ISMAP Customer PackageがAWS Artifactに追加されました。

セキュリティはAWS にとって、また多くのお客様にとって最優先事項となります。
AWS では、2021年3月に 日本の政府調達におけるクラウドサービスの評価制度である「政府情報システムのためのセキュリティ評価制度（Information system Security Management and Assessment Program: ISMAP（以下、ISMAPと表記）」に登録されました。本制度において最初から登録されたクラウドサービス事業者のうちの一つとなります。そして、このたび、AWS のコンプライアンスレポートにオンデマンドでアクセスできる無料のセルフサービスポータルであるAWS Artifact から、ISMAP Customer Package が入手できるようになりした。

ISMAP Customer Package は、日本語および英語にて提供されます。AWS のお客様、特に政府調達に関わる関係者の皆様や、ISMAP に登録を考えておられるAPN パートナーの皆様は、ISMAP Customer Package を通じて責任共有モデルおよびISMAP に基づくAWS とお客様自身の責任範囲の理解が容易になります。さらにはISMAP に限らずAWSのコンプライアンスを理解したいお客様に対しても様々な情報を提供するものとなりますので、ご活用いただければ幸いです。

ISMAPは日本の政府調達においてクラウドサービス事業者を評価するための仕組みとなります。クラウドサービス事業者は、制度の管理基準に基づく自らの責任範囲に対する言明および第三者の評価を通じて、実際に行われているセキュリティの管理策である統制に対する説明責任を果たします。ISMAP Customer Package は、ISMAPの管理基準に基づき、AWSが提供する様々な情報やAWS の責任範囲の概要、お客様が AWSの統制に依拠することが可能な統制、およびお客様の責任範囲に基づく実施事項の理解を手助けするものとなります。AWS の統制はISMAPの制度を通じ、評価を受けているものとなります。
ただし、お客様の統制、特にAWS 上にサービスを構築する場合に、たとえAWSがISMAPに認定されていても、お客様の責任範囲における統制はお客様が説明責任を果たす必要があります。クラウドサービス事業者としてISMAPの登録を考えているならISMAPの管理基準が対象、AWS上にシステムを構築するなら、関連する基準類に基づく対応が求められます。なお、ISMAPの管理基準は、情報処理推進機構  （Information-technology Promotion Agency, Japan: IPA）のISMAP Portalから適切な手続きに基づき、お客様自身が入手する必要があります。

ISMAP Customer Packageの入手は、AWS マネジメントコンソール上のAWS Artifactから行います。AWS Artifactの”View reports” より、”ISMAP Customer Package”　を検索すると日本語版および英語版が表示されますので、Artifact NDA に合意の上、ダウンロードしてください。

AWS にとって、多くのコンプライアンスプログラムを通じた認証や認定はゴールではなく、適切な説明責任を果たすことでお客様のコンプライアンスを支えることを目的とするものです。ISMAP Csutomer Package がお客様の適切なコンプライアンスの理解につながれば幸いです。

このブログの著者
松本　照吾（Matsumoto, Shogo）
セキュリティ アシュアランス本部 本部長