★☆★JNSAメールマガジン 第197号 2020.10.16☆★☆
2020/10/16 (Fri) 15:30
★☆★JNSAメールマガジン 第197号 2020.10.16☆★☆
こんにちは
JNSAメールマガジン 第197号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは独立行政法人情報処理推進機構の西尾秀一様に
ご寄稿いただきました。
【連載リレーコラム】
政府情報システムのためのセキュリティ評価制度(ISMAP)のご紹介
独立行政法人情報処理推進機構(IPA)セキュリティセンター 西尾 秀一
政府情報システムのためのセキュリティ評価制度(Information system
Security Management and Assessment Program: 通称、ISMAP(イスマップ))
は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め
評価・登録することにより、政府のクラウドサービス調達におけるセキュリ
ティ水準の確保を図り、政府機関へのクラウドサービスの円滑な導入に資する
ことを目的とした制度です。
2018年6月に公開された「政府情報システムにおけるクラウドサービスの利用
に係る基本方針 」では、「クラウド・バイ・デフォルト原則」が掲げられま
した。その一方で、クラウドサービスプロバイダに要求する統一的なセキュリ
ティ要求基準は存在せず、各政府機関等が調達の際に、個別のプロバイダのセ
キュリティ対策を確認し調達を行っており、非効率であるという課題がありま
した。これに対し、政府機関等が調達するクラウドサービスに対して要求すべ
き基本的な情報セキュリティ管理・運用の基準を定めた上で、本制度で定めら
れた情報セキュリティ監査の枠組みを活用した評価プロセスに基づき、上記の
基準を満たすセキュリティ対策を実施していることが確認されたクラウドサー
ビスを、本制度が公表するクラウドサービスリストに登録し、政府機関等がそ
のリストを活用することで、安全・安心かつ効率的な調達を可能とする制度と
してISMAPが創設されました。
併せて、本制度における監査を行うことができる監査機関についても、あらか
じめ本制度で定める要求事項を満たすことが確認された監査機関を、本制度が
公表する監査機関リストに登録することで、監査の品質や公平性を確保してい
ます。
ISMAPの所管は内閣サイバーセキュリティセンター(NISC)、情報通信技術
(IT)総合戦略室、総務省、経済産業省で、最高意思決定機関としてISMAP運
営委員会を設置し、事務局はNISCに置かれています。また、運用実務について
は情報処理推進機構(IPA)が担当しています。さらに、運用実務のうち、監
査に係る実務については特定非営利活動法人日本セキュリティ監査協会(JAS
A)に委託しています。このため、クラウドサービスリストへ登録を希望され
る企業の方はIPAへ、監査機関リストへの登録を希望される企業の方はJASAに
対して申請手続き等を行うことになります。制度の詳細、制度規程類等はIPA
の以下のページにてご覧いただけます。
https://www.ipa.go.jp/security/ismap/index.html
約2年間にわたり検討が行われてきたISMAPですが、2020年6月3日に、運用開始
が正式に発表され、制度規程等が公表されました。8月20日には、初の監査機
関リストが公表され、4社がリストに掲載されています。10月1日からはクラ
ウドサービスの登録申請受付が開始されました。クラウドサービスの申請数や
新型コロナウイルス感染状況などにもよりますが、遅くとも今年度末までには、
クラウドサービスリストが公表される予定となっています。
ISMAPは、創設間もない制度のため、IPAでは関係する皆さまに制度についてご
理解いただくための様々なコンテンツを整えつつあります。その1つが、制度
規程の英訳の公開です。クラウドサービスプロバイダの中には、外国に本社を
置く企業も多いため、あくまで参考訳とはなりますが一部の規程について英訳
を公開することで、申請にあたっての参考にしていただければと考えています。
また、各企業の皆さまからの問い合わせをまとめてFAQとして公開しています。
制度全般、各種規程、監査機関登録、クラウドサービス登録やその他の項目に
ついて、よくあるお問合せについて回答を掲載していますので是非ご参照くだ
さい。
さらに、IPAではISMAPを紹介する動画を公開しています。この動画では、ISMA
Pとは何か?という制度の概要からクラウドサービスプロバイダ、ISMAP監査機
関への要求事項などをわかりやすく解説しています。動画は4本立てとなって
いますので、各企業にとって関係する部分だけをご覧いただくことも可能です。
・制度の概要
https://www.youtube.com/watch?v=Dlgjg3WDF18
・ISMAPの全体像と基本規程
https://www.youtube.com/watch?v=qMP9qasJrcc
・クラウドサービス事業者に対する要求事項
https://www.youtube.com/watch?v=gpPYYoi5v0Q
・監査機関を対象とした基準等
https://www.youtube.com/watch?v=Q7Juqc_58mw
本制度は、「政府情報システムのための」というタイトルが付いていますが、
近い将来には、独立行政法人及び指定法人まで対象範囲を広げることを視野に
入れています。さらに、本制度の運用が本格化した際には、特に情報セキュリ
ティ対策が重要となることが想定される重要産業分野等をはじめとした民間に
おいて、クラウドサービスリスト及びその他公開される情報等が参照されるこ
とで、クラウドサービスの適切な活用が推進されることも期待されています。
繰り返しになりますが、ISMAPはスタートしたばかりの制度です。今後、本制
度が安全・安心なクラウドサービス利用に向けて実効性・効率性をもって幅広
く参照されるために、実務の状況等も踏まえながら、柔軟に制度の整備が進め
られる予定ですので、今後のスケジュール等、最新の状況をIPAのページにて
ご確認いただければ幸いです。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第197号の感想をお寄せください。
https://ux.nu/QFkXX
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★JNSA『みんなの「サイバーセキュリティコミック」』Twitterで配信中!
原作担当作家は大島 悠( @haruka_red )先生、作画担当作家は花園 あずき
(@genjihikaru)先生です!
本日、第5回配信予定! JNSA twitter https://twitter.com/jnsa
★PKI相互運用技術WG主催「第3回 鍵管理勉強会」(10/13)講演資料を公開しま
した。
https://www.jnsa.org/seminar/seckey/201013/index.html
★デジタルアイデンティティWGメンバーの4名が特集を執筆した
「Software Design」11月号が明日10月17日発売となります。
https://gihyo.jp/magazine/SD/archive/2020/202011
★電子署名WGによる「電子署名Q&A」を公開しました。
【電子署名Q&A】
https://www.jnsa.org/result/e-signature/e-signature-qa/index.html
【事務局からのお知らせ】
★今年度のセミナー・イベント開催予定を掲載しました。
https://www.jnsa.org/seminar/2020/index.html
★サンフランシスコで2021年5月に開催される「RSAカンファレンス2021」に
総務省の支援を受け日本パビリオンを出展します。 出展企業を募集中!
詳しくはJNSA事務局まで。
★2020年度JNSA賞の推薦を募集中です。
https://www.jnsa.org/jnsaaward/2020/
★JNSAインターンシップ情報を更新中です。
定員に達し次第、締め切られますのでお申し込みはお早めに!
https://www.jnsa.org/internship/
★テレワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が相変わらず頻発しています。
当協会から弁護士費用を請求したり、金銭受取の念書を発行することは一切
ありませんので、不審な点がありましたら当協会まで直接お問合せ下さい。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第197号
発信日:2020年10月16日
発 行:JNSA事務局 office@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第197号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは独立行政法人情報処理推進機構の西尾秀一様に
ご寄稿いただきました。
【連載リレーコラム】
政府情報システムのためのセキュリティ評価制度(ISMAP)のご紹介
独立行政法人情報処理推進機構(IPA)セキュリティセンター 西尾 秀一
政府情報システムのためのセキュリティ評価制度(Information system
Security Management and Assessment Program: 通称、ISMAP(イスマップ))
は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め
評価・登録することにより、政府のクラウドサービス調達におけるセキュリ
ティ水準の確保を図り、政府機関へのクラウドサービスの円滑な導入に資する
ことを目的とした制度です。
2018年6月に公開された「政府情報システムにおけるクラウドサービスの利用
に係る基本方針 」では、「クラウド・バイ・デフォルト原則」が掲げられま
した。その一方で、クラウドサービスプロバイダに要求する統一的なセキュリ
ティ要求基準は存在せず、各政府機関等が調達の際に、個別のプロバイダのセ
キュリティ対策を確認し調達を行っており、非効率であるという課題がありま
した。これに対し、政府機関等が調達するクラウドサービスに対して要求すべ
き基本的な情報セキュリティ管理・運用の基準を定めた上で、本制度で定めら
れた情報セキュリティ監査の枠組みを活用した評価プロセスに基づき、上記の
基準を満たすセキュリティ対策を実施していることが確認されたクラウドサー
ビスを、本制度が公表するクラウドサービスリストに登録し、政府機関等がそ
のリストを活用することで、安全・安心かつ効率的な調達を可能とする制度と
してISMAPが創設されました。
併せて、本制度における監査を行うことができる監査機関についても、あらか
じめ本制度で定める要求事項を満たすことが確認された監査機関を、本制度が
公表する監査機関リストに登録することで、監査の品質や公平性を確保してい
ます。
ISMAPの所管は内閣サイバーセキュリティセンター(NISC)、情報通信技術
(IT)総合戦略室、総務省、経済産業省で、最高意思決定機関としてISMAP運
営委員会を設置し、事務局はNISCに置かれています。また、運用実務について
は情報処理推進機構(IPA)が担当しています。さらに、運用実務のうち、監
査に係る実務については特定非営利活動法人日本セキュリティ監査協会(JAS
A)に委託しています。このため、クラウドサービスリストへ登録を希望され
る企業の方はIPAへ、監査機関リストへの登録を希望される企業の方はJASAに
対して申請手続き等を行うことになります。制度の詳細、制度規程類等はIPA
の以下のページにてご覧いただけます。
https://www.ipa.go.jp/security/ismap/index.html
約2年間にわたり検討が行われてきたISMAPですが、2020年6月3日に、運用開始
が正式に発表され、制度規程等が公表されました。8月20日には、初の監査機
関リストが公表され、4社がリストに掲載されています。10月1日からはクラ
ウドサービスの登録申請受付が開始されました。クラウドサービスの申請数や
新型コロナウイルス感染状況などにもよりますが、遅くとも今年度末までには、
クラウドサービスリストが公表される予定となっています。
ISMAPは、創設間もない制度のため、IPAでは関係する皆さまに制度についてご
理解いただくための様々なコンテンツを整えつつあります。その1つが、制度
規程の英訳の公開です。クラウドサービスプロバイダの中には、外国に本社を
置く企業も多いため、あくまで参考訳とはなりますが一部の規程について英訳
を公開することで、申請にあたっての参考にしていただければと考えています。
また、各企業の皆さまからの問い合わせをまとめてFAQとして公開しています。
制度全般、各種規程、監査機関登録、クラウドサービス登録やその他の項目に
ついて、よくあるお問合せについて回答を掲載していますので是非ご参照くだ
さい。
さらに、IPAではISMAPを紹介する動画を公開しています。この動画では、ISMA
Pとは何か?という制度の概要からクラウドサービスプロバイダ、ISMAP監査機
関への要求事項などをわかりやすく解説しています。動画は4本立てとなって
いますので、各企業にとって関係する部分だけをご覧いただくことも可能です。
・制度の概要
https://www.youtube.com/watch?v=Dlgjg3WDF18
・ISMAPの全体像と基本規程
https://www.youtube.com/watch?v=qMP9qasJrcc
・クラウドサービス事業者に対する要求事項
https://www.youtube.com/watch?v=gpPYYoi5v0Q
・監査機関を対象とした基準等
https://www.youtube.com/watch?v=Q7Juqc_58mw
本制度は、「政府情報システムのための」というタイトルが付いていますが、
近い将来には、独立行政法人及び指定法人まで対象範囲を広げることを視野に
入れています。さらに、本制度の運用が本格化した際には、特に情報セキュリ
ティ対策が重要となることが想定される重要産業分野等をはじめとした民間に
おいて、クラウドサービスリスト及びその他公開される情報等が参照されるこ
とで、クラウドサービスの適切な活用が推進されることも期待されています。
繰り返しになりますが、ISMAPはスタートしたばかりの制度です。今後、本制
度が安全・安心なクラウドサービス利用に向けて実効性・効率性をもって幅広
く参照されるために、実務の状況等も踏まえながら、柔軟に制度の整備が進め
られる予定ですので、今後のスケジュール等、最新の状況をIPAのページにて
ご確認いただければ幸いです。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第197号の感想をお寄せください。
https://ux.nu/QFkXX
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★JNSA『みんなの「サイバーセキュリティコミック」』Twitterで配信中!
原作担当作家は大島 悠( @haruka_red )先生、作画担当作家は花園 あずき
(@genjihikaru)先生です!
本日、第5回配信予定! JNSA twitter https://twitter.com/jnsa
★PKI相互運用技術WG主催「第3回 鍵管理勉強会」(10/13)講演資料を公開しま
した。
https://www.jnsa.org/seminar/seckey/201013/index.html
★デジタルアイデンティティWGメンバーの4名が特集を執筆した
「Software Design」11月号が明日10月17日発売となります。
https://gihyo.jp/magazine/SD/archive/2020/202011
★電子署名WGによる「電子署名Q&A」を公開しました。
【電子署名Q&A】
https://www.jnsa.org/result/e-signature/e-signature-qa/index.html
【事務局からのお知らせ】
★今年度のセミナー・イベント開催予定を掲載しました。
https://www.jnsa.org/seminar/2020/index.html
★サンフランシスコで2021年5月に開催される「RSAカンファレンス2021」に
総務省の支援を受け日本パビリオンを出展します。 出展企業を募集中!
詳しくはJNSA事務局まで。
★2020年度JNSA賞の推薦を募集中です。
https://www.jnsa.org/jnsaaward/2020/
★JNSAインターンシップ情報を更新中です。
定員に達し次第、締め切られますのでお申し込みはお早めに!
https://www.jnsa.org/internship/
★テレワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が相変わらず頻発しています。
当協会から弁護士費用を請求したり、金銭受取の念書を発行することは一切
ありませんので、不審な点がありましたら当協会まで直接お問合せ下さい。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第197号
発信日:2020年10月16日
発 行:JNSA事務局 office@jnsa.org
*************************************