この度、「Oracle Cloud Infrastructure(OCI)」が、「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program:ISMAP)」に登録されました。
ISMAPとは
ISMAPは、日本政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保と同時に、クラウドサービスの円滑な導入を目的とした制度です。
オラクルは、ISMAPで定められる情報セキュリティ対策の実施状況について、ISMAP登録監査機関による監査を受けました。その後、適合状況が確認されたことを示す監査報告書をもってOCIを登録申請し、審査を経てISMAPクラウドサービスリストに登録されました。
今回の登録は、クラウドサービスにおいてOCIが政府の求めるセキュリティ水準を満たすことを示すものとなります。今後、各政府機関のクラウドサービス調達は本制度において登録されたサービスから行われることが原則であるとされています。この登録の結果、ソフトウェアベンダーやシステムインテングレーターのお客様は、OCI上にソフトウェアやシステムを構築することで、各政府機関の調達条件を満たした安全・安心なクラウド型のサービスを広く提供することが可能になります。
ISMAPクラウドサービスリストへの登録は政府が定める厳正な審査基準を満たした証明になりますので、OCIを利用することで、公的機関にとどまらず民間企業・団体のお客様にもより高い信頼性をアピールすることができます。
また、ISMAPクラウドサービスリストへの登録を継続するには、定期的な再申請が必要であり、その際には厳格な監査が必要となります。この再申請の仕組みにより、クラウドサービスのセキュリティ品質を維持していく制度であることが大きな特徴といえます。
オラクルはISMAP制度に賛同し、今後も定期的に更新申請を行う予定です。これにより、変化が激しいクラウドサービスの安全性を継続的に証明し、お客様に安心してクラウドサービスを利用していただけると考えています。
登録内容
登録対象となるクラウドサービスは、Compute、Object Storge 等の基本的なサービスに加え、Exadataを利用したデータベースサービスを含む、OCIのサービスです。また対象となるリージョンは、東京リージョンおよび大阪リージョンです。
詳細についてはISMAPポータルサイトの、クラウドサービスリスト詳細をご参照ください。
今後について
オラクルは、今後もお客様のニーズに基づきサービスを追加登録していく予定です。
また、これまでもOCIは、独立した認定組織による厳格なテストの他に、ISO認証*、SOC監査**、PCI DSSのようなグローバル・コンプライアンス対応、FISC安全対策基準、3省ガイドライン、政府統一基準といった日本固有のコンプライアンス対応のように、外部機関による監査や各国の政府機関による認定も行われてきました。今後もオラクルはお客様のクラウド利用に際してセキュリティおよびコンプライアンスのニーズをより的確に満たせるよう、各種コンプライアンス対応やセキュリティ、コンプライアンスに関わるドキュメントの提供など、様々な支援を継続して行っていまいります。
* ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 等
** 米国公認会計士協会が規定するシステムと組織の内部統制基準(System and Organization Controls)