ISMAPの現在地と今後の展望―さらなるデジタルトラストの構築に向けて（経産省）

ISMAP誕生の背景にあるクラウド・バイ・デフォルトの原則

川本：
最初に國澤さんが担当されている業務の内容を教えてください。

國澤：
私が所属する経済産業省 商務情報政策局 情報経済課では、デジタル社会の新たなルールの在り方を検討しています。例えば、米国の大手インターネット企業に代表されるデジタルプラットフォーマーとアプリ事業者等の取引の透明化を向上させるため、「デジタルプラットフォーム取引透明化法」という法律を所管しています。

また、サイバー空間とフィジカル空間が密接に連携する「Society5.0」の実現に向け、複雑に絡み合うルールやシステムを整理し、社会システム全体の見取り図（アーキテクチャ）の作成にも取り組んでいます。ハード（フィジカル）とソフト（サイバー）のインフラが、どのような形で共存すれば最も効率がよく、求める世界を実現できるのかを見据え、政策の展開を図っているところです。

また、今回の主題であるISMAPもデジタル社会における制度の一つとして、その普及に注力しています。

川本：
非常に幅広い業務を担当していらっしゃるのですね。ISMAPは2020年6月から運用が開始されましたが、そこに至るまでにはどのような背景があったのでしょうか。

國澤：
ISMAP導入の背景には、2018年に日本政府が採用した「クラウド・バイ・デフォルト原則」があります。これは、政府機関などでITシステムを調達する際、クラウドサービスを第1候補として検討する方針を定めた原則です。

クラウドサービスを積極的に活用するうえで、セキュリティに対する不安は、官民双方から挙がっていました。また、政府情報システムの調達プロセスでは、政府機関ごとに調達対象サービスのセキュリティ実施状況を逐一確認していました。ですから、非常に非効率だったのですね。それらの状況を踏まえ、クラウドサービスのセキュリティ評価を政府一括で行う必要性が指摘されていました。そしてできあがったのが、ISMAPです。

川本：
ISMAP導入にあたっては、政府内だけでなく民間企業のクラウド利用促進も視野に入れていたのでしょうか。

國澤：
ISMAPに登録されたクラウドサービス事業者は、政府が定めたセキュリティ基準を満たしているという一種のお墨付きを得ることになります。経済産業省としても産業振興の観点から、クラウドサービス事業者が「ISMAP登録事業者」という実績をもとに、さまざまなところでサービス展開することを期待しています。

川本：
ありがとうございます。では私の方からは、ISMAPにおけるセキュリティの評価制度の仕組みを簡単に説明させてください。

セキュリティ要求事項の内容は、ISO、NISCの政府統一基準、FedRAMPなどの各種セキュリティの管理基準を組み合わせて構成されており、それら管理基準への対応がクラウド事業者に求められます。

またクラウド事業者がその管理基準に対応していることを確認するために、ISMAP認定監査機関によって、定期的にセキュリティ評価を受けることになっています。ISMAP認定監査機関によるセキュリティ評価を受けてさらに制度側が審査を行い、その審査を通過したクラウドサービスがISMAP登録簿クラウドサービスリストに掲載されます。そして、登録簿に掲載されたクラウドサービスから、政府機関などがシステム調達を行います。

國澤：
一つ付け加えますと、クラウドサービスリストはパブリックに公開されています。ですから民間企業も自由に閲覧可能ですし、登録されているサービスだけでなく、そのセキュリティ政策の概要、対応領域も確認できます。

2年間の運用で明らかになったISMAPの課題と可能性

川本：
ISMAP-LIUをうまく活用できれば、ISMAP登録サービスも幅広く増加しそうです。ISMAP-LIUは2022年11月から運用が開始されていますが、ISMAPは制度運用開始から2年が経過しました。この2年間の運用で明らかになったポジティブな影響や制度上の課題はありますか。

國澤：
ポジティブな面としては、2022年末の時点で28社38サービスが登録されていることです。これは「クラウド・バイ・デフォルト原則」の推進につながっていると考えています。

実際、省内の調達担当者から話を聞いたところ、ISMAPのコンセプトは多くの方に共感されているそうです。これはひとえに登録申請を検討いただいているクラウドサービスプロバイダーの方々や、監査を担当している監査機関の方々のご協力の賜物です。クラウドサービス事業者の立場から考えると、ISMAPに登録されていることは自社サービスの売り込みに役立つこともメリットの1つではないでしょうか。

現在登録されているサービスは、IaaSなどの基盤サービスが多い印象です。ISMAP-LIUという新しい枠組みもできたので、今後は特にSaaSの登録を伸ばしていきたいと考えています。

一方、2年間の運用で、実務面での課題も浮き彫りになりました。例えば、要求される管理策が多岐にわたることです。また、制度を所管する省庁とクラウドサービスプロバイダー、監査機関の間で、管理策に対する解釈の認識が合わない部分があることも分かりました。さらに、申請を受け付けてから登録するまでの審査期間は長期化しています。こうした制度課題に対しては、制度所管省庁が一丸となって改善の方向性を検討しています。

川本：
ISMAPの今後について、その展望を聞かせてください。

國澤：
まずは2年間の運用で見えてきた課題を検討し、地に足のついた制度にすべく非効率な部分は改善し、守るべきところは守り、合理的な制度にしていきたいと考えています。現在は、関係省庁や事業者の方々を含め、いろいろと議論を進めている段階です。

例えば、管理策を効率よくするために重複を排除して負担を軽減したり、監査する部分に濃淡を付けたりするといった議論もあります。こうしたガイドラインを作成する余地もあると考えています。

川本：
現在、ISMAPの対象となっているのは中央省庁と独立行政法人、指定法人であると伺いました。将来的にその対象が拡大することはありますか。

國澤：
ISMAPは国の調達に関連する制度です。ですから現時点で適用されるのは、政府統一基準が適用される独立行政法人と指定法人までです。ただしせっかく策定した制度ですから、例えば地方自治体や重要インフラ産業にも活用していただきたいと思っています。

川本：
ISMAP登録利用の裾野が広がれば、ISMAP登録を目指すクラウド事業者サービスも増加することが期待されますね。ISMAPによって政府内部でセキュリティやトラストの領域で変化していることはありますか。

國澤：
ISMAPは入口に過ぎないと考えています。先述したとおり、これからはSociety5.0の実現に向けて、これまで以上にさまざまなシステムが複雑に連携する社会になります。よりリアルタイムで、より包括的にデジタルを活用した形でシステムが動く状況において、どのような形で包括的に信頼を付与していくのかは、情報経済課に求められている課題です。我々が検討しているあらゆる政策において、デジタル時代のトラストの必要性が高まっていると感じています。

例えばISMAPでは登録したクラウドサービスがその翌週にサブサービスを追加したり、リージョンを拡大したりする事象は数多く発生しています。さらに、申請のあったサービスが別のクラウドサービスと密接に連携しているなど、複雑性も増しています。

このような速い変化に対応するには、これまで前提としていた「人」ベースの信頼付与では追いつかなくなっているのが現状です。ですから、こうした複雑な環境に対し、タイムリーに対応できるような信頼付与の方法を政策的に作り上げていくことが重要だと考えます。

川本：
今後は官民が一体となって知恵を出し合いながら、新しいデジタルトラストの構築を進めていく必要があります。ISMAPで得た知見や経験は、新たなデジタルトラスト構築の際に役立ちますね。本日は貴重なお話をありがとうございました。