日本政府によるクラウドセキュリティ評価制度「ISMAP」（イスマップ）とは？

日本政府は、政府機関がクラウドサービスを調達する際に選定の指針となる「ISMAP」制度の運用を開始しました。米国の「FedRAMP」に近い制度で、複数のセキュリティ基準をベースに策定されています。ここでは、ISMAPの概要とそれに対するSplunkの取り組みについて紹介します。

日本政府による評価制度「ISMAP」とは

ISMAP（イスマップ）とは、正式には政府情報システムのためのセキュリティ評価制度（Information Security Management and Assessment Program）といい、政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録する制度のことを指します。これにより政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入を可能にすることを目的としています。

経済産業省・内閣官房（内閣サイバーセキュリティセンター・情報通信技術（IT）総合戦略室）・総務省は2020年6月3日、ISMAPの立ち上げにあたり、ISMAP運営委員会を開催し、同委員会において制度に関する各種規程等が決定され、制度の運用が開始されたと発表しました。

その背景には、2018年に政府が定めた「クラウド・バイ・デフォルト原則」があります。これは、政府情報システムを調達する際には、クラウドサービスの利用を第一候補として評価・検討を行うというものです。情報システムをクラウド環境に移行することで市場の変化などに迅速に対応できるようにして、DX（デジタルトランスフォーメーション）などを実現するためです。

しかし、クラウドサービスの導入に関する方針やガイドラインが複数存在しているため、たとえ同じクラウドサービスを導入する場合でも、政府機関ごとにすべてのセキュリティ要件を最初から確認する必要があり、非効率な状態でした。そこに統一されたセキュリティ基準を明確化する、つまりISMAPを採用することで、実効性・効率性のあるサービスの選択が可能になります。

ISMAP運営委員会では、8月頃に審査機関の登録を決定し、サービスの登録申請を受け付けて監査機関に監査を依頼、実施し、12月から2021年1月頃には登録サービスを決定、ISMAPクラウドサービスリストを公開する予定としています。

ISMAPやそのクラウドサービスリストは、政府機関向けのものですが、国が策定したことで日本のエンタープライズ企業やグローバル企業がクラウドサービスを選ぶ際の指針になると考えられます。そしてそれはサプライチェーンである中小企業にも及ぶ可能性があります。つまり、日本企業のほとんどがISMAPを意識する必要があると考えられます。

海外でもクラウドセキュリティ認証策定の傾向

ISMAPが「日本版FedRAMP」と呼ばれるように、米国政府では「FedRAMP：Federal Risk and Authorization Management Program」というクラウドサービスに関するセキュリティ評価・認証の統一ガイドラインを採用しています。この認証を取得していれば、米国連邦政府の省庁がクラウドサービスを採用する際に、独自の追加認証が不要になります。

FedRAMPは、米国の連邦政府機関に対するセキュリティ管理策などを策定した「NIST SP800-53」をベースとした評価指標を採用しています。NIST SP800-53はISO/IEC 27001との整合性が図られていますので、クラウドサービス事業者はISO/IEC 27001とFedRAMPを並行して認証取得を進めることもできます。なお、監査は認証を受けた第三者評価機関（3PAO）が実施し、合同認証委員会（JAB）がその結果を検討し、認証する仕組みとなっています。

FedRAMPはすでに、Splunk Cloudをはじめ、Amazonの「Amazon Web Service（AWS）」やマイクロソフトの「Microsoft 365」、Googleの「G Suite」などが取得しています。

政府セキュリティ制度、基準へのSplunkの対応

Splunkは、Splunk Cloudをはじめとするさまざまなセキュリティ機能をクラウドで提供する事業者として、General Services Administration(GSA)からFedRAMPを取得しました。これによりSplunkは、政府機関におけるデータ活用と行動の壁を取り払い、「データを行動に変える（Turn data into doing）」を実現させたのです。ISMAPについても日本法人が登録に向けて内容を精査しているところです。Splunkはすでに日本政府機関への多くの導入実績があります。つまり、従来の各政府機関のセキュリティ要件をクリアしているため、政府機関におけるクラウド移行が今後増えていく中で、そこへの対応も進めていきたいと考えています。

また、すでにSplunkを導入いただいている各政府機関などに対しては、政府統一基準に準拠するためのガイドをご提供しています。例えば、ログ管理やIT資産管理、脆弱性管理といった機能において、対応の方法を紹介しています。具体的には、エージェントで取得するログデータの集約、検索、集計の方法などがあります。ほとんどの場合、Splunkの基本機能で対応することが可能です。

今後、ISMAPは日本の政府機関だけでなく、大企業がクラウドサービスを選ぶ際の指針となり、それはサプライチェーンである中小企業にも広がっていくと考えられます。ISMAPへの準拠がガバナンス対応のキーになっていくことでしょう。また、SaaSとして提供している「Splunk Cloud」は、サーバのメンテナンスや保守・運用などをSplunkが行うことで、管理・運用のための人員や作業負荷を削減でき、その結果、時間やコストの削減を実現できます。

Splunkでは、今回のようなセキュリティ基準に準拠していくことで、より高度なセキュリティを手間なく実装できるよう注力していきます。その目的は、何よりSplunkを利用されるお客様の安心・安全です。

ブログ関連情報

毎月１回、Splunkブログの更新情報をメールでお届けします。ぜひMonthly Digest をこちらからご登録ください！