Japan
サイト内の現在位置
コラム3: クラウド関連の規定・認証について(ISMAP)
こんにちは。NECで主に官公庁・自治体のお客様向けのご支援をしているCATの堀田です。今回は、クラウド関連の規定・認証について、特に政府情報システムのためのセキュリティ評価制度(ISMAP)(以降、ISMAP)についてお話します。
クラウド関連の規定・認証にはどんなものがあるの?
日本の中央省庁・公的機関領域での調達要件において求められることがあるクラウド関連の規定・認証は以下のようなものがあります。
名称 | 主な関連機関 | 概要説明 |
政府情報システムのためのセキュリティ評価制度(ISMAP) | NISC・デジタル庁 総務省・経済産業省 |
統一的なセキュリティ要求基準に基づき安全性が評価されたクラウドサービスを予め評価・登録する制度。政府調達に利用。 |
ISO/IEC 27001 ISO/IEC 27017 ISO/IEC 27018 |
国際標準化機構(ISO)/国際電気標準会議(IEC) | ISO/IEC 27001:情報セキュリティシステムに関する認証。 ISO/IEC 27017:クラウドセキュリティに関する認証。 ISO/IEC 27018:パブリッククラウド上の個人情報の保護に関する認証。 |
政府機関等のサイバーセキュリティ対策のための統一基準群(令和3年度版) | 内閣サイバーセキュリティセンター(NISC) | 国の行政機関及び独立行政法人等の情報セキュリティのベースラインや対策事項を規定。 |
政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針 | デジタル社会推進会議幹事会 | 政府情報システムのシステム方式について、クラウドサービスの採用を第一候補とすること。また、単にクラウドを利用するのではなく、クラウドを適切(スマート)に利用するための考え方等を示した標準ガイドライン附属文書。 |
CSマーク(クラウドセキュリティ・マーク) ゴールド、シルバー |
クラウドセキュリティ 推進協議会(JASA) |
JASAのクラウド情報セキュリティ監査制度の要件を満たし。認定された監査を受けた基本言明書に付与されるマーク。 |
クラウドを利用したシステム運用に関するガイダンス | 内閣サイバーセキュリティセンター(NISC) | クラウドサービスの安全な運用に重点を置いた利用者向けの基本的なガイダンス。 |
米国 FedRAMP (Federal Risk and Authorization Management Program) |
FedRAMP PMO | 米国連邦政府によるクラウドサービスに関するセキュリティ評価・認証の統一ガイドライン。NIST SP800-53をベースとしている。 |
SOC(System and Organization Controls)レポート | 米国公認会計士協会(AICPA) | 米国公認会計士協会(AICPA)が定めた内部統制に関する報告の枠組み。実質的なグローバル標準となっている。 |
その中でも特に「調達府省庁等はISMAP等クラウドサービスリストに掲載されているクラウドサービスの中から調達を行うことを原則とする」とされている、ISMAPに今回は着目します。
*<キーワード解説>「ISMAP」(イスマップ)
ISMAPは政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)の略。政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。ISMAPの詳細や最新情報は、「ISMAP - 政府情報システムのためのセキュリティ評価制度」サイトを参照ください。
ISMAP登録されたクラウドサービスの見方
今後、政府のクラウド調達ではISMAPに登録されたクラウドサービスを選定することが求められます。ISMAPに登録されたクラウドサービスとは何でしょうか。
例えば、NECが運営する「NEC Cloud IaaS」はISMAPに登録されたサービスを持っています。「ISMAP - 政府情報システムのためのセキュリティ評価制度」サイトから、「ISMAPクラウドサービスリスト」へ進み、各クラウドサービスの言明の対象範囲を確認することで確認できます。
(NEC Cloud IaaSの場合、こちらを参照)
注意が必要なのは、当該クラウドサービスが提供しているすべてのサービスでISMAPに登録されているわけではないという点です。NEC Cloud IaaSで2023年2月現在ISMAP登録を受けているサービスは下記となります。
- サーバサービス(仮想)・ハイアベイラビリティプラス (HAPlus)
- ストレージ・オブジェクトストレージ
- ネットワーク・基本ネットワーク
- マネジメント・API/ポータル
- 物理サーバサービス
ISMAP登録されたAWSサービス
次に、AWSのISMAP言明の対象範囲を見てみましょう。
AWSは、情報システムをクラウドに移行する場合に利用するサービスのほとんどでISMAP登録を受けているのがわかります。ただ、AWS Transit GatewayやAWS Network Firewallなど、割と使う場面の多そうなサービスでISMAP未登録の場合があるので注意が必要です。ただ、一方で両サービスともISOには準拠しています。
AWS Transit Gateway
ISO 9001、ISO 27001、ISO 27017、ISO 27018に準拠
AWS Network Firewall
ISO 9001、ISO 27001、ISO 27017、ISO 27018、ISO 27701に準拠
この辺りは、個々の情報システム案件や提案のなかでの採用・非採用の判断ポイントになりそうです。なお、NECやAWS、その他クラウドサービス事業者はサービスのISMAP登録を進めていますので、随時認定サービスが増えていきます。定期的な登録状況のチェックをおススメします。
忘れてはいけない対象場所の考慮
「言明の対象範囲」を見ていて面白いのは、日本以外の場所(リージョン)も対象にしているクラウドサービス事業者がいることです。「言明の対象範囲」に、適用リージョンの記載があるので確認してみましょう。例えばAWSの場合、2023年2月現在、日本を含め16か国のリージョンで有効となるようです。つまり、日本に置かれるリージョンで認定されるだけではないのです。
このように、ISMAP登録を受けたクラウドサービスがどの場所で認定を受けているかも注意が必要です。BCPを考慮して、複数リージョン(マルチリージョン)を想定する場合など、利用予定のリージョンで認定が取れているか、ご確認をお忘れなく!
今回は、クラウド関連の規定・認証としてISMAPを中心にご説明いたしました。NECだけでなく、各クラウドサービス事業者がISMAP登録を進めています。ただ、全てのサービスが認定されているわけではないので注意が必要です。その時点での認定状況は、各クラウドサービス事業者の「言明の対象範囲」を確認しましょう。クラウド検討には専門的な知識やノウハウが求められることが多く、アドバイスが欲しい…と思われる場面もあるかもしれません。そんな時はぜひお気軽にNECへご相談ください。状況にあった適切なご支援をさせていただきます。
公開日 2023/3/20
本コラム内容は公開日の時点の情報を基に記載しています。
開発者紹介
堀田 佳宏
(ほった よしひろ)NEC ガバメントプラットフォーム統括部 クラウドアーキテクトグループ
上席プロフェッショナル兼ディレクター
2023 Japan AWS Ambassadors
2023 Japan AWS Top Engineers(Services)
学生時代に見た「serial experiments lain」に感銘を受け、ネットワークエンジニアを夢見て上京。民需、金融、官公庁・自治体のネットワークを中心としたプラットフォーム領域のシステムインテグレーションに従事。プラットフォームシステムインテグレーションの魅力にハマる。2017年より官公庁領域でのクラウド技術検討を開始。官公庁領域におけるクラウド移行の提案や技術支援、情報集約を行うチーム Cloud Architect Team(CAT)を立ち上げ活動中。クラウド移行の提案や技術支援、情報集約から得られた知見を活用したクラウド関連サービス企画も実施中。趣味はDIY、ビリヤード。学生時代にやっていたライフル射撃(エアライフル)を再開する機会をうかがう日々を送る。