デジタル庁セキュリティアーキテクトが教える、クラウド活用時のセキュリティ確保の要点とは

クラウドサービスを利用するにあたって、情報セキュリティ対策を十分にしておくことが求められる。では、どのようにクラウド上のセキュリティを担保すれば良いのだろうか。

12月6日、7日に開催されたウェビナー「TECH+フォーラム クラウドインフラ Days 2023 Dec. クラウドネイティブへのシフト」にデジタル庁 戦略・組織グループ セキュリティアーキテクト 満塩尚史氏が登壇。政府が推奨するガイドラインの概要や、活用方法について紹介した。

クラウドサービスの活用時にまず意識すべきこと

満塩氏によると、クラウドサービスの活用時においては2つの視点からセキュリティに向き合う必要があるという。

1つはクラウドサービスを提供する事業者から見た「クラウドサービス自体のセキュリティ確保」、もう1つはクラウドにおけるアプリの所有者から見た「クラウドサービス上に構築するアプリケーションのセキュリティ確保」だ。

クラウドサービス自体の対策には、政府が制定した「ISMAP」が、アプリケーションのセキュリティには、デジタル庁が公表している「デジタル社会推進標準ガイドライン」や内閣サイバーセキュリティセンター(NISC)が公表しているガイドラインの活用が有効となる。

いずれも政府のシステム導入における指針となるものだ。こうした制度を遵守しているサービスは高いセキュリティが担保されていることから、民間企業のクラウドサービスの選定にも応用できるだろう。

• 

  満塩氏はクラウドサービスと、それに紐付くアプリケーションの両面から、セキュリティを確保すべきだと話す

クラウドサービスのセキュリティ確保に活用できる「ISMAP」

クラウドサービス自体のセキュリティを確保するのに有効なのが、ISMAP(Information system Security Management and Assessment Program、政府情報システムのためのセキュリティ評価制度)だ。

ISMAPは、政府機関等におけるクラウドサービスの導入にあたって情報セキュリティ対策が十分に行われているサービスを調達できるよう、政府が2020年に創設した制度である。第三者がクラウドサービスを監査するプロセスを経て、システムのセキュリティを管理し、アセスメントを行う。

「統一的なセキュリティの基準を明確化して、安全性が評価されたクラウドサービスを効率的に利用することがISMAPの狙いです。以前は各組織で個別確認するしかありませんでしたが、現在は、共通部分のセキュリティはISMAPで担保し、独自要件のみを追加で確認しています」(満塩氏)

ISMAP/ISMAP-LIU登録までの流れ

クラウドサービスがISMAPに登録されるまでの流れは下図のとおりとなる。

• 

  ISMAP登録までの流れ

管理基準は、JIS Q 27017等をベースに定められており、クラウドサービスを提供する事業者を評価する「ガバナンス基準」、情報セキュリティマネジメントの確立や運用を評価する「マネジメント基準」、エンドユーザーへの適切なサービスを提供しているかを評価する「管理策基準」の3つに分けられる。満塩氏によると、ISMAP管理基準で特に重要なのは3分野を通して150項目ほどの統制目標であり、それぞれの統制目標を達成することが大切だという。

• 

  ISMAPが定める3つの基準

ISMAPのうち、動画・音声配信、人事・総務系の管理などセキュリティリスクの小さな業務・情報の処理に用いるSaaSサービスを対象とした仕組みが「ISMAP-LIU(ISMAP for Low-Impact Use)」だ。ISMAP-LIUでは、毎年必須となる外部監査の対象項目数がISMAPの20%程度に縮小されている。

• 

  ISMAP-LIU登録までの流れ

「デジタル社会推進標準ガイドライン」でクラウド上でのアプリ構築を考える

クラウドサービス上に構築するアプリケーションのセキュリティを確保するには、デジタル庁が公表する「デジタル社会推進標準ガイドライン」の活用が有効となる。

同ガイドラインは、サービス・業務改革、そしてこれらに伴う政府情報システムの整備および管理についての手続・手順や、各種技術標準等に関する共通ルールや参考ドキュメントをまとめたものだ。特に、セキュリティを考えるうえでは、「デジタル・ガバメント推進標準ガイドライン」、「政府情報システムにおけるセキュリティ・バイ・デザイン」が参考になる。

デジタル・ガバメント推進標準ガイドラインには、政府情報システムを開発するにあたってのプロセスが記載されている。満塩氏は「民間のITガバナンス、プロジェクトマネジメント、サービスマネジメント標準を取り込んでいるため、一般の方にも使っていただけるものになっている」とする。

また、このプロセスにおいて、セキュリティをどう考えていくべきかまとめたものが、政府情報システムにおける「セキュリティ・バイ・デザイン」だ。企画・要件定義・調達・設計・開発・運用・保守の各フェーズで何をすべきか、そのチェックポイントが記載されている。

• 

  セキュリティ・バイ・デザインの概要

また「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針」には、クラウドサービスの利用メリットがまとめられており、クラウドサービスを使うことでセキュリティ水準が上がるとされている。政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針において、セキュリティに関する部分では下記のような指針が示されている。

---

1. 責任共有モデルによる対象の絞り込み
2. リファレンスアーキテクチャへの準拠
3. 境界型セキュリティのみに依存しないセキュリティ対策を行う（ゼロトラスト）
4. 予防適当性と発見的統制の実施
5. セキュリティ対策の自動化
6. サーバを構築しないアーキテクチャの採用
7. IaCとテンプレート適用による主要セキュリティ対策のデフォルト化と適切なセキュリティ管理
8. 定量的計測とダッシュボードによる状況の可視化
9. 継続的なアップデートへの対応

10. クラウドに最適化した監査

「クラウド上でのシステム構築は、テンプレートを利用したりサービスそのものの機能を使ったりすることで、属人化が防げます。そのため、最低限のセキュリティ水準を確保していけると考えています」(満塩氏)

「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」のクラウド版が策定

内閣サイバーセキュリティセンター(NISC)が公表する「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」も参考になる。同マニュアルは、2011年にオンプレミスのシステムを想定し、要件定義書や調達仕様書を作成する際に役立てるものとしてつくられた。これを見ると、セキュリティ要件を整理する前に、まず業務要件を整理することが重要だとわかる。

• 

  情報システムに係る政府調達におけるセキュリティ要件策定マニュアルの業務要件検討プロセス

2023年には、クラウドサービスの設計・開発フェーズで活用できる「別冊．クラウド設計・開発編」も策定された。

同マニュアルは、クラウドサービス事業者と所有者の間で、それぞれが責任を持つべき範囲が明確に示される「責任共有モデル」がベースとなっている。満塩氏は業務要件の整理をする際の活用を推奨した。

「責任共有モデルを基に、クラウドサービス利用時の脅威例を想定してセキュリティ対策の分類がされています。ID管理やログ監視などがどのような要件になるのかといったことが整理されているので、ぜひ確認していただきたいですね」(満塩氏)

満塩氏は終盤、クラウドサービスの利用において「個人的な思いもある」と前置きしつつ、認証情報の整理、アクセス管理システムの導入、暗号鍵の活用が特に大事になると述べた。同氏はこれによって「クラウドサービスプロバイダーに任せきりにならず、システムの導入ができる」と話して講演を締めくくった。