「政府情報システムのためのセキュリティ評価制度」ISMAP について

日本政府における情報システムのクラウドサービス利用を第一選択肢として検討し、情報化の速度を向上させ IT 化による利便性を向上させる取り組みであるクラウド・バイ・デフォルト方針に基づき「政府情報システムのためのセキュリティ評価制度」(Information system Security Management and Assessment Program: 通称、ISMAP (イスマップ)) が制定されました。この制度は、政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。
2020 年 5 月 26 日に正式な制度が公開され、独立行政法人情報処理推進機構 (IPA) に設置された公式サイト から各種の情報が閲覧できるようになっています。

ISMAP 制度創設までの流れ

日本政府では「世界最先端IT国家創造宣言・官民データ活用推進基本計画」(2017 年 5 月 30 日閣議決定) および「デジタル・ガバメント推進方針」(2017 年 5 月 30 日高度情報通信ネットワーク社会推進戦略本部・官民データ活用推進戦略会議決定) において、政府情報システムを整備するにあたり、クラウドサービスの利用を第一候補として検討するクラウド・バイ・デフォルト原則の方針が打ち出されました。
これをうけ「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(2018 年 6 月 7 日各府省情報化統括責任者 (CIO) 連絡会議決定) が発表され、2018 年 6 月からは政府調達においてクラウド・バイ・デフォルト原則が採用されています。

一連の流れを受け、「未来投資戦略2018」(2018 年 6 月 15 日 閣議決定)では『クラウドサービスの多様化・高度化に伴い、官民双方が一層安全・安心にクラウドサービスを採用し、継続的に利用していくため、情報資産の重要性に応じ、信頼性の確保の観点から、クラウドサービスの安全性評価について、諸外国の例も参考にしつつ、本年度から検討を開始する。』との戦略が打ち出され、政府情報システムにおける安全性評価制度を検討する取り組みが開始されました。

その後、「デジタル・ガバメント実行計画」(令和元年 12 月 20 日閣議決定)、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和 2 年 1 月 30 日 サイバーセキュリティ戦略本部決定) を経て『各政府機関は、クラウドサービスを調達する際は本制度において登録されたサービスから調達することを原則とし、本制度における登録がないクラウドサービスの調達や、経過措置の詳細は、サイバーセキュリティ対策推進会議、各府省情報化統括責任者 (CIO) 連絡会議において定める。』との方針が決定しています。

現在は「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和 2 年 1 月 30 日サイバーセキュリティ戦略本部決定) に基づき、ISMAP の制度が運営は内閣サイバーセキュリティセンター・情報通信技術 (IT) 総合戦略室・総務省・経済産業省を運営所轄省庁とし、独立行政法人情報処理推進機構 (IPA) が制度運用に係る実務及び評価に係る技術的な支援を担当しています。

マイクロソフトにおける日本独自のセキュリティ認証制度、コンプライアンスへの取り組み

クラウドサービスを取り巻く環境として、各国で求められる法規制やガイドラインは、ビジネス環境のグローバル化に伴い一層複雑になっています。マイクロソフトが各国において事業活動を継続していくためには、それぞれの国における法令の遵守はもとより、高い水準の行動規範のもとに日々の活動を行うことが重要だと考えています。そこで、責任あるグローバル企業として、各国の規制当局が定める基準を上回る高い水準の行動規範を策定 し、世界中の社員に遵守を促しています。

このようなフィランソロピーに基づきマイクロソフトの製品とサービスはお客様の組織がデータの収集と使用を管理する国内、地域、および業界固有の要件に準拠するための包括的なコンプライアンス製品 を提供しています。

マイクロソフトのクラウドサービスは、我が国、日本でもこれまでも日本セキュリティ監査協会「CSゴールドマーク」の取得をはじめとし、パートナー企業との連携による「金融情報システムセンター (FISC) 安全対策基準」への対応や、医療機関向けセキュリティリファレンスなど我が国固有のセキュリティ認証制度やガイドラインへの準拠にも対応しております。

コンプライアンス：クラウド セキュリティ ゴールド マーク (CS ゴールド マーク) への対応
コンプライアンス：金融情報システムセンター (FISC) への対応
医療機関向けクラウドサービス対応セキュリティリファレンス (三菱総合研究所)

マイクロソフトにおける ISMAP への取り組み

これまで述べてきました通り、マイクロソフトではそれぞれの国の法令やガイドライン、業界固有の要件への適合および準拠には積極的に対応する活動を実施しており、日本での活動も例外ではございません。
このような趣旨に基づき、「政府情報システムのためのセキュリティ評価制度」(ISMAP) 認証制度につきましても、主要なクラウドサービスにおいて早期の認証取得を目指して活動を行っております。

ISMAP に関するマイクロソフトの取り組みに関する FAQ

Q) マイクロソフトは ISMAP を取得する予定がありますか？
A) 取得する準備を進めております。2019 年に ISMAP 制度検討委員会で試験実施されたパイロット監査の活動にもご協力しています。

Q) 取得対応予定時期はいつですか？
A) ISMAP の認定監査組織およびプロバイダー製品認証の最初の時期が 2021 年 2 月～ 3 月頃になると 2020 年 8 月に発表されました。発表時期から十分な時間が確保できるわけではありませんが、当該時期を目指して準備を進めております。
ISMAP の監査および認証は本年より開始された制度であり、いまだ認証を受けたサービスはございません。このため、監査法人による監査の内容や ISMAP 運営員会による認証などにかかる時間や要求される内容が完全に判明してわけではありません。このため取得について対応を実施していることは表明できても、取得時期等についてはお約束できるものではないことについては予めご理解ください。

Q) 取得予定サービスは何ですか？
A) 以下の 2 サービスを予定しています。

• Microsoft Azure, Dynamics 365, and Other Online Services
• Microsoft Office 365

Q) なぜ EMS (Enterprise Mobility & Security) の取得予定はないのですか？
A) 取得対象予定スコープには含まれています。
具体的には「Microsoft Azure, Dynamics 365, and Other Online Services」の Other Online Services の中に大半のサービスが含まれています。
既にグローバルで監査が実施され情報を公開している SOC2 監査レポートや ISO27000 シリーズ認証、FedRAMP 認証などの監査がすべて当該区分で実施されており、監査の実施単位 (ガバナンス) を他の監査制度等と合致させて実施することを予定しています。
SOC2 監査レポート、ISMS、FedRAMP などの監査報告書やレポートはマイクロソフトのクラウドサービスご契約者様は情報を閲覧することが可能ですのでこちらの Web サイト よりご確認ください。

Q) 詳細なレベルでのサービス単位で ISMAP 認証取得予定を知りたい
A) FedRAMP SSP (System Security Plan) をこちらの Web サイト からご確認ください。
FedRAMP レポートの中には Azure および O365 の SSP (System Security Plan) のファイルが存在し、SSP のファイル内には詳細な対象サービス名が記載されています。米国の政府機関向け認証制度である FedRAMP と日本の政府機関向けの認証制度である ISMAP は同一のスコープで監査および認証を取得する予定です。

• 2020/9/8 現在の最新ファイル
  Microsoft Azure Commercial Cloud FedRAMP System Security Plan v3.3 20191218
  Office 365 – MT FedRAMP SSP v7.01 (2019)

Azure SSP の場合、以下が対象サービスとなります。

• [9.2.1.Infrastructure and Platforms a Service Offerings]に記載のサービス
• [9.2.2.Software as a Service Offerings]に記載のサービス

O365 SSP の場合には、[9.5. Service Description]に記載のサービスが対象となります。

Q) 詳細サービス例：FedRAMP SSP を調べたが MCAS が対象サービスに見当たらない
A)　Microsoft Cloud App Security という正式名称で、Azure SSP のファイルに記載があります。正式名称で検索しても出てこない場合には、現時点で監査が実施されていないサービスの場合があり、監査が実施されていない場合には日本でも監査認証を取得することはできない可能性があります。詳細は担当営業までお問い合わせください。