- 2022/11/04
- セキュリティ
ISMAP:政府情報システムのためのセキュリティ評価制度 ~政府機関と重要インフラのサプライチェーン、リスク対策に有効~
Post by : Cybereason Japan Marketing Team
2022年9月21日、サイバーリーズン・ジャパン主催のオンライセミナー「Cyber Security Deep Dive Vol.3 〜ランサムウェアの歴史、組織、攻撃手法とその実態を徹底戦略〜」が開催されました。
サイバーリーズン合同会社 セキュリティオペレーション マネージャー ISMAP担当 下和田豊のセッションでは、「ISMAP:政府情報システムのためのセキュリティ評価制度 ~政府機関と重要インフラのサプライチェーン、リスク対策に有効~」と題し、重要インフラ産業のクラウドサービス選定におけるISMAPの活用について講演を行いました。
サプライチェーンのリスク対策に有効なISMAP登録のクラウドサービス
冒頭、下和田は、重要インフラ産業を担う企業にはISMAPに登録されているクラウドサービスを利用することが、サプライチェーンのリスク対策に有効だと力説します。
そしてその理由を説明するにあたり、まずはISMAPについて解説しました。
「ISMAPは政府情報システムのためのセキュリティ評価制度の通称で、クラウドサービスプロバイダー(CSP)の評価基準であり、政府機関はISMAPクラウドサービスリストから調達することが前提となっています」
「ISMAPは3種類の基準を組み込んで構成されています。まずは情報セキュリティの国際基準であるISO27001、27002、27014、27017、いわゆるISMSです。そして、政府機関等のサイバーセキュリティ対策のための統一基準を組み込んでいます。さらに、米国基準であるNIST SP800-53の中からインシデント・レスポンスに関する内容を中心に追加され、全体で約1200の項目で監査・審査され、パスしたものがISMAPに登録されます」
つまり、ISMAPに登録されたクラウドサービスは、ISMS、および政府の統一基準と同レベルのセキュリティ対策が取られており、サプライチェーンの中でもセキュリティレベルを落とさず使えることを意味しています。
「サイバーリーズンでは、日本のお客様や政府機関のご要望に対応するため、Cybereason EDR、Cybereason MDRサービス、オプションとしてCybereason NGAVとCybereason Endpoint ControlでISMAP登録を行い、現在2年目の更新審査を受けているところです(2022年10月14日登録更新済み)」(下和田)。
「デジタル・ガバメント」実現に欠かせないISMAP
では、なぜISMAPが必要なのか、それについて下和田は、「政府が推進するデジタル・ガバメントの実現には、DXを推進し、省庁、そして官民の枠を超えたデータ連携が必要であり、結果的には官民のサプライチェーンが拡大していく」中で、「DXを早期に実現するためには官民共通の基盤をクラウド・バイ・デフォルトの原則で、早く安く、かつ安全に推進していく必要」があり、そのクラウドサービスの「安全を評価するISMAPが必要とされている」と述べました。
重要インフラのサプライチェーンとそのリスク対策としてのISMAP
このように政府機関レベルのセキュリティレベルを確保できるISMAPが有効なのが、重要インフラのサプライチェーンです。では、重要インフラとはなにか。NISC(内閣サイバーセキュリティセンター)では、情報通信、金融、交通機関、電力、医療、地方公共団体などを挙げています。
これらのサプライチェーンリスクとはどんなものなのか、下和田はIPAの情報セキュリティ十大脅威から紹介しています。「2022年版の十大脅威ではサプライチェーンの弱点を悪用した攻撃は3位にランクされています。
攻撃者はサプライチェーンの中でセキュリティが脆弱な組織を狙ってきますが、その中には標的組織の取引先が使用しているクラウドサービスも含まれます。クラウドサービスの開発時点で脆弱性が混入したり、MSP(マネージドサービスプロバイダ)が狙われるケースがあります。また比較的セキュリティ対策が遅れている子会社や、意識の低い海外拠点が社内で承認されていないクラウドサービスを無許可で使用しているケースもあります」と述べます。
リスク対策としては「取引先や(業務)委託先の確認と監査」が重要ですが、簡単ではないので、各種認定取得を確認するのも一つの手法であると下和田はいいます。「取引先や委託先であればISMSの取得、個人情報の取り扱いに限定できるのであればPマーク、クラウドサービスであればISO27017、 SOC2、そして日本であればISMAPに登録されているサービスを使っているかを確認すれば良いでしょう」(下和田)。
ISMAP登録のサービスが安心な理由
各種認定の中でもISMAP登録を強く勧めると下和田はいいます。その理由として「日本政府の基準であり、国内監査機関と政府機関により、監査・審査されており、また情報開示もされているので安心だと言えるのです」と語ります。
「評価の一部を紹介すると、ISMAPでは、まずCSPがISMSや統一基準と同等のセキュリティ対策が行われていることを確認します。この中ではCSPからの情報漏えい対策として、オフィスのセキュリティ、社員のセキュリティ教育、認証・アクセス制御、侵入検知、EDR、そして開発中の脆弱性混入対策が挙げられます」
「また、サプライチェーンとして、サードパーティのセキュリティ態勢確認やデータセンタのセキュリティ、サードパーティソフトウェアのセキュリティなども確認します。このような監査・審査の項目がトータルで約1200項目あり、これを1度だけでなく毎年繰り返しています」
サイバーリーズンの専門領域である侵入検知の部分においては、「NISTサイバーセキュリティフレームワークの特定・防御・検知・対応・復旧の各機能において評価が実施され、さまざまな項目の監査が義務付けられています。当社でも統制目標の実施を管理し、監査・審査を受けています」
「また、ISMAPでは国内法以外の法令が適用され、意図しないまま情報にアクセスされ、または処理されるリスクを評価するための情報を提供することとされています。つまりデータセンタの場所がどこにあるかを情報提供する必要が有ることを意味しています。
簡単に言えば、日本のデータセンタのみでデータが処理され、保存されていれば日本法のみが適用されるということで、そのようなクラウドサービスが安心ということです。この情報はISMAP登録のリストで開示されています」(下和田)。
最後に下和田は「このように、サプライチェーンで利用するクラウドサービスはISMAPに登録されたサービスを利用するのが安心です。ぜひISMAPのサイトをチェックいただければと思います」と話を締めくくりました。
2022年下半期セキュリティ予測 〜4つの脅威から紐解く、 2022年上半期の振り返りと下半期のサイバーセキュリティの展望〜
サイバーリーズンは大きな影響を及ぼす4つの脅威を2022年下半期のサイバーセキュリティ予測として取り上げました。
4つの脅威についてそれぞれ2022年上半期の動向を振り返りながら、2022年下半期のサイバーセキュリティ予測について説明します。
https://www.cybereason.co.jp/product-documents/survey-report/8823/