Technology Blogs by SAP
Learn how to extend and personalize SAP applications. Follow the SAP technology blog for insights into SAP BTP, ABAP, SAP Analytics Cloud, SAP HANA, and more.
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

ISMAPクラウドサービスリストの見方

ShinyaMurakami
Associate
Associate
‎03-01-2024 8:08 PM
0 Kudos

本ブログではISMAPに登録されているクラウドサービスの確認及び登録リストの見方について解説します。ISMAPのクラウドサービスリストを確認することでクラウドサービスの導入又はオンプレミスからクラウドサービへの移行を検討する際、情報セキュリティ対策に関する情報収集に役立てることができるため、検討前に一度確認することをお勧めします。

クラウドサービスベンダがISMAPの審査を受かるとISMAPポータルISMAPクラウドサービスリストに掲載されます。2024年1月末時点で42のクラウドサービスベンダ、62のクラウドサービスが登録されており、弊社も3つのクラウドサービスが掲載されております。

掲載されている弊社のクラウドサービスを使って、ここからは詳しくクラウドサービスリストの見方を説明していきたいと思います。

ISMAPクラウドサービスリストは登録された順に表示され、リストには8項目の情報があります。

画像1.png

この中で注視したい項目は『備考』となります。『備考』にはクラウドサービスのステータスや変更履歴などが表示され、大半のクラウドサービスはISMAP登録に関する更新のステータスが書かれているだけですので多くの方は読まれないかと思いますが、実はこの『備考』にはISMAP登録の変更内容及び規制当局からの指摘事項履歴などが記載されることもあるため、一度確認をされることをおすすめします。

 

次にクラウドサービスリスト詳細について説明します。

クラウドサービスリストから気になるクラウドサービスをクリックすると以下の詳細画面に遷移します。

画像2.png

初めにクラウドサービスリスト詳細の中で確認していただきたいのが、『言明の対象範囲』です。『言明の対象範囲』はPDFファイルにクラウドサービスが対象とするサービス名、サービス概要、及びクラウドサービスのデータセンタロケーションの情報を掲載されています。例えばSAP Business Technology Platformでは約90のサービス及び17のデータセンタロケーションが記載されております。ISMAPの言明において、どのようなサービスが提供され、またどのデータセンタロケーションが選択できるのかがここで知ることができます。尚、記載されているサービス及びデータセンタロケーション情報はISMAPの要件に合わせたものになるため、一部のサービス及びデータセンタロケーションが除外されている場合もあります。そのため、ISMAPのクラウドサービスリストに掲載されているクラウドサービスを利用する場合、一度クラウドサービスプロバイダに確認することをおすすめします。

次に確認するのが『基本言明要件のうち実施している統制目標の管理策』です。これはISMAPの統制目標の管理策において、当該クラウドサービスが採用または非採用としている統制目標の管理策を確認することができます。ガバナンス基準及びマネジメント基準は情報セキュリティマネジメントにおいて必須の採用項目となるため確認は不要ですが、管理策基準はクラウドサービスの性質により一部統制目標は非採用としているものがあるため、確認が必要となります。

例として、SAP SuccessFacotrs はSaaSのクラウドサービスとなりISMAPに登録されているGoogle Cloud Platform(登録番号:C21-0004-2)又はMicrosoft Azure(登録番号:C21-0012-2)のプラットフォームを利用してサービスを展開しているため、統制目標11.1節及び11.2の一部は各プラットフォームのISMAPに依存するため非採用となっております。

このように他社のISMAP登録に依存したり又は別の統制目標により非採用となることあるため、非採用となっている統制目標についての詳細を確認をされたい場合はクラウドサービスプロバイダに問い合わせするといいでしょう。

尚、各統制目標の内容についてはISMAP管理基準で確認することができます。

 

続いて4つの確認項目『申請時点における申請者の資本関係及び役員等の情報』、『リスク評価を行うために必要な情報』、『契約に定める準拠法・裁判管轄に関する情報』、及び『ペネトレーションテストや脆弱性診断等の第三者による検査の実施状況と受入に関する情報』は情報セキュリティ対策に大きな影響を及ぼすものでないため、またクラウドサービスプロバイダと契約する際に確認される内容になるため、ここでの詳細な確認は必要ないと思いますが、参考程度に確認されるといいかもしません。

 

最後に『クラウドサービスの登録に係る特記事項』を確認してクラウドサービスリストの詳細確認は終了となります。

『クラウドサービスの登録に係る特記事項』は暗号鍵の管理機能に関わる採否状況等及びサービス記載内容の変更に関わる情報が記載されることがあるため、重要な確認項目の1つと言えます。暗号鍵の管理については色々な方法があるため、今後登録するクラウドサービスが増えれば記載されるクラウドサービスプロバイダも増えるのではないかと予想しています。サービス記載内容の変更は情報セキュリティ対策にも影響を与えるため、多くのクラウドサービスプロバイダにおいて変更することは少ないと思われますが、変更が発生した場合、影響を及ぼす可能性があるため確認は必要と思います。

 

ここまでクラウドサービスリストの詳細について説明をしてきましたが、ISMAPポータルISMAPクラウドサービスリストではクラウドサービスプロバイダの情報やクラウドサービスの情報セキュリティ対策などが垣間見えるため、今後クラウドサービスの検討を行う際に一度確認をされることをおすすめします。

Labels in this area
Popular Blog Posts