2021/03/22
はじめまして、クラウドサービス企画部 晝間です。
KDDIは、政府情報システムのためのセキュリティ評価制度(ISMAP)において、その基準を満たすサービスとして、KDDIクラウドプラットフォームサービス(以下、KCPS)が、2021年3月12日付けで登録されたことをお知らせします。
Information system Security Management and Assessment Program:通称、ISMAP(イスマップ)は、情報セキュリティ監査の枠組みを活用した評価プロセスに基づいて、政府のセキュリティ要求を満たすクラウドサービスを予め評価・登録することです。これにより、各政府機関がクラウドサービスを調達する際に、一定の水準を満たし、セキュリティが確保されたクラウドサービスを円滑に導入することを目的とした制度です。調達する各政府機関は、ISMAPクラウドサービスリストに掲載されているクラウドサービスの中から調達を行うことが原則となります。
ISMAPの管理基準は、(1)ガバナンス基準(18件)、(2)マネジメント基準(64件)、(3)管理策基準(1081件)です。管理基準は「JIS Q(ISO/IEC)27001、27002」(情報セキュリティマネジメントシステム・ISMS)と「JIS Q(ISO/IEC)27017」(クラウドサービスの情報セキュリティに関するマネジメントシステム)を基礎としています。これらについて、ISMAP監査機関(ISMAP運営委員会から審査、登録を得た監査法人)から実際に社内で明文化された規程やルールについて、本当に実施されていることの証跡提出(2000件以上)や、監査人から担当役員や実務者へ向けて、管理策に書かれていることだけではなく、色々な切り口からのインタビュー審査2600件以上を受け、ISMAP運営委員会へ申請し、登録しました。
尚、KDDIは、今までKCPSを安全にご利用いただいていることとして、以下の認証を取得しています。2020年8月にISO/IEC 27017、国際セキュリティ認証のSOC1 Type2を6年連続、SOC2 Type2を5年連続で取得し、お客さまに安全にご利用いただいています。
ISMAPはあくまでも政府が情報システムを調達するための指針ですが、今後は公共機関や様々な企業のみなさまがクラウドサービスを選定する時の新たな目安、基準になっていくものと思います。実際、情報セキュリティ担当者がクラウドサービスごとにセキュリティ基準をチェックし選定することは、大変な作業で膨大な時間がかかります。これからは、ISMAPを活用すれば一定のセキュリティ基準が満たされているので、担当者は登録リストに掲載されているサービスの中から自社のセキュリティ基準に合ったものを選ぶことで、かなり負担が軽減されると思います。
当社にとっても、ISMAPを取得することで現在KCPSをご利用いただいているお客さまに安全にご利用いただけることが客観的に証明されました。新たにクラウドサービスの導入を検討される企業には、政府からの認定があることにより対外的な信頼性を得やすくなり、今後KCPSをより多くの方に知っていただく機会を得ました。
今回、ISMAP自体が初回の運用開始ということもあり、過去実績もなく公開情報も少ない中で管理策を仕上げていくことに非常に苦労しました。特に、管理策の内容を解読・整理し、自社内の担当部署へわかりやすい言葉で内容を伝え、ヒアリングすることに時間を要しました。しかし、1つ1つの管理策に対して丁寧に回答をした結果、合理的な適用が不可能な統制目標※としての管理策数は1件のみで申請・登録することができました。今回登録されたクラウドサービス事業者の中でも非常に少ない件数ということもあり、ご利用者のみなさまがクラウドサービスを選んでいただく時の1つの重要な目安になると思います。次年度は運用評価も加わってきますので、初回クラウドサービス事業者として今後の制度自体も改善できるよう提言しつつ、より多くのお客さまにとってクラウドサービス選択の一助になるようにしていきたいです。
KDDIは、今後も政府情報システムへの対応、公共機関におけるクラウドサービス利用を促進すると共に、クラウドをはじめとする各種サービスのさらなる品質向上とお客さまニーズへの対応を進め、安心安全で強靭なサービス提供による豊かなデジタル社会の構築に貢献していきます。
KCPS概要
ISMAP取得についてお知らせしました。KDDIは、引き続きお客さまにKCPSを安心・安全にご利用いただけるよう、現状に留まらず改善を進めていきます。
※本取り組みは、KDDIホームページの「法人のお客さま向けトピックス」にも掲載されております。