総務省・内閣官房(内閣サイバーセキュリティセンター、情報通信技術(IT)総合戦略室)・経済産業省は、政府情報システムのためのセキュリティ評価制度(ISMAP)の立ち上げにあたり、ISMAP運営委員会を開催し、委員会において制度に関する各種規程等が決定され、制度の運用が開始されました。
平成30 年6月に、政府は「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(平成 30 年6月7日 各府省情報化統括責任者(CIO)連絡会議決定)を定め、クラウド・バイ・デフォルト原則を掲げる一方で、「未来投資戦略2018」(平成30年6月15日閣議決定)、及び「サイバーセキュリティ戦略」(平成30年7月27日閣議決定)において、クラウドサービスの安全性評価に関する検討の必要性が位置付けられました。
これを受け、平成30年8月から令和元年12月にかけて、総務省と経済産業省が事務局となり、「クラウドサービスの安全性評価に関する検討会」を開催し、令和2年1月にはパブリックコメントを経たとりまとめが行われました。
また、これらの閣議決定等を踏まえ、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和2年1月30日サイバーセキュリティ戦略本部決定)において、本制度の(1)基本的枠組み、(2)各政府機関等における利用の考え方、(3)所管と運用体制が決定されました。
今般、基本的枠組みを受け、令和2年5月25日に本制度の最高意思決定機関として有識者と制度所管省庁(内閣官房(内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室)・総務省・経済産業省)を構成員としたISMAP運営委員会を設置するとともに、同年5月26日に第1回ISMAP運営委員会を開催し、委員会において制度に関する各種規程等が決定され、ISMAPの運用が開始されました。
併せて、今回の運用開始に先立ち、令和2年3月27日から実施していた「政府情報システムのためのセキュリティ評価制度(ISMAP)における 各種基準(案)」に対する意見募集の結果も公表いたします。
本制度は、情報セキュリティ監査の枠組みを活用した評価プロセスに基づいて、本制度で定められた基準に基づいたセキュリティ対策を実施していることが確認されたクラウドサービスを、本制度が公表するクラウドサービスリストに登録するものです。
また、本制度における監査を行うことができる監査機関についても、あらかじめ本制度で定める監査機関に対する要求事項を満たすことが確認され、本制度が公表する監査機関リストに登録とするものとしています。本制度により、各政府機関等が、一定の情報セキュリティ対策の実施が確認されたクラウドサービスを効率的に調達することが可能となることが期待されます。
今般決定した制度の概要や各種規程等については、独立行政法人情報処理推進機構(IPA)のHP内に専用ページを設けておりますので、そちらからご参照ください。