ISMAPとは?概要や背景、基本の仕組み、必要な準備などを解説

この記事は約7分で読めます。

クラウドの普及速度において、日本は海外に比べて遅れを取っているといえる状況です。
この状況を招いた原因の一つとして、セキュリティなどに関して評価する制度作りの遅れがあります。
GAFAをはじめとしたクラウドを支えるベンダーの多くが海外発であることもその一つの現れといえるかもしれません。 

しかし、そのような状況を打破すべく、日本の政府で利用するクラウドサービスに必要な要件を定める評価制度が制定されました。
それがISMAP(イスマップ)です。 

ISMAPは今後、政府にクラウドサービスが利用される場合の基準となるものです。
そして、そこだけに留まらず官公庁や一般企業のクラウドサービス適用基準としても利用されると目されています。 

本記事では、そんなISMAPについて概要から施行の背景、基本的な仕組み、クラウド事業者がISMAPに認定されるための準備について記載します。

LRMでは、ISMAP登録支援コンサルティングサービスを行っています。訪問回数無制限、チームによるご支援体制など、安心してお任せください。

まずはお気軽にこちらから無料相談/お問い合わせください。

ISMAPとは

ISMAPは日本政府によるクラウドサービスのセキュリティ評価を行う制度です。

政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 通称、ISMAP(イスマップ))は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。

ISMAP運営委員会「ISMAP概要」より

​運営者は内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省です。
独立行政法人情報処理推進機構(IPA)が制度運用に係る実務と評価への技術的な支援を行います。 

ISMAPでは、クラウドサービスを監査機関に登録依頼し、規程に基づいていることが認められた場合にはISMAPクラウドサービスリストへ登録します。
このリストは一般に公開されており、政府だけでなく官公庁や民間企業もクラウドサービスのセキュリティが評価されていることを確認できる仕組みとなっています

ISMAPが施行される背景

2018年6月、政府情報システムを整備する際にはクラウドサービスを第一候補とする「クラウド・バイ・デフォルト原則」が示されました。
各府省情報化統括責任者(CIO)連絡会議決定における「政府情報システムにおけるクラウドサービスの利用に係る基本方針」として提案されており、日本政府においてもクラウドサービスを全面的に利用することに舵を切ったものです。 

​しかし、この時点では日本は国家としてクラウドサービスの安全性を評価・認定する仕組みが存在していませんでした。
クラウドサービスの利用においては、セキュリティ面でのリスクが伴います。
特に政府情報システムにおいて扱われる情報は、機密情報や個人情報なども含まれるため安全性の確保が必要です。これを受けて評価・認定制度を策定することとなり、施行されたのがISMAPです。

ISMAPの基本的な仕組み

ISMAPでは、以下を含む規程が運営委員会により定められています。

  • クラウドサービス登録申請者に対する要求事項
  • 情報セキュリティ管理・運用の基準となる管理基準
  • 監査機関登録申請者に対する要求事項

​クラウドサービスをISMAPクラウドサービスリストに登録するためには、上記の要求事項、管理基準を満たす必要があります。 

このISMAPクラウドサービスリストへサービスを登録する流れは下記となります。​

  1. クラウドサービス事業者がISMAPへサービスの登録を望む場合、ISMAP監査機関リストより監査機関を探し、監査を依頼します。
  2. ISMAP監査機関は管理基準に基づいた情報セキュリティ対策の実施状況について監査を行います。
  3. ISMAP運営委員会は、監査されたクラウドサービス事業者からの申請を受けて、クラウドサービス登録申請者に対する要求事項への適合状況を審査します。登録が妥当と判断されたクラウドサービスがISMAPクラウドサービスリストに登録されます。

このISMAPクラウドサービスリストは調達府省庁等に参照され、ISMAP運用開始後は掲載されているクラウドサービスの中から調達が行われます。

ISMAP施行によって政府情報システムの調達はどう変わるか

​2021年3月にISMAPの運用が開始しており、原則としてISMAPクラウドサービスリストに登録されたサービスから、政府の情報システムの調達が行われるように変わっています。

つまり、政府の情報システムにクラウドサービスが選定されるには、ISMAPクラウドサービスリストへ登録されることが必須となります。 

またISMAPクラウドサービスリストは一般に公開されています
ISMAPへの登録は上記の通り、監査や審査といったプロセスを経てサービスのセキュリティが評価されたことを示すものです。
政府だけに限定されず、官公庁や民間企業がクラウドサービスの選定を行う際にも基準や参考として活用されると考えられます。​

ISMAPに認定されるには

ISMAPクラウドサービスリストへ登録されるためには、クラウドサービス事業者は以下のような準備が必要となります。

適用範囲の検討・方針の決定

ISMAP登録を目指すサービスの範囲を決定し、スケジュールの作成取り組みの基本方針を決定していきます。​ 

リスクアセスメント

情報資産の特定、リスク分析を行います。
洗い出されたリスクに対し、ISMAPで定められた要求事項と基準を満たすべく、統制目標と個別管理策を設計します。

文書の作成

必要な規程書類を作成します。

対策の実施

対策の実施を行い、その成果の状況を確認します。

内部監査の実施

ISMAP監査機関による監査の実施の前に、クラウドサービス事業者やその支援サービス提供者による内部監査を行います。
内部監査の実施は任意ですが、実際の監査を行う前に対策や状況を確認するために重要です。

監査機関の決定・契約の締結・監査

ISMAP監査機関から監査を行う機関を選択し、契約を締結、監査を実施します。

IPAへサービス登録申請

監査の結果など、ISMAPへの登録申請時必要となる書類を用意し、IPAへ登録申請を行います。

LRMのISMAP登録支援コンサルティングサービス

クラウドサービス事業を行ううえで、ISMAPに登録されることは大きなメリットを持ちます。
政府の情報システムの調達元のリストに名を連ねるだけでなく、セキュリティ評価に関してお墨付きをもらえる仕組みでもあるからです。
クラウドサービス事業者からすれば、ISMAPに登録することで官公庁や民間企業に対してもセキュリティに関する評価を保証することができる仕組みでもあります。 

しかし、ISMAPへの認定にはセキュリティ対策の立案、実施、そして書類作成と監査などの手続きが必要となります
クラウドサービス事業者にとっても、認定のための取り組みを一から行うことは大きな負担となってしまいます。 

そのような場合に活用できるのが、LRM株式会社の提供するISMAP登録支援コンサルティングサービスです。
クラウドセキュリティに関して豊富な知見を持つコンサルタントが、ISMAP登録までのサポートを行います。
訪問回数無制限、書類の作成はコンサルタントが実施、チームによる安心できる支援体制という特色を持ちます。 

まとめ

ISMAPは日本政府によるクラウドサービス事業者のセキュリティ評価を行う制度です。 

直接的には、ISMAPの要件を満たし監査を通ることでISMAPクラウドサービスリストに登録されると、政府の情報システムの調達先の選択肢となることができます。
またこのリストは一般公開されているため、官公庁や民間企業などのクラウドサービス選定の基準としても重要となることが想定されています。 

ISMAPに登録されるには、要求基準を満たしたセキュリティ対策、管理が必要となるため、支援コンサルティングサービスを利用することも検討ください。

情報セキュリティ対策認証取得を目指す組織体制・ルールの構築リスクマネジメント
タイトルとURLをコピーしました