AWSの「政府情報システムのためのセキュリティ評価制度（ISMAP）」登録が更新されました。

Amazon Web Services（AWS）では、お客様の信頼を得て維持することが継続的な取り組みとなっています。お客様の業界のセキュリティ要件に応じて、コンプライアンスレポート、証明書、認証の範囲とポートフォリオを決定しています。 2022 年 4 月 1 日から 2023 年 3 月 31 日まで、AWS が「政府情報システムのためのセキュリティ評価制度（以下、ISMAP）」の下で更新されたことをお知らせいたします。

今回の登録範囲には、AWS アジアパシフィック（東京）リージョンと AWS アジアパシフィック（大阪）リージョンを含む 22 リージョンであり、 AWSサービスの22件追加された合計 145のAWSサービスが含まれます。 AWSは、2020 年 3 月に発行されて以来、ISMAP運営委員会によるISMAPへの認定を継続しております。

ISMAPは、パブリッククラウドサービスのセキュリティを評価する日本政府のプログラムです。ISMAPの目的は、政府調達のベースライン要件として、クラウドサービス事業者（CSP）が遵守すべき共通のセキュリティ基準を示すものとなります。

本制度では、CSPが実施しなければならないクラウド・ドメイン、プラクティス、およびプロシージャに関するセキュリティ要件を導入しています。CSPは、ISMAP登録事業者として申請するために、ISMAPが認定する第三者評価者である監査機関と契約し、セキュリティ要件への準拠を評価したうえで、日本政府のセキュリティ要件を満たした事業者として登録を行います。

ISMAPによるCSPの登録により、政府の調達部門や機関は、登録されたCSPとの連携を促進し、政府情報システムへのクラウドサービスの円滑な導入に貢献することができます。今回の更新は、日本政府が定めたコンプライアンス要件を満たし、安全なAWSのサービスをお客様に提供するために、AWSが積極的に取り組んできたことを示すものです。AWSを利用するサービスプロバイダーや顧客は、AWSサービスのISMAP認証を活用して、自社のISMAP認証プログラムをサポートすることができます。

ISMAPに登録されたAWSサービスの全リストは、AWS Services in Scope by Compliance Program で公開されております。

なお、ISMAPにおいて登録されるクラウドサービスはAmazon Web Servicesとなり、お客様はAmazon Web Services全体を登録を受けたクラウドサービスとして利用することが可能です。AWSは、今回の監査対象期間において評価されたAWSの各種サービスを登録しています。AWSは継続的にサービスのアップデート、追加を行い、お客様への価値を提供しています。本登録外のサービスにおいても、お客様は各サービスの開発者ガイド、他の第三者による監査レポートの確認などによるリスク評価の上、お客様が設計するサービスへの利用可否を判断することが可能です。

また、AWSをインフラストラクチャとしてISMAPへの登録を計画されているサービスプロバイダやお客様は、AWS Artifact よりISMAP Customer Package を利用することにより、責任共有モデルに基づくAWSの責任範囲とお客様の責任範囲、ISMAPにおいて求められている様々なAWSからの情報提供、機能提供の概要を確認することが出来ます。なお、今回の更新にともない、ISMAP Customer Packageの更新を予定しております。

なお、AWS の認可状況の確認や詳細なスコープ情報は、ISMAPポータルで確認することができます。

AWSでは、これまで同様、お客様のビジネスニーズに基づいて、新しいサービスやリージョンをISMAPプログラムの対象にしていくことをお約束します。AWS におけるISMAP 認証の概要については、ISMAPコンプライアンスページを参照してください。ご不明な点がございましたら、ご遠慮なくAWSアカウントマネージャーまでお問い合わせください。

本Blogは、竹内 英稔、Regional Audit Manager、および、松本 照吾、セキュリティ アシュアランス本部 本部長、により執筆いたしました。