令和5年春期試験問題 午前Ⅱ 問8

政府情報システムのためのセキュリティ評価制度に用いられる"ISMAP管理基準"が基礎としているものはどれか。

  • FIPS 140-3(暗号モジュールのセキュリティ要求事項)
  • ISO/IEC 27018:2019(個人識別情報(PII)プロセッサとして作動するパブリッククラウドにおけるPIIの保護のための実施基準)
  • JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)
  • 日本セキュリティ監査協会"クラウド情報セキュリティ管理基準(平成28年度版)"
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ管理
解説
政府情報システムのためのセキュリティ評価制度(ISMAP:Information System Security Management and Assessment Program)は、政府調達において要求されるセキュリティ水準を確保したクラウドサービスをあらかじめ評価・登録しておく制度です。

国が政府情報システムを整備する際に、クラウドサービスの利用を第一候補とする方針(クラウド・バイ・デフォルト原則)を受け、政府機関等におけるクラウドサービスの導入に当たって、統一的な安全性評価基準のもとで情報セキュリティ対策が十分に行われているサービスを円滑に導入できるように立ち上げられたものです。

この評価制度では、❶クラウドサービス登録申請者に対する要求事項、❷情報セキュリティ管理/運用の基準となる管理基準(ISMAP管理基準と呼ばれます)、❸監査機関登録申請者に対する要求事項などが定められています。登録を目指すクラウドサービス事業者は、❸の登録を受けた監査機関によって、❷の管理基準に基づいた情報セキュリティ対策実施状況の監査を受けます。そして❶の要求事項についての審査を経て、ISMAPクラウドサービスリスト又はISMAP-LIU(ISMAP-Low Impact Use:リスクの小さな業務・情報の処理に用いるSaaS対象)と呼ばれるリストに登録されます。このリストは公開されており政府調達で利用されるだけでなく、民間事業者もこのリストを利用することができます。
  • FIPS 140-3は、NISTが作成した暗号モジュールのセキュリティ要件に関する米国連邦政府標準規格です。これは、ISO/IEC 19790:2012で規定された"情報技術-セキュリティ技術-暗号モジュールのセキュリティ要求事項"のベースとなっています。
  • ISO/IEC 27018:2019は、一般の企業や組織が共有して利用するパブリッククラウド上で、クラウドサービス事業者が管理する個人情報保護に関する国際規格です。
  • JIS Q 15001は、様々な組織が個人情報保護を目的として、個人情報マネジメントシステムの確立・実施・維持・継続的な改善を行うための要求事項を定めた規格です。
  • 正しい。ISMAP管理基準は、日本セキュリティ監査協会が策定した"クラウド情報セキュリティ管理基準(平成28年度版)"、NISCが策定した"政府機関等の情報セキュリティ対策のための統一規格群(平成30年度版)"及び"SP800-53 rev.4"など、いくつかの規格や基準をベースに策定されています。日本セキュリティ監査協会は、情報セキュリティ監査制度の運営を目的とした経済産業省が創設した特定非営利活動法人です。

Pagetop