はじめに
近年、クラウドサービスの利用が広がりを見せる中、そのセキュリティ対策はますます重要となっています。
特に、政府組織においては、情報の機密性や完全性を保つため、厳格なセキュリティ基準が求められます。
本記事では、政府が推奨するセキュリティ評価制度であるISMAP(Information system Security Management and Assessment Program)に焦点を当て、その概要、評価基準について、そして政府組織におけるクラウドサービスの利用について詳しく解説します。
ISMAPがどのようにクラウドサービスのセキュリティを確保し、政府組織においてどのように活用されているのか、詳細にわたってご紹介いたします。
ISMAPとは
ISMAPは、クラウドサービスプロバイダがサービスのセキュリティレベルの向上と利用者の信頼の獲得を図るための制度です。
この制度は、情報セキュリティマネジメントシステムの国際標準であるISO/IEC 27001と連携しています。
政府組織においては、「クラウドバイデフォルトの原則」に基づき、新たな情報システムの構築や既存システムの大幅な改修を行う際、原則としてクラウドサービスの利用が求められています。
この原則は、効率的かつ安全な情報システムの運用を実現するためのものです。
政府組織がクラウドサービスを選定する際、原則としてISMAPに登録されているサービスが選ばれます。ISMAPに登録されているサービスは、一定のセキュリティ基準を満たしているため、情報セキュリティの観点から信頼性があります。
これにより、政府組織はセキュリティリスクの低減と、安全なクラウドサービスの利用が可能となります。
制度の概要
制度の概要についてISMAP公式ウェブサイトには以下の記載があります。
政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 通称、ISMAP(イスマップ))は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。
本制度は、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和2年1月30日サイバーセキュリティ戦略本部決定)に基づき、内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省が運営しています。独立行政法人情報処理推進機構(IPA)は、本制度の制度運用に係る実務及び評価に係る技術的な支援を行います。
また、本制度のうち、リスクの小さな業務・情報の処理に用いるSaaS サービスを対象とする仕組みの名称を、ISMAP for Low-Impact Use: ISMAP-LIU(イスマップ エルアイユー)とします。
ISMAP公式ウェブサイト
https://www.ismap.go.jp/csm?id=kb_article_view&sysparm_article=KB0010005&sys_kb_id=027db440dbdfd9506e6cb915f39619f5&spa=1
セキュリティ管理のポイント
ISMAPにおいて重要とされるセキュリティ管理のポイントは以下の通りです。
- リスクアセスメント:サービスのリスクを評価し、適切な対策を講じる。
- アクセス制御:不正アクセスを防ぐための適切なアクセス制御を実施。
- 監査ログの管理:セキュリティインシデントの検出・分析のための監査ログを適切に管理。
 | 図解即戦力 ISO27001:2022の規格と審査がこれ1冊でしっかりわかる教科書 [ 株式会社テクノソフト 岡田 敏靖 ] 価格:2420円 |
 | 図解即戦力 情報セキュリティの技術と対策がこれ1冊でしっかりわかる教科書 [ 中村行宏、若尾靖和、林静香 ] 価格:2508円 |
最新の更新情報
ISMAPの制度規程や評価基準は、セキュリティ環境の変化に対応するため、定期的に更新されます。
最新の情報は、ISMAP公式ウェブサイトで確認できます。
まとめ
本記事では、ISMAPの概要について解説しました。
ISMAPは、クラウドサービスのセキュリティレベルを評価・認証する制度であり、利用者にとって信頼性のあるサービス選定の基準となります。
特に、政府組織では「クラウドバイデフォルトの原則」に従い、原則としてISMAPに登録されているクラウドサービスが選定されます。
これにより、効率的かつ安全な情報システムの運用が実現されています。
これらの原則と制度を理解し、適切なサービス選定とセキュリティ対策の実施が重要です。
コメント