ISMAP|情報処理安全確保支援士試験 令和7年春期午前Ⅱ 問11
出典:令和7年春期 午前Ⅱ 問11
分野:セキュリティ / 情報セキュリティ
"政府情報システムのためのセキュリティ評価制度(ISMAP)"の説明はどれか。
- ア:個人情報の取扱いについて政府が求める保護措置を講じる体制を整備している事業者などを評価して,適合を示すマークを付与し,個人情報を取り扱う政府情報システムの運用について,当該マークを付与された者への委託を認める制度
- イ:個人データを海外に移転する際に,移転先の国の政府が定めた情報システムのセキュリティ基準を評価して,日本が求めるセキュリティ水準が確保されている場合には,本人の同意なく移転できるとする制度
- ウ:政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価,登録することによって,政府のクラウドサービス調達におけるセキュリティ水準の確保を図る制度
- エ:プライベートクラウドの情報セキュリティ全般に関するマネジメントシステムの規格にパブリッククラウドサービスに特化した管理策を追加した国際規格を基準にして,政府情報システムにおける情報セキュリティ管理体制を評価する制度
TSUNAGARU-ADVICE
まず押さえたいこと
ISMAPは、政府情報システムで利用するクラウドサービスについて、政府が求めるセキュリティ要求を満たしているかを評価・登録する制度です。
迷ったときの判断軸
この問題では、「個人情報保護のマーク」や「国際規格そのもの」ではなく、政府がクラウドサービスを調達するときの安全性確保に着目します。つまり、政府が利用してよいクラウドサービスをあらかじめ評価して登録する仕組みと整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、クラウドサービスを導入する場面で、機能や価格だけでなく、調達前にどのようなセキュリティ評価を確認すべきかが問われます。ISMAPは、政府情報システムにおけるクラウド調達のセキュリティ水準を確保するための制度として理解しておきましょう。
ISMAP(イスマップ)は、政府がクラウドサービスを安全に使うための評価制度です。クラウドサービスが、政府の定めたセキュリティ基準を満たしているかを、第三者が監査します。基準を満たしていると認められたサービスは、ISMAPクラウドサービスリストに登録されます。
政府機関は、原則としてこのリストに載っているクラウドサービスから選んで利用します。つまりISMAPは、「政府が安心して使えるクラウドサービスの一覧を作るための制度」です。
背景には、政府システムではクラウド利用を優先するというクラウド・バイ・デフォルト原則があります。クラウドを使う機会が増えたため、サービスごとに安全性をバラバラに確認するのではなく、統一した基準で評価できる仕組みとしてISMAPが作られました。
民間企業にとっても、ISMAPのリストはクラウドサービス選定時の参考になります。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:個人情報の取扱いについて政府が求める保護措置を講じる体制を整備している事業者などを評価して,適合を示すマークを付与し,個人情報を取り扱う政府情報システムの運用について,当該マークを付与された者への委託を認める制度
⇒個人情報保護に関するマーク制度、という点で違います。ISMAPはクラウドサービスのセキュリティ評価制度です。
イ:個人データを海外に移転する際に,移転先の国の政府が定めた情報システムのセキュリティ基準を評価して,日本が求めるセキュリティ水準が確保されている場合には,本人の同意なく移転できるとする制度
⇒個人データの越境移転に関する制度、という点で違います。ISMAPは政府のクラウド調達に関する制度です。
エ:プライベートクラウドの情報セキュリティ全般に関するマネジメントシステムの規格にパブリッククラウドサービスに特化した管理策を追加した国際規格を基準にして,政府情報システムにおける情報セキュリティ管理体制を評価する制度
⇒国際規格そのものを基準に情報セキュリティ管理体制を評価する、という点で違います。ISMAPは政府が求める管理基準に基づき、クラウドサービスを評価・登録する制度です。