このたび、政府情報システムのためのセキュリティ評価制度「ISMAP」のクラウドサービスリストが更新され、2021年9月13日付でBox製品が初めて登録されました。ここでは、あらためてISMAPとは何か、策定された背景やどのような意味をもつのか、ISMAPに対するBoxの取り組みについて紹介します。
ISMAPができるまで
日本でも、ここ20年ほどでクラウドサービスの利用が加速度的に増えてきましたが、クラウドという言葉が入ってきた当初は、自社独自のオンプレミスによる運用が標準であり、プラットフォームやアプリケーションを第三者に任せるクラウドサービスに不安を抱く企業も多く存在していました。長くクラウドサービスは安全ではないという印象が根強く、サービス利用検討の際、経営層に対して情報漏えいなどセキュリティ面での懸念を払拭することに大変な時間を要してきました。
また一概にクラウドと言っても、どこのクラウドサービスが安全なのか、データセンターが日本にないと安全ではないのか、また、クラウドそのものをどう活用したら有効的なのかについて、具体的かつ比較検討になるような判断材料がほとんどありませんでした。そのため、クラウドサービスの選択にあたっては、客観的な評価が難しく担当者の評価依存になりがちでした。
2010年代からクラウドセキュリティガイドラインの国際標準化が急速に求められるようになりました。それに伴い、クラウドサービスに関する情報セキュリティ管理も策定されました。2015年にクラウドサービスの利用や提供に対して適用されるクラウドセキュリティ認証であるISO/IEC 27017の取得が、クラウドサービス事業者(CSP)で多く見られるようになりました。その後、2018年〜2019年度の情報通信白書では、既にクラウドサービスを利用している日本の企業の25%強が利用目的にセキュリティ強化を掲げるようになりました。
その根底にあるのは、2010年頃に米国でクラウドファーストが提唱されるようになったためと考えられます。その数年後には、日本にもその考えが導入され始めたことが影響しています。2018年には日本でも「クラウド・バイ・デフォルト原則」が政府により明記されるようになり、政府情報システムの構築及び整備に関しては、クラウドサービスの利用を第一デフォルトとして考える方針が次第に広まりました。政府がクラウドサービスの有用性を認知、推奨したことで、よりいっそうクラウドサービスへの関心が高まり、民間にも広まるようになりました。
ISMAPとは
ISMAPとは、内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省が運営する、政府情報システムのためのセキュリティ評価制度(ISMAP: Information system Security Management and Assessment Program)の通称です。米国で策定されている米国政府機関におけるクラウドセキュリティ認証制度|FedRAMP(Federal Risk and Authorization Management Program)の日本版と言われています。
政府が2018年に「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を定め、そこに「クラウド・バイ・デフォルト原則」を掲げたことで、クラウドサービスの活用が着実に具現化していきました。
ISMAPでは、クラウドサービスの調達を検討する際には、事前に、第三者による客観的かつ厳格な監査を経て、指定されている独立した監査法人によって、安全評価を受けたクラウドサービス事業者のみがクラウドサービスリストに登録されます。
クラウドサービス事業者がISMAPのクラウドサービスリストに登録されるには、4桁にも及ぶ管理体制やルールなど、満たさなければならない管理策基準の設問があります。セキュリティ対策への回答のみならず、その詳細についても確認と証跡が求められます。これまでの認証など各種セキュリティやコンプライアンス要件については、クラウドサービス事業者を対象にしていない内容のものが多く存在していました。そのため、クラウドサービス事業者に特化したISMAPは、ハイレベルな数多くの要件を極限までスリム化することで策定がされていることから、濃度や精度がかなり高い評価制度となっています。
よって、クラウドサービスリストに登録されているクラウドサービス事業者を採用することは、政府情報システムのために政府が求めるセキュリティ要件を満たしていることを表します。また公開されている審査期間の運用について、確実に指定監査機関のお墨付きを得ていることを示しています。
先にも述べた通り、この監査法人による評価は、ISMAPへの登録のために指定された監査法人によるもので、監査法人は多くの正確なエビデンスを細やかに参照し、不明な点は明確になるまで徹底的に確認をとります。ISMAPのリストからクラウドサービス事業者を選択することは、すなわち高水準で安全なクラウドサービスを効率的に調達可能にすることを意味します。セキュリティを確実に担保しながら、各省庁の追加要件について評価をすれば、時間をかけずに円滑にクラウドサービスの導入ができるというわけです。
Boxは、多くの認証を取得しており、それぞれの認証とISMAPの単純比較は非常に難しいものの、ISO27001、 ISO27017、 SOC2、そして 金融情報システムセンター(FISC)が発行している安全対策基準などへの対応をしていることから、かなりスムーズに着手し進めていくことが可能でした。
ISMAPが意味すること
政府はDXの推進に取り組むべく、クラウドサービスのセキュリティ調査、導入に関するリスク分析等、安全性について入念に検討を重ねてきた結果、クラウドサービスの利用を積極的に進めています。
このクラウドサービス導入への変革は、政府のためというよりむしろ、行政サービスを利用する国民が、そのメリットを享受できるように計らったものであるようです。
2021年9月にデジタル庁が発足したことでデジタル・ガバメントの推進が加速し、行政サービスや民間のデジタル化の遅れによるさまざまな課題に対して、スピード感を持って取り組んでいるように見えます。今後、ISMAPのクラウドサービスリストに登録されるクラウドサービス事業者が増えていくことで、利用したいクラウドサービスを提供しているクラウドサービス事業者をシンプルに比較選定するだけで、セキュリティに関する懸念は一瞬で払拭されます。平等性と公平性の上で、誰一人取り残されない社会を目指し、かつ、スピーディな選択をしていくために、ISMAPのクラウドサービスリストは、大変有意義です。このリストは、政府の関連機関向けに考案されましたが、今後は民間企業もこの高品質なリストを利用していくことになるでしょう。デジタル庁は、その存在理由に「誰一人残さない、人に優しいデジタル化」を掲げました。ISMAPはこのことから、デジタルを上手く使っていくための最初のステップになると言えるでしょう。
ISMAPへの登録を経て
Boxでは、既に米国では数百の登録数をもつFedRAMP(米国政府のクラウドサービス調達基準となるセキュリティ標準化規格)の認証も受けています。今回のISMAP申請では、コロナ渦という特殊な状況での申請監査となり、従来の認証監査とは異なるフローでしたが、スムーズに登録完了することができました。その結果、2021年9月13日付でISMAPのクラウドサービスリストへの登録が終わり、弊社サービスが政府調達の対象品目の一つとなったことで、政府が求めるセキュリティ基準を満たしていることを容易に判別いただくことが可能となりました。
今後は、高品質なクラウドサービスを対象品目や目的に合わせて適切にご利用いただけるようになります。Boxは、情報システムに於ける運用の自動化や在宅勤務環境の促進、予測不能な災害対策など、時間とコストを上手に削減しながら合理的にクラウドサービスを安心安全に提供し、情報システムの円滑な導入に貢献していきます。
[SMART_CONTENT]
ISMAPとともに
ISMAPの登録における最大のメリットは、これまでのISO27017、 SOC2、 CS-Goldでは充分ではないとされてきた、クラウドサービスに対するセキュリティ面での確認不足を補うことができることと、ハイレベルな各種審査がカバーされていることから、セキュリティ確認の簡素化が可能になったことです。
ISMAP登録が完了したことで、実際の調達の際には、個別の追加要件のみ精査する工数を見積もっておくだけで、セキュリティ要件や基準の合致を確認する時間を大幅に削減できるというわけです。
クラウドサービス事業者の立場としても、お客様のセキュリティへの懸念が払拭され、クラウドサービスを検討するに至った理由や、その解決法について、調達対象とともに、より深いレベルでの会話や確認にじっくり時間をかけることにより、お客様の目的実現に直結することに繋がります。
ISMAPは、政府情報システムのために政府が求めるセキュリティ要件を満たすものとされていますが、民間企業においても、大変有益な基準になることは言うまでもありません。従来であれば、クラウドサービス利用に当たって検討すべき要件を、各社のサービス毎に洗い出し、自らその準拠性についての確認が求められていました。そういった工程が負担となりクラウドサービスの利用について二の足を踏んでいた企業も少なくありません。ところが、自らがそれらの工程を要することなく、ハイレベルで広範な要件を満たすクラウドサービス事業者が、年に1回更新されるリストに掲載されています。つまり、そのリストを確認するだけで利用者にとっては大きな負担減となるのです。
今後もBoxは、ISMAPのクラウドサービスリストに登録されたクラウドサービス事業者として、誰一人取り残されない新しいデジタル社会を後押しします。そして止まることなく、信頼できるクラウドサービスとして、ISMAPのクラウドサービスリストへの登録を維持し続けられるよう、常に安全と信頼を確証できる環境を整え、さらなるセキュリティの向上と安定を図ります。
参考:ISMAPポータルサイト https://www.ismap.go.jp/csm
- トピックス:
- セキュリティ