正しいクラウド選びを支える評価制度「ISMAP」は具体的にどう運用する？【クラウド・バイ・デフォルト原則②】

クラウド・バイ・デフォルト原則は、各府省など政府機関が情報システムの開発にあたって、クラウドの活用を第一候補とするという政府方針のこと。ISMAP（政府情報システムのためのセキュリティ評価制度）は、各府省におけるクラウドサービスの導入を促すために、クラウドサービスについての統一的なセキュリティ基準を示すものです。このISMAPが目指すべき姿、基本的な流れ、ISMAPの具体的な運用などについて紹介します。

ISMAP（政府情報システムのためのセキュリティ評価制度）が目指すべき姿とは？

本記事をお読みいただく前に、クラウド・バイ・デフォルト原則が生まれた背景や、原則を打ち出した政府の狙いなどを説明した以下の記事をお読みください。

「行政システムはクラウドサービスが最優先」という政府方針が生まれた背景とは？【クラウド・バイ・デフォルト原則①】

クラウド・バイ・デフォルト原則は、政府機関が利用する政府情報システムの開発、更新などの際に、クラウドの活用を第一候補とするとの政府方針です。ISMAPは、この原則のもと、各府省によるクラウドサービスの導入を後押しするための評価制度として制定されました。

ISMAPとは、「政府情報システムのためのセキュリティ評価制度」の英語名「Information system Security Management and Assessment Program」の頭文字からとった通称で「イスマップ」と発音します。この制度が目指すのは、クラウドサービスについて、統一的なセキュリティ基準を明確化することで、クラウドのセキュリティ評価の実効性および効率性を高めることにあります。

この制度の導入以前は、クラウドサービスの利用にあたって、政府機関ごとに独自の調達基準が存在していたために、同じクラウドサービスの導入にあたっても、各府省が定めたセキュリティ要件を満たしていることをそれぞれ確認する必要がありました。これを各府省に共通するセキュリティ基準について、その評価方法を明確化することで、各府省独自の追加的要件を確認・評価するだけで、クラウドサービスの導入が円滑に行えるようになりました。

ISMAPの基本的な流れ

ISMAPでは、国際標準などを踏まえて策定した基準をもとに、それぞれの基準が適切に実施されているかどうかを監視します。このプロセスを経て、適切であると評価されたサービスについて、その提供事業者の申請を受け付け「登録簿」に記載します。各政府機関は、この「登録簿」に掲載されたサービスから調達することで、安全性が担保されることになります。

ISMAPの運営に関わる構成者は、ISMAP運営委員会、制度所管省庁、クラウドサービス事業者、監査機関、調達府省庁などになります。このうちISMAP運営委員会は、クラウドサービスの登録、監査機関の登録および本制度に関する規程の制定・改廃などについての最終的な意思決定を担います。監査機関は、クラウドサービスをISMAPに登録するにあたり、基準を満たしているかどうかについて監査業務を行います。

なお、制度運用の実務や評価に関する技術的な支援はIPA（独立行政法人 情報処理推進機構）が行い、このうち、監査機関の評価および管理に関する業務については、JASA（特定非営利活動法人 日本セキュリティ監査協会）に再委託します。

クラウドサービスの利用検討プロセスも明確に規程

クラウド・バイ・デフォルト原則によって、各政府機関においては、利用すべきクラウドサービスの選定が必要になりますが、各府省情報化統括責任者（CIO）連絡会議決定による「政府情報システムにおけるクラウドサービスの利用に係る基本方針」では、その検討プロセスについても明確に定義しています。この利用検討のプロセスについて紹介する前に、クラウドサービスの種類とそれぞれの特徴について整理しておきます。

知っておきたいクラウドサービスの種類

クラウドサービスでは、サーバーやストレージなどの情報インフラをはじめデータやアプリケーションなどを、ネットワークを介して利用者に提供します。利用者は、端末やブラウザ、ネットワーク環境を用意するだけで、多様なサービスを、場所を問わずに利用することができます。また、クラウドサービスは、その利用範囲や利用形態によって、以下のように分類されます。

SaaS・PaaS・IaaS

クラウドサービス事業者によって提供されるサービスは、利用可能な機能やその範囲によって、おもにSaaS、PaaS、IaaSの3種類に分類できます。

SaaS（Software as a Service）は、電子メールやスケジュール管理などのクラウドサーバー上のアプリケーションをインターネット経由で利用できるサービスです。府省共通システムによって提供される諸機能をはじめ、政府共通プラットフォーム上で提供されるコミュニケーション系のサービス・業務系のサービスなども、このSaaSに該当します。

PaaS（Platform as a Service）は、システムやアプリケーションを開発するための基盤となる「プラットフォーム」を提供するサービスです。提供される機能を組み合わせることにより情報システムの構築が可能です。

IaaS（Infrastructure as a Service）は、ネットワークやサーバー、ストレージなどのインフラを提供するサービスです。提供された開発インフラを利用してOSや任意の機能（アプリケーション）を構築することができます。

※SaaS・PaaS・IaaSについては、以下の記事もあわせてお読みください。

【SaaS】コスト削減・業務効率UPなどで注目を集めるクラウドサービス

パブリッククラウド・プライベートクラウド

クラウドサービスはその利用形態によって、パブリッククラウドとプライベートクラウドに分けることができます。パブリッククラウドとは、クラウドサービス事業者によって提供されるサービスを、任意の組織内で共有して利用可能なサービスです。サーバーやストレージなどの情報資産を保有することなく、機能だけを利用できます。

プライベートクラウドは、特定の企業や組織などが利用者専用のクラウド環境を構築し、提供元の組織内のみで利用可能なサービスを提供します。政府機関においては、政府共通プラットフォームや各府省独自の共通基盤、共通プラットフォームなどが該当します。高度なセキュリティコントロールや組織内の要請に合わせたクラウド環境を構築できます。

オンプレミス

従来型のシステム構築手法で、アプリケーションごとに固有の動作環境（データセンター、ハードウェア、サーバーなど）を用意して、組織内で管理・運用します。

特徴１｜事前準備の対象範囲や洗出し項目を明確化

前述の「政府情報システムにおけるクラウドサービスの利用に係る基本方針」では、その検討プロセスの事前準備として、以下の項目について可能な限り明確化する必要があるとしています。

業務の基本属性

国民向けのサービスなのか、職員向けのサービスかなど、サービスの利用者を特定し、サービスの種別を明確にすること。

必要なサービスレベル

サービスの提供時間や障害発生時の復旧までの許容時間、災害対策の必要性などを把握すること。

サービス・業務の定常性

そのサービスや業務が、定常的なものか、一時的なものかを確認すること。

業務量

業務処理の総量、単位時間あたりの処理量やその変動についても予測すること。

業務量取り扱う情報

取り扱う情報をその機密性、完全性、可用性などから格付けし、取り扱い制限についても明確化すること。

特徴2｜「SaaS×パブリッククラウド」を優先的に検討

検討準備段階での検討結果を踏まえて、クラウドサービスの選定を行いますが、情報システム化する業務やサービスの一部またはすべてがSaaSのパブリッククラウドによって提供されている場合には、まず、そのクラウドサービスを利用検討の対象とすべきとしています。そして、この検討の結果、SaaSのパブリッククラウドの調達が困難な場合には、各府省の共通基盤などで提供されているコミュニケーション系や業務系のサービスを、SaaSのプライベートクラウドとして利用検討の対象とします。

以上の検討の結果、SaaSの利用が困難である場合や、コスト面などの利用メリットがない場合については、IaaSやPaaSのパブリッククラウドを検討対象とし、次に、サーバー構築が可能な政府共通プラットフォームや各府省独自の共通基盤などをIaaSやPaaSのプライベートクラウドとして、利用検討の対象とします。

オンプレミスの利用については、「クラウドサービスの利用が著しく困難で、コスト面での優位性がない場合に限り検討可能としています。

ISMAPによるセキュリティ評価と管理基準

ISMAPでは、国際標準などを踏まえて策定した管理基準をもとに、クラウドサービス事業者（CSP）が提供するサービスが、基準を満たしているかを監査します。この監査は、ISMAP運営委員会が選定・登録した監査機関によって行われます。ここでは、ISMAPの管理基準がどのように策定され、CSPに対する要求事項はどのようなものかを見ていきます。

国際規格をもとに国内外の基準を追加して策定

ISMAPの管理基準は、情報セキュリティに関連する国際規格をベースとしながら、政府機関などが遵守すべき事項を規定する「統一基準」、米国クラウド評価制度の管理策を規定した「SP800-53」から国際基準に不足していると考えられる項目のうち、政府として必要と考えられる項目を追加するかたちで策定されました。管理基準策定のベースとした国際規格には、情報セキュリティに関するJIS Q 27001、JIS Q 27002、JIS Q 27014とクラウドサービスの情報セキュリティに関するJIS Q 27017があります。

CSP（クラウドサービス事業者）への要求事項も明確化

ISMAPへの登録を申請するCSPは、ISMAP監査機関による厳格な監査を受けて認証される必要があります。監査のポイントは、ISMAPがCSPに対して要求する「ガバナンス基準」「マネジメント基準」「管理策基準」の3つです。

「ガバナンス基準」は、CSPの経営陣を対象として定められた基準です。CSPの経営陣は、管理者層に対して、情報セキュリティに関する意思決定や戦略の策定、その調整などを継続的に実施しなければなりません。

「マネジメント基準」は、CSPの管理者を対象として定められた基準です。CSPの管理者は、経営陣の承認を得た情報セキュリティに関する戦略・方針のもと、情報セキュリティマネジメントを確立し、その運用・維持・改善を的確に実施しなければなりません。

「管理策基準」は、CSPにおける実務の実施者を対象とする基準です。実務の実施者が業務の現場において取り組むべき個別のセキュリティ対策について定めています。

クラウドサービスの安全性を客観的に評価するための制度として、すでに「ISMSクラウドセキュリティ認証」や、「CSマーク（ゴールド）」が存在していますが、ISMAPは、外部監査を必須としている点や米国での政府機関向けクラウドセキュリティ基準を採り入れていることから、これら従来の評価基準と比較しても、より厳格な制度となっています。

クラウドサービスが登場して間もない頃には、オンプレミスからの移行が中心であり、自前の開発が不要で、コスト削減が可能といったメリットばかりが注目されていました。現在では、クラウドサービスを支えるICTやネットワーク基盤の進化にともない、その導入メリットや可能性も広がりをみせています、これらの点を踏まえて、今後は、官民を問わず、組織内の業務やサービスにふさわしいクラウドサービスを選択することが重要になるでしょう。