政府情報システムのためのセキュリティ評価制度(ISMAP)

概要

  • 政府情報システムのためのセキュリティ評価制度
  • Information system Security Management and Assessment Program
  • 政府調達の対象となるクラウドサービスは、第三者の監査を経て本制度が公表する「クラウドサービスリスト」に登録されたものに限定されることになる見通し

政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。
引用:政府情報システムのためのセキュリティ評価制度(ISMAP)

  • 「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和2年1月30日サイバーセキュリティ戦略本部決定)に基づく
  • 運営は内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室・総務省・経済産業省

ISMAP運営委員会

政府情報システムのためのセキュリティ評価制度(ISMAP)について

今後のスケジュール

  • 2020年 7月~8月 ISMAP 監査機関の登録決定等
    • 以降、サービスごとに登録申請を受付、審査を実施
  • 2020年 12月~ 2020年1月 サービスの登録決定、ISMAPクラウドサービスリストの公開等

設立の背景

  • 2018年6月より、政府調達においてクラウド・バイ・デフォルト原則を採用したことによる、クラウドサービスの安全性評価の必要性が
  • 未来投資戦略2018において、クラウドサービスの安全性評価について、諸外国の例も参考にしつつ検討を開始することが決定
  • 成長戦略2019、デジタル・ガバメント実行計画において、2020年秋の全政府機関での利用開始に向け、2019年度中に実証を行いつつ、クラウドサービスの安全性評価の評価基準や制度を確立することが決定
  • 2020年1月のサイバーセキュリティ戦略本部決定にて、以下の3点が決定

    1.本制度の基本的な枠組み
    本制度で定められた評価プロセスに基づいて、要求する基準に基づいたセキュリティ対策を実施していることが確認されたクラウドサービスを、本制度が公表するクラウドサービスリストに登録。
    2.各政府機関等における本制度の利用の考え方
    各政府機関は、クラウドサービスを調達する際は本制度において登録されたサービスから調達することを原則とし、本制度における登録がないクラウドサービスの調達や、経過措置の詳細は、サイバーセキュリティ対策推進会議、各府省情報化統括責任者(CIO)連絡会議において定める。
    3.本制度の所管と運用体制
    本制度の所管は内閣官房(NISC、IT室)・総務省・経済産業省とし、本制度の最高意思決定機関として、有識者と所管省庁を構成員とした制度運営委員会を設置し、事務局をNISCに置く。
    事務局は、本制度の運用状況について、サイバーセキュリティ戦略本部に報告を行う。
    本制度の運用に当たっては、(中略)独立行政法人情報処理推進機構(以下「 IPA 」と いう 。)において、制度運用係る実務及び評価に係る技術的な支援を行うものとする。
    ただし、 IPA は制度運用のうち 、監査機関の評価及び管理に関する業務については、(中略)情報セキュリティ監査制度及び監査機関の質の確保に精通した民間団体に、(中略)委託すること。

要約

  1. セキュリティ対策を実施していることが確認されたクラウドサービスを、本制度が公表するクラウドサービスリストに登録

    • 登録は、国際標準等を踏まえて策定した基準に基づき、各基準が適切に実施されているか監査するプロセスを経て実施される
    • 登録期間は、登録の対象となった監査の対象期間の末日の翌日から1年4ヶ月後まで
    • 情報セキュリティインシデント、公表情報の変更及び重大な統制の変更又はそれにつながりうる事象が生じた場合はISMAP運営委員会に報告
      • 必要に応じモニタリングへの対応、再監査、再申請を求め、場合により登録の一時停止又は削除
  2. 各政府機関は、クラウドサービスを調達する際は本制度において登録されたサービスから調達することを原則とする

管轄と管理運用
  • 本制度の最高意思決定機関として、有識者と所管省庁を構成員とした制度運営委員会を設置し、事務局をNISCに設置する

    • 委員会は有識者委員と制度所管省庁で構成
    • 有識者委員は①情報セキュリティ監査、②クラウドコンピューティング、③情報セキュリティの専門家等を含み、氏名等は非公表
    • 有識者委員の任期は2年以内
  • 所管は内閣官房(NISC、IT室)・総務省・経済産業省

  • 本制度の運用に当たっては、IPAにおいて、制度運用係る実務及び評価に係る技術的な支援を行う

  • IPA は制度運用のうち 、監査機関の評価及び管理に関する業務については、情報セキュリティ監査制度及び監査機関の質の確保に精通した民間団体に委託する

    • 制度運用に係る実務及び評価に係る技術的な支援をIPAが行い、うち、監査機関の評価及び管理に関する業務についてJASAに再委託

CSP(クラウドソリューションプロバイダー)に対する要求事項

  1. 申請時の情報提供

    • 情報提出先はISMAP運営委員会
    • 申請者の資本関係及び役員等の情報
    • クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用され、調達府省庁等が意図しないまま当該調達府省庁等の管理する情報にアクセスされ又は処理されるリスクについて、制度運営委員会及び当該省庁等がリスク評価を行うために必要な情報
    • 契約に定める準拠法・裁判管轄に関する情報
    • ペネトレーションテストや脆弱性診断等の第三者による検査の実施状況と受入に関する情報
  2. 登録期間中の対応

    • 情報提出先はISMAP運営委員会
    • 調達交渉時に、調達機関の求めに応じ、言明書の詳細、申請するクラウドサービス従事者のうち、利用者の情報又は利用環境に影響を及ぼす可能性のある者の所属、専門性、実績、国籍に関する情報を提出すること。国籍については、個々人に紐付かない形で該当する国名を提出すること
    • 登録されているサービスについて、登録期間中に利用者に重大な影響を及ぼしうる情報セキュリティインシデントが発生した場合に、遅滞なくISMAP運営委員会に報告すること
    • 登録されているサービスについて、登録期間中に重大な統制の変更及び当該変更につながりうる事象が生じた場合又はリストに掲載されている情報に変更が生じた場合に、遅滞なくISMAP運営委員会に届け出ること
    • 調達交渉時に、調達機関の求めに応じ、「IT調達に係る国の物品等又は役務調達方針及び調達手続に関する申合せ」の運用に協力すること
  3. 管理基準 情報(証跡)提出先は監査機関

    • 以下の3点について①ガバナンス基準、②マネジメント基準、③管理策基準の3種類から構成される基準を用いて確認
      1. CSPの「経営陣」が管理者層に対して、セキュリティに関する意思決定や指示等を継続的に実施しているか
      2. クラウドサービスの「管理者」が的確にマネジメントを実施しているか
      3. クラウドサービスの「業務実施者」が実際にセキュリティ対策を実施しているか
    • また、管理基準は以下の3点によって構成される
      1. ISMAPの管理基準は、情報セキュリティに関するJIS Q(ISO/IEC) 27001、27002と、クラウドサービスの情報セキュリティに関するJIS Q(ISO/IEC) 27017を基礎とする
      2. 政府統一基準の内容をクラウドサービス事業者向けに書き換える
      3. SP800-53の内容から、インシデントレスポンスに関連する内容を中心に、①、②に含まれない観点を追加

管理基準の要求事項について

  • 統制目標とされる3桁管理策(A.x.x.x)と、それを達成するための手段となる詳細管理策である4桁管理策(A.x.x.x.x)で構成
  • 原則として3桁管理策を必須、4ケタ管理策は選択性とし、一部の重要な管理策を必須とする

ISMAPに関する規定

ISMAPに関する規定

パブリックコメント回答より抜粋

  • 利用者によるクラウドサービスの利用が終了される時点において、当該サービスを利用していた利用者のデータが消去されることを求めることから、論理的消去については、暗号化消去を対象とする
  • サービスの特性上、原理的に特定の管理策についての具備が不可能と解される場合には、一定の例外措置を設けることとします。ただし、その場合においても、利用者による当該サービスの採否の判断に資するよう、当該管理策の具備が不可能である理由など関連する情報については、適切に利用者に対して開示を行うことが必要
  • IaaS/PaaSを政府機関が調達する際の、SIerと政府の間の契約については検討の対象外
  • 文書による回答と聞き取り調査によってモニタリングを実施することを規定しているとおりであり、フロア内に立ち入る立入検査は想定しておりません
  • 「情報セキュリティ」とは、JIS Q 27000の定義も踏まえると、情報の機密性、完全性及び可用性を維持する組織の取り組みを指します
  • 自らの責任において言明を行い監査をうけることができる者が申請者たりうる

参考リスト

Web

Paper

政府情報システムのためのセキュリティ評価制度(ISMAP)

https://alumi-mic.github.io/security_kb/2020/07/Japan/2020_06_01_ismap.md/

Author

Kashiwaba Yuki

Posted on

2020-07-08

Updated on

2020-09-22

Licensed under