i Cubed Systems Engineering blog

株式会社アイキューブドシステムズの製品開発メンバーが、日頃のCLOMO開発の様子などを紹介します。

CLOMOサービスがISMAPクラウドサービスリストに登録された話

セキュリティ

CLOMOサービスがISMAPクラウドサービスリストに登録された話

はじめに

アイキューブドシステムズで製品開発運用本部に所属している nakano-i3 です。

2024年2月に、弊社のCLOMOサービス(※1)が「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)(以降、ISMAP)」において、政府が求めるセキュリティ要求を満たしているサービスであると評価され、ISMAPクラウドサービスリストに登録されました。

弊社のISMAPクラウドサービスリスト登録プロジェクトに参画しておりましたので、その内容を紹介したいと思います。なお、ここで紹介した弊社の取り組みは一例であり、それぞれの企業によって変わってくると思いますので参考程度に読み進んでいただければと思います。

※1:CLOMOサービスとは、CLOMO MDM、SECURED APPsを指します。

そもそもISMAPとは?

ISMAPとは、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録しておき、政府のクラウドサービス調達のセキュリティ水準の確保とクラウドサービスの円滑な導入を目的とした制度です。

制度開始のきっかけとしては、2018年6月より、政府情報システム調達においてクラウド・バイ・デフォルト原則が採用され、クラウドサービスの利用を第一候補として検討することを調達条件に加えられたことにあります。

しかしながら、「クラウドサービス」と言っても多数のクラウドサービスや多数のクラウドサービス提供事業者が存在しているため、セキュリティを含むサービスの品質レベルは一定ではありません。

さらにA省のセキュリティ基準と、B省のセキュリティ基準が存在することで、セキュリティの要件が各省で異なり、基準のばらつきや基準に抜け漏れが発生する可能性がありました。また、各省庁で基準が異なるため、同じサービスを導入する場合においても各省ごとに審査を受ける必要があり非効率でした。

上記の問題を解消するため、クラウドサービスの統一的なセキュリティ基準を明確化し、実効性・効率性のあるクラウドのセキュリティ評価制度として、ISMAPが開始されることになりました。

<< 引用 >>
ISMAPポータルサイトより(ISMAP概要ページおよび、ページ内にあるリンクのPDF)

www.ismap.go.jp

ISMAPクラウドサービスリストに登録されるためには?

ISMAPクラウドサービスリストに登録されるまでの大まかな流れは以下となります。

1. ISMAP監査機関リストに登録された監査機関に監査を依頼
2. 監査基準等に基づき監査を受ける
3. 監査機関から監査報告書を受け取る
4. 監査報告書を添えてISMAP運用支援機関へ申請書類提出
5. ISMAP運用支援機関で審査
6. ISMAP運営委員会で審議後、ISMAPクラウドサービスリストに登録

まず、自社のサービスがISMAPクラウドサービスリストに登録されるためには、ISMAP監査機関リストに登録された監査機関に監査を依頼し、ISMAP管理基準に基づいた監査基準等に基づき監査を受ける必要があります。

ISMAPで求められている管理基準は、経営陣を対象としたガバナンス基準、会社全体の情報セキュリティマネジメントを対象とするマネジメント基準、人事や契約書関係、開発・サービス運営を対象とする管理策基準と分かれております。

ISMAP管理基準の構成

<< 引用 >>
ISMAPポータルサイトより(ISMAP概要ページおよび、ページ内にあるリンクのPDF)

www.ismap.go.jp

監査基準等に基づき監査を受けた後、監査機関から監査報告書を受け取り、監査報告書を添えてISMAP運用支援機関へ申請し、ISMAP運用支援機関が申請者に対する要求事項への適合状況を審査します。審査した結果をISMAP運営委員会で審議し、登録が妥当と判断されたクラウドサービスがISMAPクラウドサービスリストに登録されます。

ISMAPクラウドサービスリスト登録プロジェクトについて

弊社のISMAPクラウドサービスリスト登録プロジェクトは、約3年前の2021年にISMAPクラウドサービスリストへの登録に向けた作業をプロジェクトオーナーと私の2名体制でスタートしております。弊社だけで対応することは困難ですので大手コンサルティング会社、ISMAP監査機関リストに登録されている大手監査法人にご協力いただきながら進めました。

ISMAPクラウドサービスリスト登録プロジェクトでは、GAP分析に基づき整備が必要な箇所を洗い出し、ガバナンス基準とマネジメント基準を定めた後に、開発・サービス運営の内容に対応するメンバーと会社全体の内容に対応するメンバーに分かれて作業を進めております。

GAP分析後、開発・サービス運営の内容に対応するメンバーとして i3-tanaka に参画いただき、会社全体の内容に対応するメンバーを2名追加して、プロジェクトオーナーを含めて合計5名体制で進んでおります。

大手コンサルティング会社-大手監査法人のご協力

続いて、私と i3-tanaka の2人が担当した開発・サービス運営の内容について紹介します。

なお、「1. GAP分析」から「5. ISMAP運用支援機関へ自社サービスの登録申請」を弊社と大手コンサルティング会社、大手監査法人で進め、「6. ISMAPクラウドサービスリストへの登録」は、ISMAP運用支援機関および、ISMAP運営委員会によって進められます。

1. GAP分析

GAP分析では、ISMAPで求められている基準、管理策内容と現状とのギャップを洗い出し、監査に向けて改善を進めていくフェーズとなります。ここからは大手コンサルティング会社と打ち合わせを行いながら進めていきます。

まずは開発業務のフロー、ソースコードの管理基準やサービスを運用するにあたってのフローやドキュメントなどが整備されているか確認をします。次にその内容がISMAP基準を満たしているかという観点でも確認を行い、現状とのギャップを洗い出していきますが、このフェーズでもっとも時間を割いたのがドキュメントを確認することです。

過去の弊社ブログにもあるようにドキュメントが整備されています。 tech.i3-systems.com

とはいえ、全てのドキュメントについて格納場所などを把握している訳ではなく、都度、「この資料がどこにあるか知りませんか?」と質問を続ける日々でした。また、「あそこにあるよ」「ここにあるよ」と答えてくれる場合が多いんですが、ときどき「えーっと、どこだっけ?」「誰か知ってる?」となることもありました。ドキュメントが整備されてあるものの、格納先の情報が周知される状態に至るのは難しいなと感じたところです。

なお、GAP分析の時点から、次年度以降にスムーズに監査対応を進めるために、ISMAPの監査で必要なドキュメント一覧表であったり、GAP分析で確認した証跡の一覧表を作成したりとISMAP向けのドキュメント管理も進めています。

2. 監査に向けた準備

ここからは監査に向けた準備を進めて行きます。まずはガバナンス基準とマネジメント基準を定め、会社全体のセキュリティ規定を定めていきます。定められた基準と規定に沿って、開発・サービス運用の規程を作成したり、フローを整備していく流れとなります。

ISMAPでは、統制が整備されていることや記録が証跡として提出できることが求められており、今のフローからどうしても手順や手間が増えてしまう部分が出てきます。仕方ない部分を除いて、あまり時間を掛けずに手順を進められるフローを意識しました。

ほんの一例ですが、フローを整備する際に以下を意識して進めております。

  • 統制が整備されていること
    • 承認を得て物事を進めていること
    • フロー上で社長や本部長など適任者が承認していること
  • なるべく開発・サービス運用の手順や手間を増やさないこと
    • 既存のフローを大きく変えないこと
    • レビューや承認した記録を残すが手間にならないこと
  • 監査や証跡取得を進めやすくすること
    • 証跡として提出しやすい資料構成と記録の残し方にする
    • 次年度以降も進めやすい形を考慮する

3. 予備調査

監査に向けた準備が終わったところで、大手監査法人にもご協力いただき、週次の定例会において整備状況の共有を行いつつ進めます。

整備が必要なものについて、本来であればISMAPクラウドサービスリスト登録プロジェクトのメンバーが方向性を示し、開発および、運用それぞれの部門で内容を整備します。ただし、開発および、運用それぞれの部門でISMAPに必要な要件などを把握して、規定やフローを整備していくとかなりの期間が必要となります。

そこで、ISMAPクラウドサービスリスト登録プロジェクトのメンバーで規定やフローを整備するところまで進め、開発および、運用のそれぞれの部門で内容を確認してもらい内容を承認する形で進めました。

それぞれの部門でISMAPに必要な要件などを把握するまでは至っていませんが、社内の勉強会や今後の年次更新の監査対応を進める中でISMAPに必要な要件などを周知していければと考えております。

4. 監査

ここからは、監査のフェーズに入ります。まずは、ISMAP管理策で求められていることが規定やフローとして整備され、業務が進められているか確認する整備状況評価が行われます。その後、整備しているフローなどを元に会社運営、開発・サービス運用がなされているか、監査対象期間中の状況を確認する運用状況評価が行われます。

証跡として規程などの書類や開発のフローが記載されている書類、開発で行われているレビューの記録や製品検証が終わってリリースするまでの承認記録などを提出します。ここでも提出した証跡を大手監査法人に確認いただき、週次のミーティングで状況確認をしつつ進めます。

5. ISMAP運用支援機関へ自社サービスの登録申請

大手監査法人から監査報告書を受け取り、監査報告書など申請に必要な書類を添えてISMAP運用支援機関へISMAPクラウドサービスリストへの登録申請を行います。

申請後は、ISMAP運用支援機関にて申請書類の確認が行われ、ISMAP運用支援機関からの質問があれば回答していきます。その後、ISMAP運営委員会審議で審議される流れとなります。

6. ISMAPクラウドサービスリストへの登録

ISMAP運営委員会で審議され、内容に不備などなければ登録が承認されます。その後、ISMAPクラウドサービスリストへ登録となります。

www.ismap.go.jp

ISMAPクラウドサービスリストへ登録された後は?

ISMAPクラウドサービスリストへ登録されたサービスは、毎年、監査機関による監査とISMAP運営委員会へ監査内容を報告する必要があります。そのため、継続してISMAP基準に沿ったサービス運営がなされます。

また、運用しているサービス構成を含めて監査・ISMAP運営委員会へ申請を行った後で、監査を受けた時点のサービス構成に変更が⽣じた場合には、ISMAP運営委員会へ変更を届け出た上で、必要に応じて監査を受ける必要があります。

例えば、サービスを構成している外部サービスAを別の外部サービスBに変更する場合は、先ずは変更が発生した事実として「重大な統制変更等の届出」をISMAP運営委員会へ提出する必要があり、監査に関する取り扱いについては、ISMAP運営委員会の求めに応じて対応することとなります。

ISMAPクラウドサービスリストへ登録されるメリット

  • クラウドサービスを提供する事業者

    • 提供サービスの安全性を第三者機関の監査を受けて確認・公表できる

  • クラウドサービスを導入する利用者

    • 「信頼できるクラウドサービス」を導入できる
    • セキュリティ基準をチェックする「手間」が省ける

監査のイメージ

ISMAPクラウドサービスリスト登録プロジェクトを進める上で意識していたこと

ISMAPクラウドサービスリスト登録プロジェクトを進める上で意識していたのは、「ISMAPクラウドサービスリストへ登録されたら終わりではなく、ISMAP運用が始まる」ということと「ISMAPがあるから整備するのではなく、セキュリティ上必要だから整備する」です。

整備したけども運用されなくなるのでは意味がありません。そのため、なるべく開発・サービス運用の手順と手間を増やさないことが重要です。手順が大きく変わったり、手順の数が増えたり、一つの手順に時間が掛かると段々とフローとは違う形で進められることがあります。

折角、セキュリティ向上のために整備したフローでも、フローが軽視されると自社のセキュリティレベルは保たれません。また、毎年、監査を受けますので前年と違うフローであれば理由を説明する必要があります。

更に「この機能やフローはISMAP登録するのに必要ですか?」とよく聞かれますが、そもそもで、「開発フローとして必要なもの」「Webアプリケーションなどのセキュリティ向上に必要なもの」などISMAPが無くても必要なものはありますので、ISMAPありきにしないことも意識をして進めました。

セキュリティレベルを保つのに大事なことは、「誰かがやってくれる」のではなく、「みんなで守ること」です。素晴らしい規約やフローよりもセキュリティレベルを保ちつつ、みんなが守れる規約やフローを考えることも大切と感じましたし、役割を明確にして「どこかに報告すれば、あとは誰かがやってくれる」という意識にしないことも大切と感じました。

これからもISMAP運用は続いていきますので、セキュリティ対策のトレンドをキャッチアップしたり、開発・運用しやすいフローへ改善を続けていき、セキュリティレベルを保った開発・サービス運用を継続できる様に進めていきたいと思いますし、これからも社内外の関係者の方々にご協力いただきながら進めて行きたいと思います。

関係各所との円陣

最後に

ISMAPクラウドサービスリストへの登録を進めるため、準備からプロジェクトに関わることで、所属する部署の規定やフロー作り、監査対応に関わり、コンサルティング会社、監査法人など社外の方とも関わる機会が得れたことは、とても大きな経験となりました。これからもISMAPクラウドサービスリストに登録されている状態を維持するために監査対応が続きますので、この経験を社内に共有できればなと考えております。

最後になりましたが、ISMAPクラウドサービスリストへの登録に際し、お力添えいただいた方々に心から感謝の意を表します。

We are hiring!

私たちは、Ruby on Railsを活用しながら、CLOMO MDMの製品開発を通じて共に成長していける仲間を募集しています。