なお、ISMAPは公的機関への提供を目指すCSP、実際に導入の基準とする官公庁だけでなく、クラウドサービスの利用を検討する一般企業にとっても参考になります。例えば事業会社のユーザー視点で見たとき、ISMAP登録サービスは「コンプライアンスリスク」と「クラウド固有のリスク」を考慮しやすくなっています。
まず、コンプライアンスリスクについては、以下のような情報を考慮しやすくなっています。いずれもISMAP登録に当たって明示が求められている情報です。
特に2つ目のリスクは重要です。ISMAPのリストでは、登録されたクラウドサービスを利用する場合、ユーザーがどんなリージョンを選択できるかが示されています。これにより、クラウドサービス上で取り扱われる情報がどの国にあるのかを考慮できます。
「クラウド固有のリスク」については、クラウドサービス事業者に対して求められる管理策からそのヒントが見えてきます。ISMAPでは、CSPに対応必須の「統制目標」(3桁管理策)を定めており、それを達成する手段である「詳細管理策」(4桁管理策)の実施を求めています。
このうち、詳細管理策は選択式です。つまり詳細管理策を確認することで、そのクラウドサービスが統制目標の達成に向けてどんな手段を講じているか確認できるわけです。
例えば「情報セキュリティに関連する要求事項は、新しい情報システム又は既存の情報システムの改善に関する要求事項に含める」という統制目標については、ユーザーが利用する情報セキュリティ機能などについて、CSPが情報提供を行うことなどを詳細管理策として求めています。
なお、ISMAPの登録サービスは、以下のような審査の仕組みを経て登録されます。
また、情報セキュリティ監査制度や監査機関の質の確保に精通した民間団体(情報処理推進機構、日本セキュリティ監査協会など)により、監査機関の評価及び管理が行われ、外部監査の質の確保が行われています。
ISMAP制度は政府機関でのシステム調達において安全なクラウドサービスを効率的に調達するために生まれた制度です。とはいえ、制度検討当初から民間企業における利用も視野に入っています。
特に、適切なセキュリティ評価が難しい民間企業においては、クラウドサービスの選定時に活用の余地があるでしょう。次回以降の連載では、CSPが自社サービスをISMAPに登録するに当たって必要な知見を探ります。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR