ISMAP管理基準|情報処理安全確保支援士試験 令和5年春期午前Ⅱ 問8
出典:令和5年春期 午前Ⅱ 問8
分野:セキュリティ / 情報セキュリティ管理
政府情報システムのためのセキュリティ評価制度に用いられる"ISMAP管理基準"が基礎としているものはどれか。
- ア:FIPS 140-3(暗号モジュールのセキュリティ要求事項)
- イ:ISO/IEC 27018:2019(個人識別情報(PII)プロセッサとして作動するパブリッククラウドにおけるPIIの保護のための実施基準)
- ウ:JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)
- エ:日本セキュリティ監査協会"クラウド情報セキュリティ管理基準(平成28年度版)"
TSUNAGARU-ADVICE
まず押さえたいこと
ISMAP管理基準は、政府情報システムで利用するクラウドサービスを評価するための基準です。その基礎の一つとして、日本セキュリティ監査協会のクラウド情報セキュリティ管理基準が用いられています。
迷ったときの判断軸
FIPS 140-3は暗号モジュール、ISO/IEC 27018はクラウド上の個人識別情報保護、JIS Q 15001は個人情報保護マネジメントシステムに関する規格です。ISMAPはクラウドサービス全体のセキュリティ評価制度なので、クラウド情報セキュリティ管理基準に結び付けると判断しやすくなります。
科目Bにつなげるために
科目Bでは、クラウドサービスの選定や委託先管理の文脈で、どの基準や制度を使って安全性を確認するかが問われます。ISMAPは、政府がクラウドサービスを調達・利用する際のセキュリティ評価の枠組みとして理解しておきましょう。
ISMAPは、政府がクラウドサービスを利用するときに、安全性を確認しやすくするための制度です。
正式名称は「政府情報システムのためのセキュリティ評価制度」で、政府が求めるセキュリティ水準を満たしたクラウドサービスを、あらかじめ評価・登録しておきます。
背景には、政府情報システムを整備するときに、クラウドサービスの利用を第一候補とする「クラウド・バイ・デフォルト原則」があります。
政府機関がクラウドサービスを導入するたびに、一から安全性を確認するのは大変です。そこで、共通の基準で評価されたサービスをリスト化し、安全なクラウドサービスを円滑に導入できるようにしたものがISMAPです。
ISMAPに登録されるためには、クラウドサービス事業者が、登録を受けた監査機関による監査を受けます。
監査では、ISMAP管理基準に基づいて、情報セキュリティ対策が適切に行われているかを確認します。その後、申請内容などの審査を経て、基準を満たしたサービスがISMAPクラウドサービスリストに登録されます。
また、リスクの小さな業務や情報を扱うSaaSについては、ISMAP-LIUという別のリストに登録されます。
これらのリストは公開されており、政府調達で利用されます。民間企業も、クラウドサービスを選ぶときの参考情報として利用できます。
つまりISMAPは、「政府が安心してクラウドサービスを選ぶために、事前に安全性を評価して登録しておく制度」と考えると分かりやすいです。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:FIPS 140-3(暗号モジュールのセキュリティ要求事項)
⇒FIPS 140-3は暗号モジュールのセキュリティ要求事項に関する規格です。ISMAP管理基準の基礎となったものではありません。
イ:ISO/IEC 27018:2019(個人識別情報(PII)プロセッサとして作動するパブリッククラウドにおけるPIIの保護のための実施基準)
⇒ISO/IEC 27018:2019はクラウド上の個人識別情報の保護に関する実施基準です。ISMAP管理基準の基礎として問われているものではありません。
ウ:JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)
⇒JIS Q 15001:2017は個人情報保護マネジメントシステムに関する要求事項です。ISMAP管理基準の基礎ではありません。