1. はじめに
日本国内におけるクラウド利用は急速に拡大しており、政府・自治体・民間企業問わず導入が進んでいます。一方で、設定不備やアクセス制御の不備などクラウド特有のリスクが存在し、サイバー攻撃の標的となりやすい点が課題となっています。クラウドがビジネスインフラの中核を担う現在、クラウドサービスプロバイダ(CSP)には高度なセキュリティ責任が求められます。CSPとしてセキュリティ水準を維持し、信頼あるサービスを提供するには、継続的な監査と統制基準の整備が不可欠です。その第一歩が、政府情報システムにおけるセキュリティ認証制度である「ISMAP(Information system Security Management and Assessment Program)」の取得であり、政府案件への参入を強力に後押しする基盤となります。
本稿では、クラウドセキュリティを巡る現状と傾向、ISMAP取得における実務上の課題について考察します。
2. なぜクラウドシステムがサイバー攻撃の標的になりやすいのか
クラウド環境は、その構造的特性から攻撃者にとって魅力的な標的です。常時インターネットに接続されているクラウドは、外部からのアクセスが可能であり、侵入の機会が多く存在します。また、昨今、業務システムや顧客情報がクラウドに集中する傾向が強まっており、結果として、攻撃成功時の影響が甚大であることから、専門家の間ではクラウドを標的とした攻撃の増加が懸念されています。1)
1) Fortinet, Inc.「2025年のサイバー脅威予測 FortiGuard Labsによる年次予測」(https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/ja_jp/report-threat-prediction-2025.pdf)(閲覧日:2025/8/15)「クラウドを標的にするサイバー攻撃が増加」を参考に記載
クラウド環境に潜む脆弱性も深刻です。設定不備やアクセス制御の不備によるインシデントが依然として多い中、ゼロデイ攻撃やAIを活用した自動化攻撃の増加により、未知の脅威にもさらされています。その一因として、クラウド環境特有の事情(下図)が、監視の困難さ、攻撃検知の遅延を招いていると考えられます。
このような背景から、Cloud Security Alliance(CSA)による「Top Threats to Cloud Computing 2024」では、クラウド環境における脅威が繰り返し警告されています(下図)。実際、企業の86%がSaaSセキュリティを最優先課題と認識しているとの調査結果も報告されています(下グラフ)。
3. クラウド設定不備による情報漏えいとCSPの責任
国内においても、クラウド設定不備に起因する情報漏えい事例が複数報告されています。
設定不備という点では、クラウド利用者側に一定の責任はあると考えられるものの、クラウドサービスをセキュアに利用するためには、CSPと利用者がそれぞれの立場で責任を果たす必要があります。CSPによる設計や支援体制のあり方が、インシデントの発生や影響の大きさに関与するものとして、注目されています。CSPには、より安全な初期設定の提供、誤設定を防ぐ仕組み、適切な監視機能など、インシデントを防ぎ、安心して利用できるサービス環境を整えることが求められているのです。2) 3) 4)
2) 総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)(2021年9月)別紙2」(https://www.soumu.go.jp/main_content/000771515.pdf)(閲覧日:2025/8/15)「Ⅰ.6.1. SaaS における管理と責任共有」を参考に記載
3) 内閣官房国家サイバー統括室「クラウドを利用したシステム運用に関するガイダンス(令和5年7月1日)」(https://www.nisc.go.jp/pdf/policy/infra/cloud_guidance.pdf)(閲覧日:2025/8/15)「3.2. クラウド事業者における『責任共有モデル』」を参考に記載
4) IPA「クラウドサービスのサプライチェーンリスクマネジメント調査」(https://www.ipa.go.jp/security/reports/economics/scrm/ug65p90000019cza-att/000096929.pdf)(閲覧日:2025/8/15)「3.1.1. インシデント及び脆弱性情報の整理」を参考に記載
4. クラウドセキュリティに係る政府の施策とISMAP
政府は、2018年の「クラウド・バイ・デフォルト原則」策定以降、クラウドサービスの活用を積極的に推進してきました。そのような中、クラウドを利用した政府調達システムにおいて障害や情報漏えいが発生すると、国家レベルの業務遂行に甚大な影響を与えかねません。こうしたリスクへの対応として、経済産業省と総務省は、クラウドサービスの安全性を評価する制度的枠組みの必要性について議論を重ね、2020年、ISMAPが制定されました。
ISMAPは、各省庁が個別にセキュリティ評価を行う負担を軽減し、統一的な基準でクラウドサービスを選定できるようにすることで、政府全体のクラウド移行を安全かつ効率的に支える制度として位置づけられています。
5. ISMAP取得による効果
ISMAPは、政府情報システム向けクラウドサービスのセキュリティ水準を満たすことを客観的に証明する手段です。ISMAP遵守はクラウドガバナンスの強化に直結するため、クラウドサービスの安全性が向上します。結果として、政府案件受注に有利となるばかりでなく、政府の情報セキュリティ基準を満たしていることが認められるため、市場における競争優位性の確保につながります。
6. ISMAP取得に伴う困難
同じセキュリティ認証ということで、ISMS(情報セキュリティマネジメントシステム)取得のイメージを持たれるかもしれませんが、ISMAP取得には、ISMSとは異なる困難が伴います。まず、取得までの期間が長期化する傾向があり、準備から申請、審査、認定までに1年以上を要するケースもあります。次に、監査手法と手続きが複雑であり、評価項目が膨大である点が挙げられます。ISMAPでは、クラウドサービスの提供形態、運用体制、セキュリティ対策の詳細に至るまで厳格な審査が行われるため、内部体制の整備と文書化が不可欠です。さらに、対応可能な監査機関が限定されていることも課題です。ISMAPの審査を実施できる第三者評価機関は限られており、申請の集中による審査待ちが発生する可能性もあります。以下は、ISMSとISMAPの取得に関する比較表です。
このように、ISMAPの取得には、人的・技術的リソースの確保と相応の準備期間が必要となるため、取得を目指している企業は可能な限り、早めに着手することが望まれます。
5. 終わりに
クラウドガバナンスの強化を目指すCSPにとって、ISMAP取得は単なる制度対応にとどまらず、信頼性の高いクラウド事業者としての地位を確立するための重要なステップです。取得には十分な準備と体制整備が求められますが、それを乗り越えることで、政府案件をはじめとした市場への参入において確かな競争力を得られるでしょう。疑問点や課題を解消するには、早期に専門家へ相談し、計画的に対応を進めることを推奨します。
三優監査法人は、ISMAP監査機関リストに登録されています。ISMAP取得についてのお問い合わせは、下記よりお願い申し上げます。
Contact Us - BDO
日本国内におけるクラウド利用は急速に拡大しており、政府・自治体・民間企業問わず導入が進んでいます。一方で、設定不備やアクセス制御の不備などクラウド特有のリスクが存在し、サイバー攻撃の標的となりやすい点が課題となっています。クラウドがビジネスインフラの中核を担う現在、クラウドサービスプロバイダ(CSP)には高度なセキュリティ責任が求められます。CSPとしてセキュリティ水準を維持し、信頼あるサービスを提供するには、継続的な監査と統制基準の整備が不可欠です。その第一歩が、政府情報システムにおけるセキュリティ認証制度である「ISMAP(Information system Security Management and Assessment Program)」の取得であり、政府案件への参入を強力に後押しする基盤となります。
本稿では、クラウドセキュリティを巡る現状と傾向、ISMAP取得における実務上の課題について考察します。
2. なぜクラウドシステムがサイバー攻撃の標的になりやすいのか
クラウド環境は、その構造的特性から攻撃者にとって魅力的な標的です。常時インターネットに接続されているクラウドは、外部からのアクセスが可能であり、侵入の機会が多く存在します。また、昨今、業務システムや顧客情報がクラウドに集中する傾向が強まっており、結果として、攻撃成功時の影響が甚大であることから、専門家の間ではクラウドを標的とした攻撃の増加が懸念されています。1)
1) Fortinet, Inc.「2025年のサイバー脅威予測 FortiGuard Labsによる年次予測」(https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/ja_jp/report-threat-prediction-2025.pdf)(閲覧日:2025/8/15)「クラウドを標的にするサイバー攻撃が増加」を参考に記載
クラウド環境に潜む脆弱性も深刻です。設定不備やアクセス制御の不備によるインシデントが依然として多い中、ゼロデイ攻撃やAIを活用した自動化攻撃の増加により、未知の脅威にもさらされています。その一因として、クラウド環境特有の事情(下図)が、監視の困難さ、攻撃検知の遅延を招いていると考えられます。
このような背景から、Cloud Security Alliance(CSA)による「Top Threats to Cloud Computing 2024」では、クラウド環境における脅威が繰り返し警告されています(下図)。実際、企業の86%がSaaSセキュリティを最優先課題と認識しているとの調査結果も報告されています(下グラフ)。
3. クラウド設定不備による情報漏えいとCSPの責任
国内においても、クラウド設定不備に起因する情報漏えい事例が複数報告されています。
- 製造業関連会社の事例(2023年):クラウドのアクセス制御設定不備により、約215万人分の顧客情報が2013年から2023年までの約10年間にわたり閲覧可能な状態となっていた。
- 情報通信企業の事例(2023年):クラウドストレージのファイル公開設定不備により、個人情報含む約93万5千人分のファイルが2017年から2023年までの6年以上にわたり外部から閲覧可能な状態になっていた。
設定不備という点では、クラウド利用者側に一定の責任はあると考えられるものの、クラウドサービスをセキュアに利用するためには、CSPと利用者がそれぞれの立場で責任を果たす必要があります。CSPによる設計や支援体制のあり方が、インシデントの発生や影響の大きさに関与するものとして、注目されています。CSPには、より安全な初期設定の提供、誤設定を防ぐ仕組み、適切な監視機能など、インシデントを防ぎ、安心して利用できるサービス環境を整えることが求められているのです。2) 3) 4)
2) 総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)(2021年9月)別紙2」(https://www.soumu.go.jp/main_content/000771515.pdf)(閲覧日:2025/8/15)「Ⅰ.6.1. SaaS における管理と責任共有」を参考に記載
3) 内閣官房国家サイバー統括室「クラウドを利用したシステム運用に関するガイダンス(令和5年7月1日)」(https://www.nisc.go.jp/pdf/policy/infra/cloud_guidance.pdf)(閲覧日:2025/8/15)「3.2. クラウド事業者における『責任共有モデル』」を参考に記載
4) IPA「クラウドサービスのサプライチェーンリスクマネジメント調査」(https://www.ipa.go.jp/security/reports/economics/scrm/ug65p90000019cza-att/000096929.pdf)(閲覧日:2025/8/15)「3.1.1. インシデント及び脆弱性情報の整理」を参考に記載
4. クラウドセキュリティに係る政府の施策とISMAP
政府は、2018年の「クラウド・バイ・デフォルト原則」策定以降、クラウドサービスの活用を積極的に推進してきました。そのような中、クラウドを利用した政府調達システムにおいて障害や情報漏えいが発生すると、国家レベルの業務遂行に甚大な影響を与えかねません。こうしたリスクへの対応として、経済産業省と総務省は、クラウドサービスの安全性を評価する制度的枠組みの必要性について議論を重ね、2020年、ISMAPが制定されました。
ISMAPは、各省庁が個別にセキュリティ評価を行う負担を軽減し、統一的な基準でクラウドサービスを選定できるようにすることで、政府全体のクラウド移行を安全かつ効率的に支える制度として位置づけられています。
5. ISMAP取得による効果
ISMAPは、政府情報システム向けクラウドサービスのセキュリティ水準を満たすことを客観的に証明する手段です。ISMAP遵守はクラウドガバナンスの強化に直結するため、クラウドサービスの安全性が向上します。結果として、政府案件受注に有利となるばかりでなく、政府の情報セキュリティ基準を満たしていることが認められるため、市場における競争優位性の確保につながります。
6. ISMAP取得に伴う困難
同じセキュリティ認証ということで、ISMS(情報セキュリティマネジメントシステム)取得のイメージを持たれるかもしれませんが、ISMAP取得には、ISMSとは異なる困難が伴います。まず、取得までの期間が長期化する傾向があり、準備から申請、審査、認定までに1年以上を要するケースもあります。次に、監査手法と手続きが複雑であり、評価項目が膨大である点が挙げられます。ISMAPでは、クラウドサービスの提供形態、運用体制、セキュリティ対策の詳細に至るまで厳格な審査が行われるため、内部体制の整備と文書化が不可欠です。さらに、対応可能な監査機関が限定されていることも課題です。ISMAPの審査を実施できる第三者評価機関は限られており、申請の集中による審査待ちが発生する可能性もあります。以下は、ISMSとISMAPの取得に関する比較表です。
このように、ISMAPの取得には、人的・技術的リソースの確保と相応の準備期間が必要となるため、取得を目指している企業は可能な限り、早めに着手することが望まれます。
5. 終わりに
クラウドガバナンスの強化を目指すCSPにとって、ISMAP取得は単なる制度対応にとどまらず、信頼性の高いクラウド事業者としての地位を確立するための重要なステップです。取得には十分な準備と体制整備が求められますが、それを乗り越えることで、政府案件をはじめとした市場への参入において確かな競争力を得られるでしょう。疑問点や課題を解消するには、早期に専門家へ相談し、計画的に対応を進めることを推奨します。
三優監査法人は、ISMAP監査機関リストに登録されています。ISMAP取得についてのお問い合わせは、下記よりお願い申し上げます。
Contact Us - BDO
以上