ISMAPとISMSクラウドセキュリティ認証の違いは

認証の目的の違い

ISMAPとは

ISMAP(Information system Security Management and Assessment Program)とは、クラウドサービスの選定について政府が求める統一的なセキュリティの基準を作り、クラウドサービスの円滑な導入のために作られた制度です。

背景として、従来はクラウドサービスの導入に係る様々な方針やガイドライン等が存在しましたが、同じクラウドサービスに対して各政府機関等が独自に全てのセキュリティ要件を最初から確認することとなり、非効率な状態になっていました。

2018年6月により、政府調達において「クラウドバイデフォルト原則(クラウドを積極的に使っていく方針)」が採用され、クラウドサービスについてセキュリティ評価制度を検討を始めたのが発端です。今後、各政府機関はISMAPによって選定された「登録簿」に掲載されたクラウドサービスから調達していくことになります。

ISMSクラウドセキュリティ認証とは

一方、ISMSクラウドセキュリティ認証は、クラウドサービスの提供や利用に対して適用されるクラウドセキュリティに関する第三者認証です。

ISMSクラウドセキュリティ認証は、ISMSとして知られるJIS Q 27001に基づくISMS認証のアドオン認証(ISMSに加えて、JIS Q 27017に基づくセキュリティ対策を「つけ加える」というイメージ)として位置づけられています。

クラウドセキュリティに関する国際規格であり、世界的にもGoogleやAmazonなどのIT企業が取得しています。ISMSクラウドセキュリティ認証を取得することで、自社が運用するクラウドサービスの安全性を示すことができます。

ISMAPはどうやってできたのか

ISMAPは、米国のセキュリティ基準を参考に作成している

米国での政府機関向けクラウドセキュリティ基準として「FedRAMP」(Federal Risk and Authorization Management Program)というガイドラインがあり、ISMAPはこの日本版とも言えます。

FedRAMPとISMAPの違いは、FedRAMPでは管理基準を複数のレベルで設定されていますが、ISMAPでは1つのレベルでしか設定されておりません。今後、他のレベルについての管理基準についても検討されていくことになる予定とのことです。

ISMAPとJIS Q 27017の関係

ISMAPの参照元となった内容は、JIS規格(JIS Q 27001、JIS Q 27002、JIS Q 27014、JIS Q 27017)、NISC(内閣セキュリティセンター)の政府機関等の情報セキュリティ対策のための統一基準、NIST SP800-53 rev.4です。

つまり、ISMAP管理基準においてJIS Q 27017でクラウドサービス提供事業者に求められる管理策も含まれているということになります。

審査制度の違い

ISMAP

ISMAPは監査法人が監査を行います。監査を実施できる監査機関は「ISMAP監査機関リスト」に登録されている機関のみです。

クラウドサービス事業者は、外部監査後、独立行政法人情報処理推進機構(IPA)に対してサービス登録申請を行い、審査を受けます。IPAが、登録が妥当と判断すれば、審査結果・監査結果を報告し、ISMAP運営委員会がISMAPクラウドサービスリストに登録します。

ISMSクラウドセキュリティ認証

ISMSクラウドセキュリティ認証については、日本では「ISMS-AC」という認定機関が審査機関の監督を行っており、その下で審査機関が審査を行っています。
(昔は「JIPDEC」でしたが、一部組織が独立して「ISMS-AC」と呼ばれるようになりました。)
そのため、ISMAPとISMSクラウドセキュリティ認証では、認定機関・審査機関の両者についても機関が異なります。

有効期限の違い

ISMAP

クラウドサービスリストの登録有効期限は、登録の対象となった監査の対象期間の末日の翌日から1年4ヶ月後です。そのため、クラウドサービス事業者は登録の有効期限までに、登録の更新を申請しなければなりません。

ISMAPの審査を受けるには、「申請書」が必要になり、これらをISMAP運用支援機関(IPA)に提出します。

下記のページから提出書類チェックリストと共にダウンロードできます。
ISMAP -【クラウドサービス事業者様向け】各種お手続きについて

具体的な書類として、例えば「言明書」「経営者確認書」「実施結果報告書」「改善計画書」などが挙げられます。

また、この申請書類に記載した内容が登録時に公開されますので、それらを前提に書類を作成する必要があります。

ISMSクラウドセキュリティ認証

ISMSの審査では再認証審査が3年に1度、維持審査が毎年行われます。また、アドオン認証であるISMSクラウドセキュリティ認証もISMSと合わせて審査が行われるため、クラウドサービス提供事業者は毎年仕組みの見直しをする必要があります。

ISMAP認証が向いている企業

地方自治体や政府向けにサービスを開発、運用を行っている事業者地方自治体や政府向けにサービスを開発、運用を行っている事業者が向いているでしょう。

また、ISMAPは政府向けクラウドサービスのお墨付きともいえるので、取引先・顧客からも高い信用を得られる認証なのではないでしょうか。現段階で、10事業者ほどすでにISMAPの認証を持っています。

下記のページでリスト化されていますので、ご参照ください。
ISMAP – ISMAPクラウドサービスリスト

終わりに

ISMAPとISMSクラウドセキュリティ認証の違いについてご紹介してきました。
ISMAPは、政府機関へ向けたクラウドサービスを提供している事業者向けとなります。

LRMではISMAPクラウドサービスリストへの登録に向けたご支援をしておりますので、ISMAP対応に関してご不明点ございましたら、ぜひ問い合わせください。

まずは無料相談!
お気軽にご相談ください
ISMAP概要解説資料
お問い合わせ/無料相談
お電話でのお問い合わせもお待ちしております
TEL:03-5719-6234
受付: 10:00~18:00 ※土日祝日、年末年始は除く

ページの先頭へ戻る