第24回クラウドセキュリティ研究会 | ASPIC（一般社団法人日本クラウド産業協会）

第24回クラウドセキュリティ研究会
「総務省におけるセキュリティへの取組と政府情報システムのセキュリティ評価制度(ISMAP)の取組について」　実施報告

日時

令和3年6月11日(金) 15:00～16:45

主催

ASPICセミナー事務局

講演内容

タイトル

「総務省におけるセキュリティへの取組と政府情報システムのセキュリティ評価制度(ISMAP)の取組について」

講師

総務省　サイバーセキュリティ統括官付参事官　中溝和孝様

講演概要

総務省様が進められているセキュリティ関連政策等の取組について解説していただくとともに、総務省様、経済産業省、内閣サイバーセキュリティセンター、内閣府IT総合戦略室において取り組んでこられた、政府情報システムのセキュリティ評価制度（通称、ISMAP（イスマップ））の概要についてお話いただきます。
ISMAPは、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。

質問・コメント

次のような質問がありました。

Q1
クラウドサービスの統一的な評価基準が出来たことは良いことかと思います。適用範囲は、国のシステムや国立法人などですが、将来的には広がっていくのでしょうか？

Q2
現在ISMAPに登録されているサービスはIaaS（PaaS）が多い印象があるのですが、SaaSであってもISMAP登録は可能なのでしょうか？

Q3
ISMAPの審査において、データセンタが国外にあるサービスは減点されることがあるのでしょうか。

Q4
現在ISMAPで公開されているサービスはIaaSが中心ですか？

Q5
既存のSaaSは数多くあると思いますが、官公庁/自治体が契約するものは全てISMAP取得しないと、ダメなようになるのでしょうか？

Q6
ISO/IEC27017の認定を取得していると、ISMAPの監査は通りやすくなるのでしょうか?ISMAP取得はコストがかかるので収益性の観点から非現実的にならないのでしょうか？

Q7
総務省の取り組みで紹介いただいた、タイムスタンプサービスについてはビジネスの継続が困難と聞いております。NICTなどが自国だけでなく時刻認証も提供することは考えられますでしょうか？

Q8
ISMAPは大手ベンダーであれば登録申請がされるが、中小ベンダーは難しく、ある意味、スタートアップ機運を阻害することになりませんか?

Q9
LGWAN-ASPサービスも対象になるでしょうか。

Q10
アプリケーションだけしか提供できないベンダーが自治体へサービス提供したい場合、既にISMAPサービスで公開されているIaaSサービス上にアプリケーションを載せて自治体へサービス提供することは可能でしょうか？また、その場合、アプリケーション提供しかできないベンダーはISMAPの認定が必要でしょうか？