及び環境的セキュリティ
12 運用のセキュリティ
13 通信のセキュリティ
14 システムの取得、開発及び保守
15 供給者関係
16 情報セキュリティインシデント管理
17 事業継続マネジメントにおける情報セキュリティの側面
18 順守

※詳細管理策のうち末尾に B が付された管理策(X.X.X.X.B)については、原則として実施しなければならない。
 その他の詳細管理策は、言明の対象となるサービスにおける組織・環境・技術等に応じて必要とする事項を選択しなければならない。


なお、管理策基準の内容は、
・クラウドサービス事業者が特に考慮すべき管理策について、「管理策番号.P」
・基本言明要件である管理策については「管理策番号.B」
・上記の両方を意味する管理策は「管理策番号.PB」
と表記しています。
例えば、一例として以下のものがあります。

<「管理策番号.P」の例>
9.5.1.1.P:クラウドサービス事業者は、マルチテナント環境におけるクラウドサービス利用者の使用する資源を分離するため、仮想化されたアプリケーション、オペレーティングシステム、ストレージ及びネットワークの適切な論理的分離を実施する。

<「管理策番号.B」の例>
9.4.2.2.B:強い認証及び識別情報の検証が必要な場合には、パスワードに代えて、暗号による手段、スマートカード、トークン、生体認証などの認証方法を用いる。

<「管理策番号.PB」の例>
10.1.2.20.PB:クラウドサービス事業者は、クラウドサービス利用者に、当該利用者の管理する情報の暗号化に用いる暗号鍵を当該利用者が管理する機能を提供し、または、当該利用者が暗号鍵を管理する方法についての情報を提供する。

これらは、クラウド事業者は基本的には対応するべき管理策になると考えられます。



ISMAP管理基準は、各ISO基準をベースにしているため、それらに基づくセキュリティ対策を適切なレベルで実施していれば全く新たな取り組みが必要というわけではありません。
しかし、セキュリティ対策の整備状況と運用状況を監査でどこまで精緻に検証されるかは現時点では不明です。もし、監査法人が行う深い検証が行われるとなると、認証取得レベル以上に本質的かつ実効性の高い対策の実施が必要不可欠です。
本制度の今後の展開を引き続き注視することが重要です。

※ISMAPと直接関係しませんが、クラウドサービスの具体的なセキュリティ要件は、例えばAWSだと以下の記事も参考になります。

90.AWSのセキュリティ設定について



さとう