Technology Blogs by SAP
Learn how to extend and personalize SAP applications. Follow the SAP technology blog for insights into SAP BTP, ABAP, SAP Analytics Cloud, SAP HANA, and more.
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

ISMAP(政府情報システムのためのセキュリティ評価制度) の概要

karai1
Associate
Associate
‎02-09-2024 8:28 AM
0 Kudos

政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 通称、ISMAP(イスマップ))が開始されて約3年半が経ちました。ISMAPは中央省庁独立行政法人及び指定法人がクラウドサービスを導入する際に、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入を推進することを目的とした制度です。 

本ブログではISMAPの概要と要求事項について説明します。 

ISMAPの歩み 

20186政府は20175月の閣議決定された「世界最先端IT国家創造宣言・官民データ活用推進基本計画」及び高度情報通信ネットワーク社会推進戦略本部・官民データ活用推進戦略会議決定された「デジタル・ガバメント推進方針」をもとに「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を定め、クラウド・バイ・デフォルト原則を掲げました。翌7月には「サイバーセキュリティ戦略」において「クラウド化の推進等による効果的なセキュリティ対策」を推進することが位置づけられました。 

その後、様々な検討が行われ20201月に「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」においてISMAPの基本的な枠組みが完成し、同年6月にISMAPが開始されました。 

さらにその翌年3月からは政府機関によるISMAPの利用が開始され、また同年末において27のクラウドサービスが登録されました。 

202211月にはリスクの小さな業務・情報の処理に用いるSaaS サービスを対象としてISMAP for Low-Impact Use:  通称、ISMAP-LIU(イスマップ エルアイユー)が開始されました。 

202310月時点では51のクラウドサービスが登録されており、今後ISMAPの制度改善や政府機関外でのISMAPの高まりを踏まえると、クラウドサービスの登録は増えるのではないか考えています。

ISMAPの要求事項 

ISMAP3つの基準で構成されています。 

karai1_0-1707459113862.png

参照:政府情報システムのためのセキュリティ評価制度(ISMAP)の概要 - NISC・デジタル庁・総務省・経済産業省 

  1. ガバナンス基準クラウドサービスプロバイダの経営層が実施すべき事項として、ISO 27014を再整理した要求事項です。このガバナンス基準では、経営層が主体となり情報セキュリティ対策に取り組む姿勢が求められています。 
  2. マネジメント基準管理者が実施すべき事項として情報セキュリティマネジメントの計画、実行、点検、処置、及び、リスクコミュニケーションに必要な実施事項をISO27001、27002、27017、NISCの統一基準、及びNIST SP800-53の内容を踏まえ、再整理し定めていますこのマネジメント基準では経営陣から任命された管理者がクラウドサービスの情報セキュリティ対策を実施するうえで必要なことが求められています。 
  3. 3. 管理策基準:ISO27001、27002、27017、NISCの統一基準、及びNIST SP800-53を基礎とし再整理されたクラウドサービスプロバイダが実施すべき技術的かつ具体的なセキュリティコントロールの要求事項です。この管理策基準は管理目的(121項目 -  202311月時点と詳細管理策(1,077項目 -  202311月時点で構成されクラウドサービスプロバイダの実施状況を言明することが求められています。 

ガバナンス基準及びマネジメント基準は、情報セキュリティマネジメントシステムの根幹です。従って、ISMAPでは実施が必須です。 

管理策基準では、ISMAPに登録するクラウドサービスの情報セキュリティマネジメントに関する内容です。整備しているセキュリティコントロール及びその実施事項について丁寧な説明が必要です。 

 

ISMAPの監査 

ISMAPを取得するためにはISMAP運営委員会の認定を受けた監査法人による監査を受ける必要があります。監査法人はクラウドサービスプロバイダが言明したISMAP要求事項に対し、言明した通りに実施されているかを確認します。 

監査における手続は整備状況評価と運用状況評価の2種類で構成されております。 

整備状況評価とは監査対象期間内の一時点において整備していることを評価するものであり、運用状況評価とは監査の対象期間にわたり有効に運用されていることを評価するものです。尚、ガバナンス基準とマネジメント基準は整備状況評価のみとなります。 

また、監査では主に5種類の証跡を求められます。それらは「規程、手順書等」、「根拠となる文書・記録等① サンプルテストを実施しないもの(設計書、仕様書等)」、「根拠となる文書・記録等② サンプルテストを実施するもの(申請書、承認記録、システムログ、台帳等)」、「根拠となる設定(パラメータ、ステータス、コマンド等)」、「設備・建物等」となります。 

監査対象期間は最長で1年となり、毎年ISMAPを維持するために監査を受ける必要があります。そのため監査に掛かる費用や時間は膨大となりISMAP申請への課題となっています。202310月からの制度改善により監査の負担は軽減されると思われますが、まだ始まったばかりのためその効果を計ることは難しいですが、少しでもISMAPへ登録するクラウドサービスが増えることに繋がればと思います。 

 

ISMAPの基準はISO27001、27002、27017、NISCの統一基準、及びNIST SP800-53を参考に作成されており、また日本政府が設立した評価制度のため審査が高い制度ですこれを考慮すると、クラウドサービス導入時の一つの評価基準となります。 

SAPは、主要なクラウドサービスを順次ISMAクラウドサービスリストに登録するプロジェクトを進めていまおり、2024年2月時点で、SAP S/4 HANA Cloud、SAP Business Technology Platform及びSAP SuccessFactorsの3サービスが登録されています。次回以降は、ISMAP制度を少し深掘りします。

 

Labels in this area
Popular Blog Posts