政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)に登録し、国から認められたサービスになるには、どんな準備や対策が必要なのか。実務にも携わるPwCあらた有限責任監査法人の有識者が知見を語る。
政府のクラウドサービス認定制度「ISMAP」。ISMAP登録に当たっては、サービスに関する様々な情報が一般に公開されることになります。中には公開が求められない情報もありますが、クラウドサービス事業者(Cloud Service Provider、以下CSP)には、そういった情報を独自に開示する判断も必要です。
一体、どんな情報が開示されるようになり、どんな情報がそうならないのでしょうか。監査機関・監査法人の立場で、CSP向けの認証制度や保証に関する取り組みに関わってきた筆者が解説します。
製造業・情報通信業・金融業(資金決済・暗号資産)を中心に、IT領域に係る財務諸表監査、国内上場企業の内部統制監査および米国証券取引委員会(SEC)登録日本企業、外資系企業の米国企業改革法に基づく内部統制監査業務に従事。 アドバイザリー業務として、財務報告に係るIT統制の構築・評価支援、フィンテックに関連するITガバナンス構築支援業務を実施。中央出版社「ブロックチェーンをビジネスで活用する」、同文館出版「クラウド・リスク・マネジメント(新版)」を共著。公認情報システム監査人(CISA)。
政府情報システムのためのセキュリティ評価制度 (ISMAP) において国外大手クラウドサービス事業者の評価業務に従事。また、国内外の金融機関、小売・流通業、情報通信業に対するクラウドリスクアドバイザリー業務やITガバナンスの構築に係るアドバイザリー業務、情報セキュリティガバナンスの構築に係るアドバイザリー業務等多数のアドバイザリーの提供実績を有する。同文館出版「クラウド・リスク・マネジメント(新版)」を共著。公認情報システム監査人(CISA)、公認データプライバシー・ソリューションエンジニア(CDPSE)、AWS認定セキュリティ-専門知識、GCP認定 Professional Cloud Security Engineer。
まず、ISMAPのクラウドサービスリストは「クラウドサービスリスト」と「クラウドサービスリスト詳細」の2種類のページで構成されており、それぞれで異なる情報を開示する必要があります。「クラウドサービスリスト」では、以下のような基礎的な情報が公開されることになります。
ISMAPには登録更新の仕組みがあり、更新を申請中の場合は備考欄にその旨が記載されます。
一方の 「クラウドサービスリスト詳細」では、図表1のような情報が記載されます。表にある「統制目標」はクラウドサービスに課される目標、「管理策」は統制目標の達成手段を指します。
一方で、下記のような内容は公開されません。
先ほどまとめたように、ISMAP登録に当たっては様々な情報が開示されます。ただし、クラウドサービスを利用するユーザーのことを考えたとき、開示されている以外の情報が、より大切になることがあります。例えば「登録に当たって実施された評価手続とその結果」や「クラウドサービスの責任共有モデル」がそれに当たります。
まず「登録に当たって実施された評価手続とその結果」がどんな情報なのか説明します。ISMAP登録に際しては、政府(が認めた監査機関)がその実施状況を確認・評価します。実際には、質問による確認に加え、手順書などの閲覧などによって評価が進められます。評価対象となるのは「ガバナンス基準」「マネジメント基準」「管理策基準」の3つです。
「ガバナンス基準」は情報セキュリティガバナンスに関して、経営陣が情報セキュリティに関する意思決定と指示を確実に実施しているかを、「マネジメント基準」では管理者における情報セキュリティマネジメントシステムの確立、運用、および改善を指導しているかを確認します。
「管理策基準」には1000以上の詳細な管理基準が含まれており、アクセス制御、媒体の取り扱い、暗号化、マルウェア保護、ログ管理、冗長性などの情報セキュリティ要素に関する具体的な手続きなどについて確認が求められます。
次に、評価においては、継続的な運用状況の確認として、管理策の実施記録を複数件閲覧する「サンプルテスト」も受けることになります。サンプルテストの件数は図表2の通り、「統制頻度」(テストを実施する頻度)によって決まり、最大で25件のサンプル(実施記録)をチェックされます。
さらに規程、手順書等および設計書、仕様書、申請書、承認記録、システムログ、台帳などの文書・記録も提出が必要です。他にも、登録対象とするクラウドサービスの提供環境については、実際のサーバ、ネットワーク、管理ツールアプリケーションや機器類などの実機情報や設定値の提出が求められます。
ちなみに、一連の評価を受けISMAPクラウドサービスリストに登録された後も、セキュリティ水準に影響を及ぼし得る事象については継続的な報告と評価が求められます。場合によっては、再監査となるケースもあるので、一度監査が終わったからといって気を抜くことはできません。
先に述べた通り、ISMAPという制度上、これら評価内容の詳細は開示されません。しかし、ISMAPに登録されているCSPのサービスはこれらの要件を満たすことができたサービスといえます。言い換えれば、ISMAP登録の要否は、民間企業や地方公共団体といった企業がクラウドを導入する際の参考となり得ます。
つまり、クラウドサービスにおける信頼の付与という観点から考えた場合、ホワイトペーパーのような形で、CSP自らがセキュリティ対策などをある程度開示していくことは、利用者の拡大に寄与する可能性があります。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR