お知らせ:「政府情報システムのためのセキュリティ評価制度」へのWebexの対応について
詳細はこちら>
皆さんこんにちは ”Mr. Webex” です。
このブログは、Webex のセキュリティについてシリーズでお伝えし、安心してリモートを中心としたハイブリッドな働き方や生活を実践していただくことを目的としています。さて、前回のブログから少し間が空いてしまいましたが、この度、弊社シスコシステムズが提供する Webex は、内閣官房、総務省、および経済産業省が所管する政府情報システムのためのセキュリティ評価制度である「ISMAP イスマップ(以下、ISMAP)」において、ISMAP 登録監査機関による外部監査、および ISMAP 運営委員会による評価審査を経て、そのセキュリティ基準を満たすものとして、2021年7月30日に ISMAP クラウドサービスリストに登録されましたので、皆様にお知らせいたします。本件に関する正式なニュースリリースはこちらをご参照下さい。
今回のブログでは、ISMAP の概要、制度開始の背景、クラウドサービスが ISMAP クラウドサービスリストに登録されるまでのプロセスと、ISMAP の制度が日本の社会に与える影響などについて解説したいと思います。
ISMAP とは?
まずは、ISMAP 発足の背景と制度概要についてご説明します。
日本政府では2018年6月に、「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を定め、政府機関において、それまでのオンプレ中心であった IT システムから、クラウドサービスを積極的に活用していくことを検討する方針「クラウド・バイ・デフォルト原則」を決定しました。このようなクラウド積極活用の波が押しよせる一方で、他国と比べると日本国内にはセキュリティ評価の仕組みが整っておらず、政府機関や官公庁がクラウドサービスを調達する際には、各クラウドサービスプロバイダー(以下、CSP)のセキュリティ対策状況を個々に評価する必要があり、サービスを提供する側、提供を受ける側、双方にとっての手間やそれに伴うコスト増、そして安全性の低いクラウドサービスの導入といった懸念に繋がっていました。
このような問題を解決すべく、各省庁をはじめとした政府機関における統一調達基準の策定が議論され、2020年6月、内閣官房(内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室)、総務省、経済産業省によって、政府情報システムのためのセキュリティ評価制度 ISMAP(Information System Security Management and Assessment Program)の運用が開始されました。
ISMAP とは簡単に言うと、政府機関がクラウドサービスを調達する際に、そのクラウドサービスが高い安全性を有しているかどうかを評価するセキュリティ評価基準制度のことです。ISMAP の制度を通じ、セキュリティ要件を満たしているクラウドサービスをあらかじめ評価・登録することで、政府機関におけるクラウドサービスの円滑な導入と安全な利用が実現可能となります。
ISMAP クラウドサービスリスト
ISMAP 運営委員会により、情報セキュリティ監査を実施することが認められた第三者監査機関による外部監査を含む ISMAP の全評価プロセスを経て、セキュリティ評価基準を満たすと判断されると、そのクラウドサービスは ISMAP クラウドサービスリストに登録されます。
今後、各政府機関がクラウドサービスを調達する際には、厳正な評価プロセスを経て公表される ISMAP クラウドサービスリストに登録されたサービスから調達することが原則として必要となります。さらに、このリストは一般公開されているため、政府機関のみならず民間企業においても、いわゆる「セキュリティの高いクラウドサービスリスト」として活用され、日本の社会全体にクラウドサービスがより一層浸透することで、DX(デジタルフォーメーション)の推進や、官民一体となって日本が目指す未来社会 Society5.0 の実現へ向けた足がかりになることも期待されます。このように、これから訪れる次世代の超スマート社会における国家、および国民の情報セキュリティと ISMAP は密接に関係していると言えるかもしれません。
内閣府より引用
ISMAP の個別管理策
それでは ISMAP のセキュリティ基準の中身について少し詳しく説明しましょう。
CSP が満たす必要のある ISMAP のセキュリティ基準は、「A. ガバナンス基準」、「B. マネジメント基準」、「C. 管理策基準」の3つの大きな基準により構成されており、この3つの基準の中に、それぞれの基準に沿った細かなセキュリティ要件が全部で約1,200項目規定されています。
ISMAP クラウドサービスリストへの登録を目指す CSP は、この約1,200項目にのぼる個別管理策ひとつひとつの適合状況をシートに記述し、言明書を作成します。そして、その内容を登録監査機関が厳正にチェックし、CSP による記述内容が実態に沿ったものになっているかどうか監査を実施します(セキュリティ外部監査)。ようするに、記述内容に誇張や虚偽がなく、規定されたセキュリティ基準を満たしているかどうかを第三者の客観的手法で監査すると言うことです。適合できていない個別管理策については CSP 側で適合させる必要があります。外部監査の結果は「実施結果報告書」として CSP に提出され、CSP は言明書と実施結果報告書、その他必要な申請書を、ISMAP 運用支援機関である独立行政法人情報処理推進機構(IPA)に提出し、登録申請を完了させます。CSP により正式に登録申請が行われた後、さらに ISMAP 運営委員会による審査が行われ、セキュリティ基準を満たすと判断された場合に初めて ISMAP クラウドサービスリストに登録されるという流れです。
ISMAP のセキュリティ基準は ISO27001、27002、27017、NISC の統一基準といった他のセキュリティ基準が基礎になっているため、既にこれらのセキュリティ認定を取得しているクラウドサービスについては、ISMAP の登録申請において効率化できる部分はあるものの、約1,200項目という個別管理策の数の多さによるセキュリティ基準の網羅性や、登録監査機関による外部監査の実施(データセンター監査含む)や、CSP 経営層のコミットメント、ISMAP 運営委員会による厳正な審査など、評価プロセス全体を考えると、ISMAP クラウドサービスリスト登録の難易度は非常に高いと私は考えています。しかしそれは裏を返すと、ISMAP クラウドサービスリストに登録されたクラウドサービスの安全性の高さを証明することに他なりません。
※「C. 管理策基準」については適合必須の管理策と選択可能な管理策があり、選択可能な管理策については CSP により評価の対象外とすることが可能。
政府機関における Web 会議サービスの利用
このブログでもこれまでお伝えしてきましたが、昨年(2020年)1月頃に始まった新型コロナウィルス感染症の広がりとともに世の中が変貌し、生活様式や働き方も変化を強いられることになりました。弊社シスコでも1年半以上にわたり、ほぼ完全な在宅勤務を現在(2021年8月5日時点)も継続していますが、政府機関内においても、場所の移動などが制限されることにより、Web 会議サービスを活用したオンラインコミュニケーションの浸透が進みました。ニュースなどでも政治家の皆さんや、各国を代表するトップの方々が Webex をはじめとした Web 会議サービスを利用して重要事案を議論し、重要な国際会議などもオンラインで開催されるシーンを目にすることが珍しくなくなったことは皆さんもご存知の通りかと思います。
このように、直面する状況に応じてクラウドサービスを活用することで、世の中が混乱することなく事業を継続できる点においては、テクノロジーの貢献するところが大きい一方で、 この1年半の間に、テクノロジーの脆弱性を突いた多くのセキュリティインシデントが発生したことも無視できない事実です。特に政府機関のようなセンシティブな情報を預かる組織が、安全性に欠けるクラウドサービスを利用するということは、センシティブ情報を危険に晒すことになります。このような意味においても、政府機関が利用するクラウドサービスのセキュリティを評価する制度は必要不可欠であり、ISMAP の制度発足はある意味必然だったのかもしれません。
TPP 委員会
G20 リヤドサミット(首相官邸ホームページより引用)
最後に 〜シスコの製品思想〜
CSP においては、ISMAP クラウドサービスリスト登録に向けて年単位での計画、予算の確保、人的リソースの投下、外部監査の対応など、様々なタスクが発生します。月並みな言い方をすると「大変なプロジェクト」なのです。しかし、セキュリティを担保し、安心・安全にクラウドサービスをご利用いただくのが我々 CSP の使命であるとシスコは考えており、「セキュリティはシスコの DNA である」という製品思想に基づいて、今後もよりセキュアなクラウドサービスの提供を目指し、邁進していく所存です。