　なお、ISMAPは公的機関への提供を目指すCSP、実際に導入の基準とする官公庁だけでなく、クラウドサービスの利用を検討する一般企業にとっても参考になります。例えば事業会社のユーザー視点で見たとき、ISMAP登録サービスは「コンプライアンスリスク」と「クラウド固有のリスク」を考慮しやすくなっています。

　まず、コンプライアンスリスクについては、以下のような情報を考慮しやすくなっています。いずれもISMAP登録に当たって明示が求められている情報です。

資本関係及び役員等の情報
クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用され、調達府省庁等が意図しないまま当該調達府省庁等の管理する情報にアクセスされ又は処理されるリスク
契約に定める準拠法・裁判管轄に関する情報
ペネトレーションテストや脆弱性診断等の第三者による検査の実施状況と受入に関する情報

　特に2つ目のリスクは重要です。ISMAPのリストでは、登録されたクラウドサービスを利用する場合、ユーザーがどんなリージョンを選択できるかが示されています。これにより、クラウドサービス上で取り扱われる情報がどの国にあるのかを考慮できます。

　「クラウド固有のリスク」については、クラウドサービス事業者に対して求められる管理策からそのヒントが見えてきます。ISMAPでは、CSPに対応必須の「統制目標」（3桁管理策）を定めており、それを達成する手段である「詳細管理策」（4桁管理策）の実施を求めています。

　このうち、詳細管理策は選択式です。つまり詳細管理策を確認することで、そのクラウドサービスが統制目標の達成に向けてどんな手段を講じているか確認できるわけです。

　例えば「情報セキュリティに関連する要求事項は、新しい情報システム又は既存の情報システムの改善に関する要求事項に含める」という統制目標については、ユーザーが利用する情報セキュリティ機能などについて、CSPが情報提供を行うことなどを詳細管理策として求めています。

　なお、ISMAPの登録サービスは、以下のような審査の仕組みを経て登録されます。

要件を満たした監査機関が外部監査を行っている
ISMAP運用支援機関が、CSPの申請書類や外部監査の実施結果等を総合的に考慮して、最終的な「ISMAPクラウドサービスリスト」への登録及び更新の審査を実施している。

　また、情報セキュリティ監査制度や監査機関の質の確保に精通した民間団体（情報処理推進機構、日本セキュリティ監査協会など）により、監査機関の評価及び管理が行われ、外部監査の質の確保が行われています。

　ISMAP制度は政府機関でのシステム調達において安全なクラウドサービスを効率的に調達するために生まれた制度です。とはいえ、制度検討当初から民間企業における利用も視野に入っています。

　特に、適切なセキュリティ評価が難しい民間企業においては、クラウドサービスの選定時に活用の余地があるでしょう。次回以降の連載では、CSPが自社サービスをISMAPに登録するに当たって必要な知見を探ります。

始まるガバメントクラウド移行、自治体に求められるセキュリティ対策は
政府やデジタル庁が主導する「ガバメントクラウド」。すでに一部自治体が移行・利用を進めており、今後拡大する見込みだ。一方で、移行に伴う現場の混乱も予想される。特に不安が生まれるのはセキュリティだ。
日本政府の共通クラウド基盤に「Azure」「Oracle Cloud」追加　またも国産サービス入らず
デジタル庁が、日本政府の共通クラウド基盤「ガバメントクラウド」として、新たに「Microsoft Azure」と「Oracle Cloud Infrastructure」を採択。公的個人認証サービスの提供や、同庁による調査研究などに活用する。
富士通の“政府認定クラウド”、再監査終了　10カ月前に不正アクセス　結果は
ISMAP運営委員会が、富士通クラウドテクノロジーズのパブリッククラウド「ニフクラ」「FJcloud-V」について、再監査の終了を発表した。両サービスは不正アクセスによる情報漏えいの可能性を理由に、半年前から再監査されていた。
“政府認定SaaS制度”スタート　登録の受け付け開始
日本政府のSaaS認定制度「ISMAP-LIU」の運用が始まった。公式サイトで登録の申し込みも受け付けている。
“政府認定クラウドサービス”にソフトバンクの国産クラウドなど追加　全7サービスがリスト入り
政府がソフトバンクのIaaSやオンラインストレージなど7サービスを、クラウドサービスの認定制度「ISMAP」のリストに登録。政府調達の対象として認定した。