{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
はじめに
政府情報システムのためのセキュリティ評価制度(ISMAP)は、クラウドサービスに対するセキュリティ対策の最低限のベースラインを確認したクラウドサービスを登録簿にリスト化して政府情報システムの調達を効率化することを目的に、管理策基準を定め、監査機関による外部監査(以下、外部評価)を実施することを求めています。しかし、現行のISMAP制度では、管理策の数・内容が多岐にわたるため、従来型の人手による外部評価手法のみでは効率面・即時性の両面で課題があります。本稿では、NIST (米国国立標準技術研究所)が公表した「NIST IR 8011 v1r1 (Automation Support for Security Control Assessments)」ドラフトの内容を主なインプットとし、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。政策立案に関わる政府関係者に限らず、ISMAP登録済みまたは登録を検討しているクラウド事業者(CSP)や情報セキュリティ専門家の一助となれば幸いです。
IR 8011 v1r1とは
IR 8011 v1r1は、NISTが発行した報告書で、セキュリティコントロール評価の自動化を支援するための概念を紹介し、以下の要素を基に体系的に組織のセキュリティ評価を行う方法を示しています。
まず、Security Capabilityとして、組織のセキュリティ機能を明確に定義し、特定のタスクや目的に基づいて細分化、Sub Capabilityとして具体化されます。
具体的な評価要素はControl Itemsとして特定され、システム内のセキュリティコントロールが評価されます。これらのコントロールのうち、自動化テスト可能なコントロールがTestable Controlsであり、自動化された評価により有効性と効率性を確認します。
また、Capability Controlsは、Security CapabilityとSub Capabilityを支える具体的なコントロールを意味し、達成するために必要な全てのControl Itemsを集約したものです。
最後に、Capability Control Identificationを通じて、各Capabilityに関連するControl ItemsおよびCapability Controlsを効果的に識別し、マッピングします。これにより、組織はコントロールを効率的に評価し、継続的な改善の促進が可能となります。
こうしたIR 8011 v1r1の枠組みは、従来の手作業に依存した評価プロセスの効率化を支援し、より迅速かつ包括的なセキュリティ管理の実現に向けたアプローチを提供しています。
管理策の多さと性質がもたらす自動化の壁
ISMAPは多数の管理策で構成されており、その大半がISO 27001やISO 27017などの国際規格に基づいて策定されています。アクセス制御から物理セキュリティ、運用手順に至るまで広範にカバーする膨大な管理策を全て確認・評価することは、CSP・監査機関双方に一定程度負担のあるものとなっています。実際、現行のISMAPでは、各CSPがリスクに応じて各詳細管理策の「採用/非採用」を判断し、採用を宣言した管理策に対して外部評価が必要となる仕組みです。
※なお、リスクの小さな業務・情報の処理に用いるSaaSサービスを対象としたISMAP-LIUにおいては、外部評価が必要となる管理策の考え方が異なるものとなりますが、本稿では割愛します。
このように管理策が多数かつ性質も手続き・ポリシーベースのものを含むことが、自動化を困難にしている要因になっています。主な課題としては以下が挙げられます。
- 管理策の数の多さ:多数の管理策に対する整備評価に加えて一部の管理策に対する運用評価の監査手続全てに対応する自動化スクリプトやツールを用意するのは検討にも多くの工数を要する。
- 定性的・文書ベースの統制:ポリシーの策定や手順の遵守といった、定性的で文書確認や聞き取りを要するような管理策については、機械的な検証のハードルが高い。
IR 8011 v1r1においても、全ての要求事項を必要に応じ頻繁に手動で監視するのは、その規模と複雑さゆえにほとんどの組織にとって非現実的であると指摘されています。また、IT環境の変化が速い現在において、新技術の導入に伴う新たなリスクに対し、マニュアル作業中心の評価手続き(以下、マニュアル評価)だけでは適時に対応することが難しく、継続的なセキュリティベースラインの担保が損なわれかねません。これらの課題に鑑みると、ISMAPでも管理策および評価手続を一定程度自動化する余地があります。
リアルタイム評価・継続的モニタリングへの発想転換
評価手続の効率化にあたり、単に従来のマニュアル評価を自動化ツールに置き換えるだけでは、本質的な解決には不十分です。例えば、従来は文書の目視確認や担当者へのインタビューで評価していた管理策を、そのままの形で自動評価することはかなりハードルが高いと言えます。重要なのは、従来のマニュアル評価が効果的な部分は継続しつつ、一部においてはリアルタイム評価や継続的モニタリングをするという新たな発想に転換することです(従来評価と自動評価のハイブリッドモデル)。
継続的モニタリングとは、システムや環境のセキュリティ状態をリアルタイムまたは高頻度で監視し、統制が有効に機能しているかを継続的に評価する仕組みです。NISTのRisk Management Frameworkでは、こうした継続的監視によりシステムの認可を継続する「継続的認可(ongoing authorization)」の考え方が提唱されています。これを踏まえ、ISMAPの外部評価も定期的・断片的なチェックから、システム運用と一体化した常時のコンプライアンス評価を取り入れていくことで効率化の可能性が見出せるのではないかと考えます。
具体的には、管理策の実装状況を常に把握できるよう、可能な限り自動化されたテストを統合することが求められます。例えばアクセス制御や設定の適用状況、パッチ適用や脆弱性スキャンの結果といった技術的項目は、ツールによって継続的に収集・評価することができます。IR 8011 v1r1の方法論でも、管理策のあるべき姿(desired state)と実際の状態(actual state)を定義し、自動テストで両者の差分を検知する仕組みの構築が示されています。このような自動テストを通じて、セキュリティ統制が常時期待通りに機能しているかを監視すれば、ISMAPにおける外部評価のように単発の評価イベントに頼らずにセキュリティ水準を維持・向上させることが可能です。
さらに、このセキュリティ統制の監視は、収集した自動テストの結果をGRC(ガバナンス、リスク管理、コンプライアンス)ツールに連携し、可視化することで一層効果を高めることができます。
具体的には、クラウドサービスをシステムのプラットフォームとして利用している場合に、構成管理やログを活用した不正アクセス監視などの、テスト可能な統制項目(Testable Control)については、クラウドサービスが提供する機能を有効活用できます。この際、GRCツールのインテグレーション機能やカスタムスクリプトを利用してクラウドサービスのAPIを呼び出し、取得した結果をGRCツールのダッシュボードに連携することで、評価結果を視覚的に管理できるようになります。また、クラウドサービスの機能を利用できない場合でも、Infrastructure as Code(IaC)を活用し、構成をコード化・テンプレート化している場合には、現在のインフラストラクチャの状態と定義された構成を比較するツールの機能を利用することで、同様にGRCツールへの連携と可視化が可能です。
リアルタイムモニタリングと即時報告による評価効率化のビジョン
ISMAP制度に継続的モニタリングの概念を導入することで、将来的には定期的な外部評価を一定程度簡素化するアプローチが実現できます。理想的なビジョンとしては、CSPの環境における重要な管理策がリアルタイムに監視され、その状態がISMAP運営委員会や監査機関に対して即時に報告される仕組みが挙げられます。
例えば、アクセス権限管理の統制について、CSPはリアルタイムにアクセスログや権限変更を監視し、不審な挙動やポリシー逸脱が検出された場合には直ちにアラートを発出・報告するシステムを整備します。また、設定管理や脆弱性管理については、自社の構成管理データベースやスキャンツールとISMAP運営委員会や監査機関側の監視システムとを連携させ、重大な不備が見つかった際には即時に通知します。
こうした即時報告体制が整えば、ISMAP運営委員会や監査機関は日々のモニタリング結果(ダッシュボードなど)にアクセスすることで常に最新のセキュリティ状態を把握でき、平常時には一部の管理策における詳細な外部評価を省略することも考えられるのではないでしょうか。
このアプローチでは、従来の定期的な一括での外部評価ではなく、一部の管理策における例外ベースのリアルタイム評価の実現可能性があります。すなわち、平常時は継続的モニタリングのデータに基づきシステムは「常時認証」された状態とみなされ、何ら問題が検知されなければ追加の外部評価介入は最小限で済みます。一方で、逸脱(統制違反やセキュリティインシデント)がリアルタイム報告によって明らかになった場合にのみ、重点的な調査や是正措置の確認を行います。このように一部の管理策においては外部評価を常態では免除し、必要時に集中的に行う方式とすることで、評価リソースを本当に必要な場面に集中できる利点があります。
また、リアルタイム評価の利点は効率化にとどまらず、セキュリティ強化そのものにも寄与します。問題の発生を即座に検知・対応できるため、定期的な外部評価の間に潜在的リスクが放置される期間をなくし、継続的な改善サイクルが実現します。CSPにとっても、常時監視により自社サービスのセキュリティ状態を把握しやすくなり、重大な不備の早期是正と信頼性向上につながります。
効率的な評価自動化のための管理策・制度見直し案
上記のビジョンをISMAPで実現するためには、管理策そのものや制度設計の見直しが不可欠です。第一に、現在の管理策基準を自動テスト可能なものとそうでないものに分類し、前者について優先的に継続モニタリングの対象とします。IR 8011 v1r1でも、NIST SP800-53の管理策群から自動化で評価可能な「テスト可能な管理策」を特定し共通の防御目的(セキュリティ機能)ごとにグループ化する方法論が示されています。ISMAPにおいても、類似したアプローチで重要管理策を機械判定しやすい形に整理し直すことが有効です。例えば、設定不備の検知やパッチ適用状況の確認などは「構成管理」「脆弱性管理」などのカテゴリーにまとめ、カテゴリーごとに自動監視の仕組みを設計・適用します。
一方、自動化が難しい管理策(例:セキュリティ方針の周知状況や人為的プロセスに係る項目)については、評価アプローチ自体を工夫する必要があります。これらは従来のマニュアル評価で対応しつつも、マニュアル評価を効率化する仕組みが求められます。例えば、マニュアル評価の中にAIの補助を加えることで効率化できる余地を探りつつ、AIで効率的に評価可能な管理策の要求項目や評価手続きに改善していくことが重要と考えられます。
※なお、AIを活用した評価の効率化や補助の詳細についてはここでは割愛します。
さらに、継続的モニタリングを制度に組み込むために、技術基盤や運用体制の整備も必要です。具体的には、CSPから送信される監視データを受け取り分析するプラットフォーム(ダッシュボード)の整備や、異常が検知された際の即時連絡・対応フローの確立が挙げられます。監査機関やISMAP運営委員会の役割として、従来のいわゆるチェックリスト照合から、モニタリングシステムやプラットフォームの信頼性の検証・評価や異常時対応の監督を検討しなければなりません。制度面では、継続的監視による情報提供を義務付け、そこから得られる証跡データを正式な証拠として認めるルール整備も必要になります。
※なお、プラットフォームの信頼性の検証・担保をどのように行うかは重要なポイントとなりますが、ここでは割愛します。
まとめ
以上のような管理策基準の最適化と制度改革を行うことで、ISMAP制度の効率化と高度化が実現可能です。評価対象項目を精査・改善し、自動化可能なものは最新のテクノロジーを活用した常時監視体制へ移行することで、政府調達におけるクラウドサービスのセキュリティ評価の信頼性をさらに高めることが期待されています。また、2025年5月27日にはデジタル庁から「行政の進化と革新のための生成AIの調達・利活用に係るガイドライン」が公開され、生成AIシステムに関して、要機密情報を取り扱うクラウドサービスを調達する場合には、ISMAPまたはISMAP-LIUのクラウドサービスリストから選定した上で、別途当該ガイドライン対応を行う方針が示されるなど、ISMAPの重要性は高まっています。
ISMAP運営員会とCSP、監査機関が協力し、NISTの先進的な取り組みも参考にしながら、ISMAP制度を継続的にアップデートし、効率性と実効性を高めていくことが、デジタル社会における信頼構築に大きく貢献するでしょう。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
