骨子

1. クラウドサービスの利用拡大を見据えた記載の充実

   • 政府情報システムのためのセキュリティ評価制度（ISMAP）の管理基準も踏まえ、クラウドサービス利用者側として実施すべき対策や考え方に係る記載を追加
   • 外部サービスを安全に利用するために、業務内容や取り扱う情報の格付や取扱制限に応じた情報セキュリティ対策を自ら講じられることが重要

2. 情報セキュリティ対策の動向を踏まえた記載の充実

   • 政府機関等を標的としたサイバー攻撃やインシデント事例、最新のセキュリティ対策、また今後取り組むべき情報セキュリティ対策の将来像について記載
   • 従来からの境界型防御を補完するものとして「常時アクセス判断・許可アーキテクチャ」にも着目
   • 情報システムの「常時システム診断・対処」を引き続き推進するなど、情報セキュリティ対策基盤を着実に進化させることが重要

3. 多様な働き方を前提とした情報セキュリティ対策の整理

   • 新型コロナウイルス感染症対策として政府機関等においても急速に広まったテレワークや遠隔会議の経験も踏まえ、係る多様な働き方を前提とする場合に必要な情報セキュリティ対策について、参照すべき統一基準上の規定や解説を整理することで、政府機関等が実施すべき対策の水準を明確にする
   • 危機管理や働き方改革への対応として、通常とは異なる環境下においても必要な情報セキュリティ水準を確保した上で業務の円滑な継続を図ることが重要

概要

• 政府情報システムのためのセキュリティ評価制度
• Information system Security Management and Assessment Program
• 政府調達の対象となるクラウドサービスは、第三者の監査を経て本制度が公表する「クラウドサービスリスト」に登録されたものに限定されることになる見通し

政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。
引用：政府情報システムのためのセキュリティ評価制度（ISMAP）

• 「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」（令和2年1月30日サイバーセキュリティ戦略本部決定）に基づく
• 運営は内閣サイバーセキュリティセンター・情報通信技術（IT）総合戦略室・総務省・経済産業省

政府情報システムのためのセキュリティ評価制度（ISMAP）について

• 2020年6月3日 政府情報システムのためのセキュリティ評価制度（ISMAP）について

情報システムのセキュリティ要件のポイントまとめ

• オンライン手続きのリスク評価と主体認証方式の適切な選定

  • 前回のログインに関する情報を通知する機能
  • 不正にログインしようとする行為を検知又は防止する機能
  • 情報システムへのログイン時にメッセージを表示する機能
  • 管理者権限によるログインの際に個別の識別コードによりログインすることを併せて求める機能

• パスワードの定期的な変更の是非とその効果に関してはしばしば検討する必要がある

  結局のところ、パスワードは当てられない程度に十分に長くするほかないのであり、その尺度には、例えば、「100 年以内に 1 回以上当てられる確率が0.0001%以下」といった基準が考えられ、これを満たす長さのパスワードを設定していれば、定期的に変更してもしなくても、当てられる確率はこれ以下に抑えられる。

  共通鍵暗号では、一般に、同じ鍵を繰り返し用いていると、その鍵で暗号化された暗号文を大量に得ることができれば、それを用いて鍵を推定できる確率が高まっていく性質があることから、鍵の定期的な変更が求められている。このことからの類推で、パスワードについても使用回数が増えるとパスワードの秘匿性が劣化すると考えてしまうとすれば、それは誤解である。

• ACLの設定を適切に行う