- ライター:山崎 文明
- 情報セキュリティ専門家として30年以上の経験を活かし、安全保障危機管理室はじめ、政府専門員を数多く勤めている。講演や寄稿などの啓発活動を通じて、政府への提言や我が国の情報セキュリティ水準の向上に寄与している
目次
「政府情報システムのためのセキュリティ評価制度(ISMAP: Information system Security Management and Assessment Program)」がはじまってすでに1年がたちました。すでに11社の15のクラウドサービスがISMAPクラウドサービスリストに掲載されています。
弊社が独自に行った市場調査では、その認知度は昨年の45%から今年は48.3%と少なからず増加しているようです。政府がこの制度のプロモ―ションを積極的に行えばさらに認知度は向上していくはずで、自治体や重要インフラ産業からはじまって民間にも普及していくことは間違いないでしょう。まだ試行錯誤のISMAP制度ですが、制度の趣旨や運用、監査方法について注意すべきポイントを考えてみたいと思います。
ISMAP制度とは
2020年6月3日より運用が開始されたISMAP制度ですが、そもそもの発端は平成30年6月に政府決定した「政府情報システムにおけるクラウドサービスに係る基本方針」、いわゆるクラウド・バイ・デフォルト原則に基づいています。政府情報システムのクラウド化が進む一方で、クラウドサービス特有のリスクに起因するセキュリティへの懸念もあります。そこで政府はこの懸念を少しでも和らげるためにクラウドサービスにクラウドサービスプロバイダー(CSP)が言明したセキュリティ基準に準拠しているかを検証して、審査に合格したクラウドサービスのリストを作成し、そのリストに掲載されたクラウドサービスしか使わないという方針を立てたのです。
この制度ではCSPがクラウドサービスリストへ登録しようとする自社のクラウドサービスについて、日本セキュリティ監査協会に登録されているセキュリティ監査会社から監査を受けます。ちなみに監査費用はCSPの負担です。CSPは、登録申請書、経営者による言明書と監査実施報告書を政府のISMAP制度運営委員会に提出して審査を受けます。言明書というのは自社のセキュリティ対策についての宣誓書です。ISAMP制度運営委員会の審査をパスすれば晴れてクラウドサービスリストに載るということになります。
ISMAPはAUP業務
ISMAP情報セキュリティ監査ガイドラインの総則「1.2本制度における監査業務の特質」では、本制度における監査業務の性質として「① 本制度における監査業務は、保証型監査又はレビュー業務の保証業務には該当せず、したがって手続き実施結果から導かれる結論の報告も、また、保証の提供もしない」とされています。これは監査法人の業務の中でもAUP(Agreed Upon Procedures)と呼ばれるもので、顧客の要望に応じて、顧客が定めた基準と照らした結果について意見を述べる業務で、M&Aなどの業務に適用される概念です。ISMAPにおいては、業務実施者(監査法人)が、業務対象(クラウドサービス事業者)に関して合意された手続を実施し、その実施結果の報告書を作成します。一般に監査というと客観的基準に照らして第三者の立場から意見を述べることを想像しますが、この制度では監査ではなく「AUP業務」だということです。
ISMAPクラウドサービスリストに掲載されているからといって安易にそのサービスを導入するのではなく言明対象範囲を確認する姿勢が大切です。
-以下、ISMAP情報セキュリティ監査ガイドラインの総則「1.2本制度における監査業務の特質」より抜粋
「本制度の監査業務において、業務実施者の報告は、手続実施結果を事実に即して報告するのみにとどまり、手続実施結果から導かれる結論の報告も、保証も提供しない。また、本制度における監査業務は、結論の基礎となる十分かつ適切な証拠を入手することを目的とはしておらず、保証業務とはその性質を異にするものである。さらに、業務実施者は、本制度における監査業務において、重要性の概念の適用やリスク評価に基づく手続の決定は行わず、また、業務実施者の報告に基づき実施結果報告書の利用者が不適切な結論を導くリスクの評価は行わず、実施した手続や入手した証拠の十分性についても評価しない。」
ISMAP制度運営委員会
政府に設置されるISMAP制度運営委員会メンバーは非開示とするということが決まっています。CSPからの接触を避けるための措置で、特に不適合とされたCSPからの圧力は相当なものが予想されるからです。形式的監査にとどまることや提出される資料は言明書しかありません。不適合とされたCSPは、何故に不適合とされたのか不満が充満するはずです。この制度を定着させるためにも制度運営委員会は、明確な説明責任を果たすことが求められます。
ISMAP管理基準
この制度の実効性を担保するのはISMAP管理基準です。監査人がCSPの情報セキュリティ監査を行う際の前提としているセキュリティ対策の一覧がISMAP管理基準です。「クラウド情報セキュリティ管理基準(平成28年度版)」と「政府機関等の情報セキュリティ対策のための統一基準(平成30年度版)」及び「SP800-53 rev.4」を参照して策定されています。
今回、公表されたISMAP管理基準の特徴は次の2点です。
■政府において最も多く扱われる情報の格付け区分である機密性2の情報を扱うことを想定して策定している。
「機密性2」の情報というのは「政府機関等の情報セキュリティ対策のための統一基準」で決められている情報の格付けです。「機密性1情報」は公開されている情報。「機密性3情報」というのは行政文書の「機密文書」に当たります。「機密性2情報」は「機密性3情報と「機密性1情報」のちょうど中間に分類される情報で、行政文書のほとんどがこれに当たります。
■論理的消去もデータの消去(もしくは抹消)の方法の一つと定義している。
暗号化の基本は暗号鍵の管理をデータ所有者が行うということですが、いくつかのCSPではデータの暗号化はしていても鍵の管理は事業者側でしか行えないシステムとなっています。暗号化に関しては鍵管理がユーザー側でできない場合は、内部犯行を防止するためにけん制措置が取られているなどの代替策が言明されていればよいということになりました。政府のデータをCSPにゆだねる上で政府が暗号化を前提にしたことは評価できますが、重要な鍵管理についてはCSP側で良いとなっています。したがって、鍵管理を含めて高度なセキュリティを保証したい場合は、ISMAP対応だからと盲目的にサービスを選ぶのではなく、このような中身を見て判断することが必要です。
日本版FedRAMP?
米国で似たような位置づけの先行している制度としてFedRAMPがあります。FedRAMP(Federal Risk and Authorization Management Program)とは米連邦政府がクラウドサービスを調達する際のセキュリティ基準で、セキュリティ評価認定と継続的な監視に関するプログラムです。各省庁がばらばらにクラウドサービスのセキュリティ評価を行っていたのでは時間も費用も掛かります。そこで統一機基準を作って、その審査に合格したクラウドサービスであれば安心して使えるという理屈です。
ISMAP制度とFedRAMPでは、いくつかの点では違いがあります。FedRAMPの認証を受けているサービスは、8月24日時点で234ですが、その審査で圧倒的実績を誇っているのはCoalfire Systems(実績109サービス)やSchellman(実績61サービス)というセキュリティ専門会社です。ISMAP制度では会計監査法人がISMAPの業務を担当していますが、いずれもFedRAMPの監査実績はありません。日本では監査と言うと会計監査法人を連想しますが、米国では、技術審査に重点が置かれており、監査結果についても保証を与えています。ISMAP制度では監査法人の独断場ですが、技術力のしっかりしたセキュリティ専門会社がISMAP監査機関として登録されることを期待しましょう。
FedRAMPの将来は自動審査へ
始まったばかりの日本版FedRAMPですが、米国のFedRAMPは、先を行っています。昨年12月、米国はFedRAMPの自動化を目指すとして、Open Security Controls Assessment Language(OSCAL)の発表を行いました。FedRAMPは2011年12月にオバマ大統領の頃に始まった制度ですが、CSPには、とても評判が悪いものでした。最大の理由は、費用が掛かりすぎるというものでした。クラウド1サービスの審査費用は2億円、その後の監視(モニタリング)費用が毎年1億円かかると言われていました。結果としてFedRAMPの認証取得事業者は、アマゾンやマイクロソフト、オラクルといった超大手企業に限られていました。そこで審査費用を低減するために審査の自動化を目指しています。日本のISAMP制度も一声3,000万円と言われるAUP業務費用を少しでも低く抑え、実効性のあるものにするためにも自動化のアプローチが重要です。
意外に高かった市場認知度
ネットワンシステムズでは、ISAMAP制度の運用開始直後の2020年7月と、制度が始まってから1年後の2021年7月にISMAPの市場認知度についてアンケート調査を行いました。母数は600名、企業内で情報処理に携わっている人に限定し、業種は問わないとしました。昨年、質問に先立って行った「クラウドサービスを利用していますか」という質問には、8割の企業が利用していると答えています。コロナ騒ぎの中でテレカンファレンスの利用している企業が約30%もあったことが、利用者の底上げに一役買っているのかも知れません。今年はテレカンファレンスが普及した結果でしょうか、100%の企業でクラウドサービスを利用していると回答がありました。
(図1:ISMAPに対する市場認知度調査結果 2020年7月および2021年7月実施)
初回のアンケートについては、政府が制度運用を始めてからまだ2週間という短い期間であるにもかかわらず、結果は意外なものでした。何と回答者の45%がISMAPという制度を知っていたのです。また、「知っている」と答えた人の86%が「今後のIT調達において考慮する(62%)」、「制度の趣旨を尊重し、遵守する(24%)」と答えています。その割合は企業規模が大きくなればなるほど高くなります。今年度も同様にアンケートを取っておりますが、この傾向はますます強くなっているようです。
(図2:ISMAPに対する市場認知度調査結果 2020年7月実施)
なお、今回のアンケート結果詳細については以下ページよりダウンロード可能です。
市場を制するのは暗号化などの技術力
ちなみに「クラウドサービスの安全性を担保するために必要なものは何ですか」という質問には「クラウドセキュリティに関する全般的な知識や技術」や「クラウドセキュリティを担保するための製品に関する知識」と回答する人が多くなっています。このことからもセキュリティ技術、とりわけクラウドセキュリティに関する技術は、ますます重要になっていることが見てとれます。私たちネットワンシステムズは、常に最新のセキュリティ動向をキャッチアップし、技術検証や自社での活用やセキュリティオペレーションセンターでの運用などを通してノウハウを蓄積し、お客様が安心してシステムを使えるお手伝いをしております。今後もISMAP対応というラベルではなく、本質的に必要なセキュリティ対策が何か、という視点でお客様にセキュアなサービスを提供していきます。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
