ISMAPとは

2021年3月に、ISMAPという新しい制度が運用開始しました。
ここでは、ISMAPとはどういう制度なのか?他の情報セキュリティ認証などとどのように違うのか等を説明します。

目次
  1. ISMSPの概要
  2. ISMAPの管理基準
  3. 期待が高まり続けるISMAP

ISMAPの概要

日本語名称は、「政府情報システムのためのセキュリティ評価制度」です。
英訳の(Information system Security Management and Assessment Program)を略した通称として当該制度のことをISMAPと呼びます。

ISMAP [いすまっぷ]
Information system Security Management and Assessment Program

ISMAPは、政府機関のクラウドサービス調達のセキュリティレベルを担保し、クラウドサービスの円滑な導入を行えるようにすることを目的とした制度です。

具体的には、政府が求めるセキュリティ基準を満たしているクラウドサービスを予め評価・登録することで、セキュリティレベルの担保を行います。

同じようにクラウドサービスのセキュリティ認証の代表的なものとして「ISMSクラウドセキュリティ認証」という第三者認証が存在しています。

代表的な違いとしては、ISMSクラウドセキュリティ認証はISMS-ACという組織が管理する仕組みであり、国の制度などが背景にあるものではありません。
一方ISMAPは国の制度に基づき、ISMAP運営委員会という組織が管理を行っています。
その他の代表的な特徴は以下となります。

ISMAP ISMSクラウドセキュリティ認証
適用ルール ISMAP管理基準 JIS Q(ISO/IEC) 27001,27002,27017
対外的信頼性
  • 国際規格の管理策もカバーした仕組みを構築していることをアピールできる
  • 日本政府の求めるセキュリティ水準に対応していることをアピールできる
  • 国際規格の管理策が適切に導入、実施されていることをアピールできる
その他の特徴
  • 考慮する必要のある管理策の量が他の認証に比べ多い
  • 政府機関のクラウドサービス調達候補になる
  • ISMS+JIS Q(ISO/IEC) 27017の管理策への対応でOK
  • 政府機関のクラウドサービスの調達においては考慮されない

特徴にもある通り、今後政府機関にクラウドサービスを利用してもらうためにはISMAPに登録されていることが必須となります。

また、クラウドサービスに対して政府が示すセキュリティ水準であることから、地方自治体や民間企業などもセキュリティチェックに活用する可能性が高く、需要は増加傾向になることが想定されます。

ISMAP管理基準とは

前章でISMAPの適用ルールにおいて「ISMAP管理基準」というものをご説明しました。
ISMAP管理基準とは、ISMSにおける「JIS Q(ISO/IEC) 27001,27002」のようなものであり、ISMAPに対応するために考慮すべきルール群のイメージになります。

ISMAP管理基準は、ISMSクラウドセキュリティ認証で適用されている「JIS Q(ISO/IEC) 27001,27002,27017」を基礎とし、さらに政府の統一基準を満たすために不足している内容をSP800-53などのガイドラインから追加する形で構成されています。そのため、合計の項目数は1,000を超えています。

もう少し詳しくISMAP管理基準をご説明すると、大きく分けて3つの基準が存在し、それぞれには以下の特徴が存在します。

ガバナンス基準 マネジメント基準 管理策基準
項目数
  • 4桁管理策:18
  • 3桁管理策:21
  • 4桁管理策:64
  • 3桁管理策:21
  • 4桁管理策:1074
対象 経営陣 管理者 実務実施者
概要

セキュリティに関する意思決定や指示等を継続的に実施するための事項

例)方針の承認などに関する基準

的確にマネジメントを実施するための事項

例)リスク管理に関する基準

実際にセキュリティ対策を実施していることを確認するための事項

例)媒体の取扱いに関する基準
実施可否 原則すべて実施が必要 原則すべて実施が必要 3桁管理策、末尾にBが付く管理策は原則すべて実施が必要
その他は必要とする事項を選択

ISMAPでは3桁管理策のことを「統制目標」、4桁管理策のことを「詳細管理策」と呼びます。 それぞれは、達成すべき統制目標と、その統制目標達成のための具体的な方法としての詳細管理策という関係で成り立っています。

管理策基準において詳細管理策の選択が任意となっているのは、あくまでも満たすべきは統制目標の部分であり、詳細管理策はそのための方法群であるという考え方のためです。

期待が高まり続けるISMAP

政府は2018年に「クラウド・バイ・デフォルト原則」と呼ばれる、情報システムの導入時にはクラウドサービスを第一候補とする考え方を採用しました。
そして、そのクラウドサービス選定のセキュリティレベルを担保し、円滑に進めるためにISMAPが誕生しました。

今後政府のクラウドへのシフトはより顕著になることが想定されますが、その政府機関はISMAPに登録されているクラウドサービスの中からしか調達しないため、ISMAPへの登録することの重要性はより増大するでしょう。

また、ISMAP誕生の背景には、クラウドサービスに対して多くの民間企業が不安を持っていたことも挙げられます。
そのため、政府が管理をするISMAPに対しては政府機関のみならず多くの民間企業も期待をし、活用する可能性が高いです。

社会的なクラウド利用へのシフトと同時に発生するセキュリティレベル担保への期待に応えるためにもISMAPに対応していくことが望まれるでしょう。

まずは無料相談!
お気軽にご相談ください
ISMAP概要解説資料
ダウンロード(無料)
お問い合わせ/無料相談
お問い合わせフォーム
お電話でのお問い合わせもお待ちしております
TEL:03-5719-6234
受付: 10:00~18:00 ※土日祝日、年末年始は除く

ページの先頭へ戻る