IPA、海外クラウドセキュリティ評価制度の調査報告を公開
~ISMAP制度見直しに向け、海外制度との比較を整理~
独立行政法人情報処理推進機構(IPA)セキュリティセンターは、2025年4月30日付で「海外のクラウドサービスのセキュリティ評価制度に関する調査」結果を公表した。本調査は、現在運用されている政府向けクラウドサービス評価制度「ISMAP」の見直しに向けた基礎資料として、米国を中心とした海外の制度を対象に情報を整理・比較したものである。
■ 背景:ISMAP運用開始から5年、制度見直しへ
政府は2018年6月に「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を定め、クラウド・バイ・デフォルト原則を明確に打ち出した。これを受けて、2020年6月には政府情報システムのためのセキュリティ評価制度「ISMAP(Information System Security Management and Assessment Program)」が創設され、政府機関の情報システム調達では、原則としてISMAP登録済クラウドサービスが利用されることとなっている。
ISMAPは、制度創設から5年を経て運用実績が積み重なっており、これに伴い、運用上の課題も明らかになってきている。こうした背景の下、IPAではISMAPの信頼性・安定性を確保しながら、制度の合理化・明確化に向けた見直しを、制度所管省庁とともに検討している。
その一環として、IPAは海外のクラウドセキュリティ評価制度との比較調査を実施し、グローバルな視点からISMAPを客観的に検証するための基礎情報を整理した。
■ 米国FedRAMPの手続・評価手法を中心に分析
2024年度の調査では、主に米国におけるクラウドサービスのセキュリティ評価制度である「FedRAMP(Federal Risk and Authorization Management Program)」に焦点を当て、その手続や評価手法に関する調査を行っている。
公開された資料には、以下のPDFが含まれている。
■ 2023年度は複数国の制度を比較・整理
また、2023年度には、米国以外の複数国におけるクラウドサービス評価制度についても調査が実施されており、以下の資料が公開されている。
- 海外のクラウドサービス評価制度の実施状況調査の概要(PDF:651KB)
- 別紙1:海外諸制度調査表(PDF:133KB)
- 別紙2:インシデント規程比較表(PDF:205KB)
- 別紙3:供給者管理規程比較表(PDF:185KB)
これらの資料では、各国における制度設計の違いや、セキュリティインシデントに対する対応方針、クラウド供給者に対する管理規程の比較などが記載されており、ISMAP制度を今後どう発展させるかの参考情報として位置付けられている。
■ 海外制度との比較を通じた客観的検証
IPAでは、ISMAP制度の合理化・明確化に向けた見直しを進めるにあたり、グローバルの観点からISMAPを客観的に検証するため、海外のクラウド評価制度に関する基礎的な情報整理を実施している。本調査もその一環として位置づけられている。
