{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
2020年6月、日本政府はクラウド事業者に対するセキュリティ評価制度であるISMAP(Information system Security Management and Assessment Program)(※)をスタートしました。“政府認定クラウド”を明確化することで、政府がクラウドサービスを調達しやすくすることが狙いです。本セッションではISMAPの仕組み作りに携わり、現在もISMAPの普及に尽力されている経済産業省の國澤朋久氏をお招きし、ISMAPの現状と今後の展望、そしてその先にあるデジタルトラストの在り方について、お話を伺いました。(本文敬称略)
※ISMAP:内閣サイバーセキュリティセンター(NISC)・デジタル庁・総務省・経済産業省が運営する、政府情報システムのためのセキュリティ評価制度。政府が求めるセキュリティ要求基準を満たしているクラウドサービスをあらかじめ評価・登録することで、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスを円滑に導入することを目的としている。
登壇者
経済産業省
商務情報政策局 情報経済課
総括補佐
國澤 朋久氏
PwCあらた有限責任監査法人
パートナー
川本 大亮
(左から)川本 大亮、國澤 朋久氏
ISMAP誕生の背景にあるクラウド・バイ・デフォルトの原則
川本:
最初に國澤さんが担当されている業務の内容を教えてください。
國澤:
私が所属する経済産業省 商務情報政策局 情報経済課では、デジタル社会の新たなルールの在り方を検討しています。例えば、米国の大手インターネット企業に代表されるデジタルプラットフォーマーとアプリ事業者等の取引の透明化を向上させるため、「デジタルプラットフォーム取引透明化法」という法律を所管しています。
また、サイバー空間とフィジカル空間が密接に連携する「Society5.0」の実現に向け、複雑に絡み合うルールやシステムを整理し、社会システム全体の見取り図(アーキテクチャ)の作成にも取り組んでいます。ハード(フィジカル)とソフト(サイバー)のインフラが、どのような形で共存すれば最も効率がよく、求める世界を実現できるのかを見据え、政策の展開を図っているところです。
また、今回の主題であるISMAPもデジタル社会における制度の一つとして、その普及に注力しています。
川本:
非常に幅広い業務を担当していらっしゃるのですね。ISMAPは2020年6月から運用が開始されましたが、そこに至るまでにはどのような背景があったのでしょうか。
國澤:
ISMAP導入の背景には、2018年に日本政府が採用した「クラウド・バイ・デフォルト原則」があります。これは、政府機関などでITシステムを調達する際、クラウドサービスを第1候補として検討する方針を定めた原則です。
クラウドサービスを積極的に活用するうえで、セキュリティに対する不安は、官民双方から挙がっていました。また、政府情報システムの調達プロセスでは、政府機関ごとに調達対象サービスのセキュリティ実施状況を逐一確認していました。ですから、非常に非効率だったのですね。それらの状況を踏まえ、クラウドサービスのセキュリティ評価を政府一括で行う必要性が指摘されていました。そしてできあがったのが、ISMAPです。
川本:
ISMAP導入にあたっては、政府内だけでなく民間企業のクラウド利用促進も視野に入れていたのでしょうか。
國澤:
ISMAPに登録されたクラウドサービス事業者は、政府が定めたセキュリティ基準を満たしているという一種のお墨付きを得ることになります。経済産業省としても産業振興の観点から、クラウドサービス事業者が「ISMAP登録事業者」という実績をもとに、さまざまなところでサービス展開することを期待しています。
経済産業省 商務情報政策局 情報経済課 総括補佐 國澤 朋久氏
川本:
ありがとうございます。では私の方からは、ISMAPにおけるセキュリティの評価制度の仕組みを簡単に説明させてください。
セキュリティ要求事項の内容は、ISO、NISCの政府統一基準、FedRAMPなどの各種セキュリティの管理基準を組み合わせて構成されており、それら管理基準への対応がクラウド事業者に求められます。
またクラウド事業者がその管理基準に対応していることを確認するために、ISMAP認定監査機関によって、定期的にセキュリティ評価を受けることになっています。ISMAP認定監査機関によるセキュリティ評価を受けてさらに制度側が審査を行い、その審査を通過したクラウドサービスがISMAP登録簿クラウドサービスリストに掲載されます。そして、登録簿に掲載されたクラウドサービスから、政府機関などがシステム調達を行います。
國澤:
一つ付け加えますと、クラウドサービスリストはパブリックに公開されています。ですから民間企業も自由に閲覧可能ですし、登録されているサービスだけでなく、そのセキュリティ政策の概要、対応領域も確認できます。
PwCあらた有限責任監査法人 パートナー 川本 大亮
SaaS向けの枠組み「ISMAP-LIU」とは何か
川本:
次にISMAP-LIU(ISMAP for Low-Indicator Use)について教えてください。現行のISMAPでは、すべてのクラウドサービスが対象ではなく、政府が定義する機密性2(※)以上の情報を取り扱うクラウドサービスが対象になると理解しています。これに対しISMAP-LIUは、ISMAPの枠組みでリスクの小さな業務・情報の処理に用いるSaaS(Software as a Service)サービスを対象とする仕組みですよね。
※機密性2:政府機関などにおける業務で取り扱う情報のうち、不開示情報に該当すると判断される蓋然性の高い情報を含む情報であって、「機密性3情報」以外の情報
【参考URL】https://www.nisc.go.jp/pdf/policy/general/kijyunr3.pdf
國澤:
その通りです。令和4年11月以降、ISMAP-LIUというSaaS向けの枠組みを新たに施行しました。
機密性2情報を取り扱うシステムは、SaaSをはじめIaaS(Infrastructure as a Service)、PaaS(Platform as a Service)など多岐にわたります。中でもSaaSはサービスの幅が広く、用途や機能が極めて限定的なサービスや、機密性2情報であっても比較的重要度が低い情報のみを取り扱うサービスもあります。
こうしたサービスに対して現行のISMAPと一律のセキュリティ要件を課した場合、過剰なセキュリティ要求となってしまいます。その結果、当該SaaSの活用が進まないことも十分考えられます。ですから機密性2情報を扱うSaaSのうち、セキュリティ上のリスクが小さい業務情報の処理に用いるSaaSに対する仕組みを創設することにしました。それがISMAP-LIUです。
川本:
現行ISMAPとISMAP-LIUの一番の違いは何でしょうか。
國澤:
言明についてはISMAP-LIUも現行ISMAPと同じ枠組みです。ISMAPは基本的なセキュリティ対策を求める仕組みであり、かつリスク評価に基づいてセキュリティ管理策の実施が求められる制度です。
一方、外部監査の枠組みは、ISMAP-LIUのほうがISMAPよりも簡易になっています。具体的には外部監査の対象を縮小しています。ISMAPの詳細管理策は選択制ですから一概には言えませんが、対象の管理策数としてはおおむね5分の1程度になることを想定しています。
また、それに付随して、ISMAP-LIUではセキュリティの内部監査の結果報告を求めています。さらに取消・公表制度として、重大な影響を及ぼしうるインシデントが発生した際には、制度側で当該サービスの登録を即座に一時停止するなどの措置を講じています。
川本:
なるほど。外部監査を縮小し、代わりに内部監査の枠組みを有効活用するのですね。その場合、対象となるセキュリティ管理策に変化はないのでしょうか。
國澤:
ISMAPは政府が定めるセキュリティ水準に対し、リスク評価を実施して当該サービスに必要なセキュリティ管理策を言明することが大前提です。ISMAPは基本的なセキュリティ要求事項を求めている制度ですから、言明についてはISMAP-LIUも現行のISMAPと同様です。
2年間の運用で明らかになったISMAPの課題と可能性
川本:
ISMAP-LIUをうまく活用できれば、ISMAP登録サービスも幅広く増加しそうです。ISMAP-LIUは2022年11月から運用が開始されていますが、ISMAPは制度運用開始から2年が経過しました。この2年間の運用で明らかになったポジティブな影響や制度上の課題はありますか。
國澤:
ポジティブな面としては、2022年末の時点で28社38サービスが登録されていることです。これは「クラウド・バイ・デフォルト原則」の推進につながっていると考えています。
実際、省内の調達担当者から話を聞いたところ、ISMAPのコンセプトは多くの方に共感されているそうです。これはひとえに登録申請を検討いただいているクラウドサービスプロバイダーの方々や、監査を担当している監査機関の方々のご協力の賜物です。クラウドサービス事業者の立場から考えると、ISMAPに登録されていることは自社サービスの売り込みに役立つこともメリットの1つではないでしょうか。
現在登録されているサービスは、IaaSなどの基盤サービスが多い印象です。ISMAP-LIUという新しい枠組みもできたので、今後は特にSaaSの登録を伸ばしていきたいと考えています。
一方、2年間の運用で、実務面での課題も浮き彫りになりました。例えば、要求される管理策が多岐にわたることです。また、制度を所管する省庁とクラウドサービスプロバイダー、監査機関の間で、管理策に対する解釈の認識が合わない部分があることも分かりました。さらに、申請を受け付けてから登録するまでの審査期間は長期化しています。こうした制度課題に対しては、制度所管省庁が一丸となって改善の方向性を検討しています。
川本:
ISMAPの今後について、その展望を聞かせてください。
國澤:
まずは2年間の運用で見えてきた課題を検討し、地に足のついた制度にすべく非効率な部分は改善し、守るべきところは守り、合理的な制度にしていきたいと考えています。現在は、関係省庁や事業者の方々を含め、いろいろと議論を進めている段階です。
例えば、管理策を効率よくするために重複を排除して負担を軽減したり、監査する部分に濃淡を付けたりするといった議論もあります。こうしたガイドラインを作成する余地もあると考えています。
川本:
現在、ISMAPの対象となっているのは中央省庁と独立行政法人、指定法人であると伺いました。将来的にその対象が拡大することはありますか。
國澤:
ISMAPは国の調達に関連する制度です。ですから現時点で適用されるのは、政府統一基準が適用される独立行政法人と指定法人までです。ただしせっかく策定した制度ですから、例えば地方自治体や重要インフラ産業にも活用していただきたいと思っています。
川本:
ISMAP登録利用の裾野が広がれば、ISMAP登録を目指すクラウド事業者サービスも増加することが期待されますね。ISMAPによって政府内部でセキュリティやトラストの領域で変化していることはありますか。
國澤:
ISMAPは入口に過ぎないと考えています。先述したとおり、これからはSociety5.0の実現に向けて、これまで以上にさまざまなシステムが複雑に連携する社会になります。よりリアルタイムで、より包括的にデジタルを活用した形でシステムが動く状況において、どのような形で包括的に信頼を付与していくのかは、情報経済課に求められている課題です。我々が検討しているあらゆる政策において、デジタル時代のトラストの必要性が高まっていると感じています。
例えばISMAPでは登録したクラウドサービスがその翌週にサブサービスを追加したり、リージョンを拡大したりする事象は数多く発生しています。さらに、申請のあったサービスが別のクラウドサービスと密接に連携しているなど、複雑性も増しています。
このような速い変化に対応するには、これまで前提としていた「人」ベースの信頼付与では追いつかなくなっているのが現状です。ですから、こうした複雑な環境に対し、タイムリーに対応できるような信頼付与の方法を政策的に作り上げていくことが重要だと考えます。
川本:
今後は官民が一体となって知恵を出し合いながら、新しいデジタルトラストの構築を進めていく必要があります。ISMAPで得た知見や経験は、新たなデジタルトラスト構築の際に役立ちますね。本日は貴重なお話をありがとうございました。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
