Amazon Web Services ブログ

AWS ArtifactのISMAP Customer Packageが2023年版に更新されました。

セキュリティはAWS にとって、また多くのお客様にとって最優先事項となります。
AWS では、2021年3月に 日本の政府調達におけるクラウドサービスの評価制度である「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: ISMAP(以下、ISMAPと表記)」に登録されました。本制度において最初から登録されたクラウドサービス事業者のうちの一つとなります。そして、このたび、2023年に登録された内容を踏まえたISMAP Customer Packageの更新版が掲載されました。

ISMAP Customer Packageの入手は、AWS マネジメントコンソール上のAWS Artifactから行います。AWS Artifactの”View reports” より、”ISMAP Customer Package” を検索すると日本語版および英語版が表示されますので、Artifact NDA に合意の上、ダウンロードしてください。

また、今回の発行にともない、ISMAPに関して特にいただくお問い合わせをご紹介いたします。

ISMAPに関してよくあるお問い合わせ:AWSの〇〇というサービスはISMAPに登録されていますか

まず、お答えとしては、ISMAPに登録された”サービス”は”Amazon Web Services”です。

ISMAPに関連して頂くお問い合わせとして、”AWSの〇〇というサービスはISMAPに登録されているか”といったお問い合わせがあります。ISMAPにおける定義において、私たちが登録しているサービスは”Amazon Web Services”というサービスであり、ISMAP Portalに掲載されています。クラウドサービス事業者によっては、複数のサービスをISMAPのサービスとして登録しているケースがありますが、何らかの形で同質性に違いがある場合、別のサービスとして登録することが必要になります。AWSのサービスにおける同質性の考え方はこちらのBlogをご参照ください。

一方、監査を行うタイミングにおいて適切な運用機関に基づく証跡を確認した対象範囲として、”AWSのサービス”を登録時に掲載しています。制度上、どの程度の粒度として対象範囲を記述するかはクラウドサービス事業者に依存するものとなりますが、同質性を担保できるうえでは登録されたサービスにおける機能一覧といった位置づけに近いものとなり、以後のアップデートも機能の追加に近しいものとなります。制度の性質上、新しく発表されたAWSのサービスが直ちに対象範囲に反映されることは困難ですが、原則として新たに登録されたAWSのサービスにおいても、同等の水準のセキュリティとして運用を行っています。継続的な統制はSOC等の様々なコンプライアンスプログラムによっても評価することが可能です。

調達等において、”〇〇というサービスがクラウドサービス事業者の対象範囲にない”場合は、上記の理解を前提に、そもそもISMAPが対象としているサービスなのか(ISMAP Portalのサービスリストに掲載されるレベルなのか)、そのうえで評価対象がどのような水準で運用されているかを確認する、というステップになります。

ISMAPに関してよくあるお問い合わせ:AWS上で提供される他のサービスに対する責任共有モデルはどう考えたらよいか

AWSが提供している様々なサービスの中では、AWSが単独で提供するものではなく、他のサービス事業者が提供しているものや、AWS上でソフトウェア等が提供され、お客様が利用するケースがあります。具体的には、AWS Market placeでお客様が利用可能な様々なサービス、VMware Cloud on AWSなどの他の事業者が提供するサービス、基盤モデルやOSSのテンプレートやソリューション等が該当します。このような場合、責任共有モデルに基づきAWSが提供する範囲と他の事業者、お客様が有する責任の範囲は異なることにご留意ください。また、OSSのテンプレートや基盤モデル、ソフトウェアパッケージなど、クラウドサービスという定義に該当しない多様なケースが存在することにもご留意ください。

ISMAP Customer Package は、日本語および英語にて提供されます。AWS のお客様、政府調達に関わる関係者の皆様、今後の様々なコンプライアンスの推進を行う上でISMAPの理解を深めたい様々なお客様、ISMAP に登録を考えておられるAPN パートナーの皆様は、ISMAP Customer Package を通じて責任共有モデルおよびISMAP に基づくAWS とお客様自身の責任範囲の理解が容易になります。さらにはISMAP に限らずAWSのコンプライアンスを理解したいお客様に対しても様々な情報を提供するものとなりますので、ご活用いただければ幸いです。

このブログの著者
松本 照吾(Matsumoto, Shogo)
セキュリティ アシュアランス本部 本部長