“政府認定クラウド制度”なぜ重要？ クラウドサービスを巡る国の狙い：知っておこう、“政府認定クラウド”（3/3 ページ）

政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度」（ISMAP）。実務にも携わるPwCあらた有限責任監査法人の有識者が、その概要を解説する。

[川本大亮, 平井彰，ITmedia]

ユーザー企業がISMAPを上手に活用するには？　目のつけどころ

　なお、ISMAPは公的機関への提供を目指すCSP、実際に導入の基準とする官公庁だけでなく、クラウドサービスの利用を検討する一般企業にとっても参考になります。例えば事業会社のユーザー視点で見たとき、ISMAP登録サービスは「コンプライアンスリスク」と「クラウド固有のリスク」を考慮しやすくなっています。

　まず、コンプライアンスリスクについては、以下のような情報を考慮しやすくなっています。いずれもISMAP登録に当たって明示が求められている情報です。

1. 資本関係及び役員等の情報
2. クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用され、調達府省庁等が意図しないまま当該調達府省庁等の管理する情報にアクセスされ又は処理されるリスク
3. 契約に定める準拠法・裁判管轄に関する情報
4. ペネトレーションテストや脆弱性診断等の第三者による検査の実施状況と受入に関する情報

　特に2つ目のリスクは重要です。ISMAPのリストでは、登録されたクラウドサービスを利用する場合、ユーザーがどんなリージョンを選択できるかが示されています。これにより、クラウドサービス上で取り扱われる情報がどの国にあるのかを考慮できます。

　「クラウド固有のリスク」については、クラウドサービス事業者に対して求められる管理策からそのヒントが見えてきます。ISMAPでは、CSPに対応必須の「統制目標」（3桁管理策）を定めており、それを達成する手段である「詳細管理策」（4桁管理策）の実施を求めています。

　このうち、詳細管理策は選択式です。つまり詳細管理策を確認することで、そのクラウドサービスが統制目標の達成に向けてどんな手段を講じているか確認できるわけです。

　例えば「情報セキュリティに関連する要求事項は、新しい情報システム又は既存の情報システムの改善に関する要求事項に含める」という統制目標については、ユーザーが利用する情報セキュリティ機能などについて、CSPが情報提供を行うことなどを詳細管理策として求めています。

　なお、ISMAPの登録サービスは、以下のような審査の仕組みを経て登録されます。

• 要件を満たした監査機関が外部監査を行っている
• ISMAP運用支援機関が、CSPの申請書類や外部監査の実施結果等を総合的に考慮して、最終的な「ISMAPクラウドサービスリスト」への登録及び更新の審査を実施している。

　また、情報セキュリティ監査制度や監査機関の質の確保に精通した民間団体（情報処理推進機構、日本セキュリティ監査協会など）により、監査機関の評価及び管理が行われ、外部監査の質の確保が行われています。

---

　ISMAP制度は政府機関でのシステム調達において安全なクラウドサービスを効率的に調達するために生まれた制度です。とはいえ、制度検討当初から民間企業における利用も視野に入っています。

　特に、適切なセキュリティ評価が難しい民間企業においては、クラウドサービスの選定時に活用の余地があるでしょう。次回以降の連載では、CSPが自社サービスをISMAPに登録するに当たって必要な知見を探ります。