家studyをつづって

セキュリティ関係の会社で働きながら、日々勉強したことをつづっていきます。

クラウドのセキュリティ評価制度「ISMAP」

概要

ISMAPとはInformation system Security Management and Assessment Programの略で、 日本語では「政府情報システムのためのセキュリティ評価制度」と呼ばれます。

ISMAPは、クラウド・バイ・デフォルトの方針が打ち出されたことを受け、政府機関においてクラウドサービスを利用する際の、クラウドサービスの安全性評価基準の必要性うけて策定されました。

 

 

 

ISMAPは、政府機関が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録してあるため、政府機関がクラウドサービスを利用する際の選定基準として活用できます。

ISMAPはアメリカの「FedRAMP」に近い制度で、複数のセキュリティ基準をベースに策定されています。

 

f:id:iestudy:20201021134935p:plain

ISMAPの構成
  • JIS Q(ISO/IEC) 27001、27002と、クラウドサービスの情報セキュリティに関するJIS Q(ISO/IEC) 27017が基礎
  • 政府統一基準に含まれる内容で上記に含まれない内容を追加
  • NIST SP800-53の内容から、インシデントレスポンスに関連する内容を中心に追加

 

<参考:FedRAMP>

FedRAMP(Federal Risk and Authorization Management Program)は、アメリカ政府の定めるクラウドサービスに関するセキュリティ評価のガイドラインです。

ベンダがアメリカ政府機関にサービスを提供する場合は、上記セキュリティ基準を満たす必要があります。

www.newton-consulting.co.jp

 

ISMAPの動向

ISMAPは2020年8月頃に審査機関の登録を決定し、今後、各種ベンダからのサービス登録申請を受け付け、2020年12月から2021年1月頃には登録サービスが決定し、ISMAPクラウドサービスリストを公開する予定となります。

f:id:iestudy:20201021135353p:plain

ISMAPの動向

ISMAPは政府機関向けのものですが、国が策定したこと基準であるため、日本の企業においてもクラウドサービスを選ぶ際の指針として活用できると考えられます。

 

参考にさせていただいたサイト

www.ipa.go.jp

https://www.ipa.go.jp/files/000082669.pdf