EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
クラウドサービスの急速な普及に伴い、企業は利便性とリスクのバランスを取る必要に迫られています。本コラムではクラウドサービスの信頼性を高めるISMAP制度について解説します。
要点
- クラウドサービスでは、柔軟性やコスト効率のメリットと引き換えに、セキュリティ設定不備や障害時の業務停止など新たなリスクが顕在化。責任分界点の理解と包括的なリスク管理が不可欠。
- クラウド・バイ・デフォルト原則を背景に、政府はISMAPを導入。国際基準を取り込み、日本の行政環境に適した評価制度として、クラウドサービスの信頼性を高める仕組みを構築。
- 官公庁案件への前提条件であると同時に、クラウドサービスの安全性を示す証明としてブランド価値を高め、国内での競争力強化につながる。
企業のIT環境は、ここ数年で劇的な変化を遂げています。こうした中、クラウドサービスの利用は加速度的に進んでおり、2026年から2030年にかけて市場規模はさらに倍増すると予測されています。本稿は、利用が進むクラウドサービスの背景と、そこにおけるリスクについて、EY新日本でクラウドサービス事業者向けに第三者評価サービスを提供するプロフェッショナルに意見を聞いたものをQ&A形式でまとめたものとなっています。前後編の二部構成となっておりますので、ぜひ双方通してお読みいただけますと幸いです。
1. クラウドサービス利用における課題
Q:現在のクラウドサービス利用の状況を教えてください
もはや「気づいたらクラウドサービスを使っていた」という利用者も珍しくない時代に突入しています。かつてはIaaSやPaaSなど、オンプレミス環境を代替するプラットフォームとして利用していた時代がありましたが、いまやSaaS利用が一般化し、ID管理、認証サービスなど、利用用途を限定した多様なサービスも登場しています。業務のあらゆる場面に浸透し、企業活動の基盤となっています。
Q:クラウドサービス利用において利用者は何を意識すべきでしょうか?
クラウドサービスの普及は、柔軟性やコスト効率の向上といったメリットをもたらす一方で、新たな課題も浮き彫りにしています。特に重要なのは「可用性を含むセキュリティ」です。クラウドサービスは提供者(クラウドサービスプロバイダー:以降CSP)と利用者の責任範囲が明確に分かれています。責任範囲に基づいて、利用者責任部分は利用者が環境設定する必要があります。この設定を誤ることや、設定情報の管理を怠ることが重大なリスクにつながる可能性もあります。
さらに、クラウドサービスに障害が発生した場合には業務継続への影響があります。利用者側はクラウドサービスが利用できなくなった場合の代替策の検討や、あらかじめ複数のCSPを活用することでリスク分散を図っておくことなど、包括的なリスク管理が不可欠です。近年のインフラ障害は、自社の責任範囲で対応できていたオンプレミス時代と比べ、クラウド環境の利用が進み、ベンダー依存度が高まっています。このため責任分界点を理解した対策をあらかじめ検討しておくことが重要になっています。
こうした背景から、クラウドサービスを利用する企業は「利便性とリスクのバランス」をどう取るかという課題に直面しています。セキュリティ設定の不備による情報漏えいや、障害時の業務停止リスクは、企業の信頼性や事業継続性に直結するため、経営課題として認識する必要があります。
2. 国策として「国内の重要情報は国内で管理する」動きが加速
Q:CSPに求められる対応はどのように変化していますか?
クラウドサービスを提供する側にも、利用者が安心して利用できる環境を整える責任があります。
特に官公庁や防衛関連など機密性の高い情報を扱う場合、データの国内保管や厳格なセキュリティ要件への対応が求められます。こうした背景から、行政機関が利用するクラウドサービスの場合、パブリッククラウドだけでなく、プライベートクラウドや国産クラウドの需要が高まっています。
近年は地政学的リスクへの懸念も強まり、国策として「国内の重要情報は国内で管理する」動きが加速しています。入札要件としてセキュリティ基準を明示するケースも増え、CSPはより高度な対応を迫られています。例えば、官公庁のシステムでは、国外データセンターへの依存を避けるため、国内保管を義務付ける要件が設定されることもあります。こうした要件は、クラウドサービスの設計や運用に大きな影響を与え、CSPの対応力が競争力を左右する要素となっています。
3. ISMAP制度誕生の背景
政府は2018年に「クラウド・バイ・デフォルト原則」を導入しました。この原則は、政府情報システムの新規開発や更新時にクラウドサービスの利用を第一候補(デフォルト)とする方針で、その信頼性を担保する仕組みとして、2021年に政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 以降ISMAP)を導入しました。
ISMAPは、情報セキュリティに関するJIS Q(ISO/IEC) 27001、27002とクラウドサービスの情報セキュリティに関するJIS Q(ISO/IEC) 27017を基礎とし、NIST SP800-53、政府機関等のサイバーセキュリティ対策のための統一基準を追加して設計されました。ISOやNISTなどの国際基準を取り込みつつ、日本の行政環境に適した形で制度化されている点が特徴です。
この制度は、単なるガイドラインではなく、政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図るための仕組みです。CSPにとっては、政府調達に参入するための前提条件となります。
Q:ISMAP登録はCSPにとってどのような意味があるのでしょうか?
CSPにとって、ISMAP登録は官公庁調達における事実上の必須条件であるだけでなく、国内市場での信頼性を高めています。
ISMAPに取り組むことで、国際基準も取り込んだ要求事項に対して対策でき、高いセキュリティ水準を確保することにつながります。
4. EYができること
EYでは、ISMAP対応を単なる制度順守にとどめず、企業のセキュリティ水準を世界レベルに引き上げる機会と捉えています。
「ISMAP登録は、官公庁案件への前提条件であると同時に、クラウドサービスの信頼性を対外的に示す強力な証明となる」という視点で、企業の競争力強化につながると考えています。
政府情報システムのためのセキュリティ評価制度(ISMAP)
政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 以下、ISMAP:イスマップ)は、日本政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入に資することを目的とした制度です。EYは、ISMAP制度の初期からISMAP監査機関リストに登録された監査機関として豊富な実績を有しており、世界中のクラウドサービス事業者に対して情報セキュリティ監査や予備調査を提供しております。
制度の実際と今後の展望
後編では、ISMAPの具体的な要求事項や監査プロセス、現場での工夫、そして制度改正の動向について詳しく解説します。EYがどのように企業を支援しているのか、その強みと実践事例もご紹介します。
【共同執筆者】
齋藤 貴祐
EY新日本有限責任監査法人 Technology Risk事業部 EY新日本有限責任監査法人 Technology Riskテクノロジーリスク事業部に所属し、IT関連のアシュアランス業務およびリスクアドバイザリー業務に従事。専門分野は、ISMAP情報セキュリティ監査やSOC保証業務など。また、官公庁向けの情報セキュリティ監査や企業向けのプライバシーコンサルティングも手掛けており、過去にはシステムエンジニアとして金融機関向けシステムの大規模プロジェクトに従事し、数千人規模のプロジェクトのプロジェクトマネージャーとして品質担保やプロジェクト管理などを経験。
サマリー
前編では利用者に求められるリスク管理、後編では提供者に求められるISMAP対応を解説しました。クラウド市場の信頼性は双方の取り組みで成り立ちます。制度対応を義務ではなく価値創造の機会と捉え、次の一手として検討してみてはいかがでしょうか。
関連記事
ISMAP対応の「実務」に焦点を当て、情報セキュリティ監査で求められる膨大な証跡準備と効率化の工夫、ISMAP以外のSOCやISOなども同時に対応する戦略的メリット、そして制度改正の最新動向を紹介します。
EYの関連サービス