ISMAPとはどんな制度?取得メリットや登録申請の手順をわかりやすく解説
ISMAPは、政府機関や企業がクラウドサービスを安全に利用するための評価システムです。この制度により、クラウドサービス提供者は自社サービスの信頼性を示すことができ、利用者は安全なサービスを容易に選択できるようになります。
この記事では、ISMAPの概要、仕組み、必要性、利点、そしてISMAP登録の過程についてくわしく解説します。
ISMAPとは
ISMAPは「Information system Security Management and Assessment Program」の略称で、日本語では「政府情報システムのためのセキュリティ評価制度」と呼ばれており、「イスマップ」と発音します。この制度は2020年6月に開始されました。
ISMAPのおもな目的は、政府が定めるセキュリティ要件を満たすクラウドサービスを評価し、登録することです。これにより、政府機関が使用するクラウドサービスのセキュリティレベルを確保し、民間利用者も安全かつスムーズにクラウドを導入できるようになります。
クラウドサービス提供者にとって、ISMAP登録は競争力を高める要因となります。政府が設定した高水準のセキュリティ要件を満たしていると示すことで、自社サービスの信頼性の高さを公的に証明できるからです。
ISMAPに登録されたサービスは、「ISMAPクラウドサービスリスト」に掲載されます。このリストは一般公開されており、政府機関だけでなく民間企業も閲覧可能です。高いセキュリティ基準を満たしたクラウドサービスを探す際の参考になります。
【参考】内閣サイバーセキュリティセンター
ISMAPの仕組み
ISMAPを管理するのは「ISMAP運営委員会」です。この委員会は、次の4組織で構成されています。
- 総務省
- 経済産業省
- 内閣サイバーセキュリティセンター
- デジタル庁
ISMAP運営委員会のおもな役割は、クラウドサービスの情報セキュリティ管理・運用基準(ISMAP管理基準)を策定し、評価プロセスを確立することです。
ISMAP運営委員会は、第三者監査機関による監査を通じて、各クラウドサービスがこの基準を満たしているかを確認します。基準を満たしたサービスは「ISMAPクラウドサービスリスト」に登録され、政府機関等はこのリストから調達をおこないます。
ISMAPが必要な理由
ISMAPが必要になった背景には、政府のデジタル化推進があります。2018年6月、政府は「クラウド・バイ・デフォルト原則」を発表しました。これは、政府の情報システムを構築する際、まずクラウドサービスの利用を検討するという方針です。
しかし、クラウドサービスの利用拡大にともない、セキュリティリスクも増大します。そこで、安全性が確保されたクラウドサービスを効率よく選定・導入するための仕組みが必要となりました。ISMAPは、この課題に対応するために創設された制度です。
ISMAP-LIUとの違い
ISMAP-LIU(ISMAP for Low-Impact Use)は、ISMAPの派生版として位置づけられる制度です。
おもな違いとして、ISMAP-LIUはセキュリティリスクが比較的低い業務向けのSaaSサービスに特化しており、ISMAPよりも審査基準が簡素化されています。外部監査の範囲も、クラウドサービスの基盤や構成に重大な影響を与えるリスクに関連する管理策を主としています。
一方、ISMAPはより広範囲のクラウドサービス(IaaS、PaaS、SaaSすべて)を対象とし、より厳格な監査を実施します。
ISMAPがもたらすメリット
ISMAPは、クラウドサービスの提供者と利用者の双方に利点をもたらします。
ここでは、それぞれの立場からISMAPのメリットを紹介します。
なお、ISMAPに登録中のサービスには、
- SlackやZoomなどのビジネスコミュニケーションツール
- Microsoft Office 365やGoogle Workspace、Garoonといったグループウェア
- DropboxやBox、クリプト便といったファイル共有・転送サービス
- AWSやMicrosoft Azure、さくらのクラウドなど、IaaS型のクラウドインフラサービス
などが挙げられます。
クラウドサービス事業者のメリット
クラウドサービス事業者のメリットは、以下のとおりです。
- 信頼性の向上
- 競争優位性の獲得
- ビジネスチャンスの拡大
これらの利点は、クラウドサービス提供者の事業成長に貢献します。政府基準を満たすことで得られる信頼は、新規顧客の獲得や既存顧客との関係強化につながります。ISMAPリストへの掲載は競合他社との差別化にもなり、政府機関や民間企業から受注するチャンスにもなるでしょう。
クラウドサービス利用者のメリット
クラウドサービス利用者のメリットは、以下のとおりです。
- 安全性の確保
- クラウドサービス選定の効率化
- 社内承認プロセスの円滑化
クラウドサービス利用者は、セキュリティリスクを軽減しつつ、クラウドを最大限に活用できます。とくに中小企業にとっては、自社でセキュリティ評価をおこなう負担が軽減されるため、安全なクラウドサービスを導入するハードルが下がるでしょう。政府のお墨付きであるという安心感から、社内での承認を得やすくなることも期待できます。
ISMAP登録の流れ
クラウドサービス事業者がISMAP登録をおこなうまでの手順は、以下のステップで進められます。
ISAMP登録までの流れ
- 自社サービスが要件を満たしているか確認する
- 言明書の作成
- ISMAP監査機関に監査を依頼する
- ISMAP登録申請をおこなう
各ステップにおいて、「要件を満たしているか」「提出書類に不備がないか」など不安な点がある場合は、事前相談を活用することが推奨されています。ISMAPポータルサイト内のお問い合わせフォームを通じて依頼が可能です。それでは、各ステップの詳細について見ていきましょう。
1.自社サービスが要件を満たしているか確認する
ISMAP登録を目指すクラウドサービス提供者は、まず自社のサービスが政府の要求する要件を満たしているかを確認する必要があります。
政府が求める要件は、ISMAPの管理基準として定められており、以下の3つの基準から構成されています。
ISMAPの管理基準
| ISMAP基準 | 対象 | 概要 |
|---|---|---|
| ガバナンス基準 | 経営者向け | 組織の情報セキュリティ活動を指導・管理するシステムに関する基準 |
| マネジメント基準 | 管理者向け | 情報セキュリティマネジメントの確立、導入、運用、監視、維持及び改善に関する基準 |
| 管理策基準 | 業務実務者向け | 具体的な情報セキュリティ対策の実施に関する基準 |
【参考】総務省
ガバナンス基準では、情報セキュリティの目的及び戦略を事業目的に合わせて調整し、法制度、規制及び契約を遵守することが求められます。
マネジメント基準には、情報セキュリティマネジメントの確立から改善までの一連のプロセスが含まれ、すべて実施することが原則とされています。管理策基準では、情報セキュリティのための方針群の定義、承認、発行、通知、そして定期的なレビューなどが具体例として挙げられます。
2.言明書の作成
申請をする際には言明書を作成します。内容はサービス内容及びセキュリティリスク分析に基づいた統制目標の策定と管理策の整備・引用を行います。またISMAP管理基準に従い、ISMAPクラウドサービス登録規則の様式を使用します。
参考にする際はISMAP管理基準マニュアルや、ISMAPポータルサイトのFAQの内容も確認することで言明書作成を進めることができるでしょう。
作成する際は、言明の対象とするクラウドサービスに関するリスクアセスメントの結果に応じて、合理的な適用が不可能な統制目標を除く全ての統制目標を選択します。また、選択した統制目標を実現するために必要な詳細管理策も選択します。
| 目標設定の手順 | 内容 |
|---|---|
| 1.リスクの特定・分析 | クラウドサービス事業者は、言明の対象とするクラウドサービスに関するセキュリティリスク(実装構造、運用環境及びサービスの性質などに照らし想定されるリスク)を特定し分析。 |
| 2.統制目標の選択 | リスク分析を踏まえ、提供するサービスに必要な統制目標(3桁管理策)を全て選択します。なお、統制目標(3桁管理策)は、適用不可能な理由を合理的に説明できる場合のみ、非選択とすることが可能。 |
| 3.詳細管理策の選択 | 選択した統制目標を実現するための手段としての詳細管理策(4桁管理策)を選択。 |
| 4.個別管理策の策定 | 想定したリスクについて、詳細管理策(4桁管理策)の具体的対策としての個別管理策を実施した際に、実際に受容可能な水準までリスクが低減されるか、という観点に基づき必要な詳細管理策を選択する必要がある。 |
【参考】ISMAPポータルサイトFAQ
3.ISMAP監査機関に監査を依頼する
自社で要件を満たしていることが確認できたら、次のステップは外部監査機関に監査を依頼することです。ISMAPが監査を委託している機関は、ISMAP監査機関リストに掲載されています。
監査中に問題点が発見された場合、監査機関は事業者に対してヒアリングをします。問題の内容に応じて、複数回のやり取りが必要となる場合があるでしょう。
また、問題点が見つかった際には、監査機関により「改善計画書」が作成されます。この改善計画書に基づいて必要な対策を講じる必要がある場合があります。
4.ISMAP登録申請をおこなう
監査の結果により作成された改善計画書と、必要な申請文書を提出することで、ISMAPへの登録申請ができるようになります。
審査に必要な提出書類には、申請書、誓約書、資本関係及び役員等の情報、言明書などが含まれます。登録申請の手引きの「提出書類チェックリスト」から具体的な書類は確認できます。
また、監査結果に応じて問題点のヒアリング(Web会議形式)などをおこないながら進められるため、審査に時間がかかる場合もあるでしょう。
そして、監査結果や改善状況、技術的な審査、問題点の重大さなどを確認したうえで、以下のいずれかの判断が下されます。
- 登録:ISMAPへ直ちに登録・広く公開
- 登録留保:発見事項が軽微でない場合は再度監査の実施を要求する(猶予は1か月)
- 却下(再申請):登録が不適切だと判断される場合は、申請を却下
なお、文書提出後に不足があった場合には、期限付きで追加提出が求められます。そのため、速やかに対応することが重要です。
まとめ
ISMAPは政府のクラウドサービス調達における、セキュリティ水準確保のための制度です。ガバナンス、マネジメント、管理策の3層の基準で構成され、クラウドサービス提供者と利用者双方に利点をもたらします。
ISMAPは信頼性の高いクラウドサービスの選定と導入を効率化し、政府機関だけでなく民間企業のクラウド活用も促進します。クラウドサービスを提供する企業や利用を検討している組織にとって、ISMAPは重要な指標となるでしょう。
さくらのクラウドのISMAP登録について
「さくらのクラウド」もISMAPに登録しており、高水準のセキュリティで安心してご利用いただけます。ISMAPは信頼性の高いクラウドサービスの選定と導入を効率化し、政府機関だけでなく民間企業のクラウド活用も促進します。2021年12月20日にISMAPに登録された内容をさくらのクラウドニュースで掲載しています。詳しくはニュースをご覧ください。
クラウドセキュリティ
ISMAPと関連性が強いクラウドセキュリティとは、クラウドサービスを使用する際にクラウド環境上で発生しうる特有のリスクに対して実施するセキュリティ対策のことです。
クラウドセキュリティを強化し、セキュリティリスクを防止するためにはどのような対策をおこなう必要があるのでしょうか。次のページではクラウドを使うときに気をつけたい5つのセキュリティリスクやクラウドセキュリティを強化する7つの対策について解説します。
ガバメントクラウド
ガバメントクラウドとは、政府共通のクラウド基盤のことで、各府省や自治体でも同様に利用できるよう検討が進められています。ガバメントクラウドで用いられるクラウドサービスは、ISMAPの制度に基づいて安全性や信頼性が評価されることが前提となります。
さくらのクラウドチーム
コラムでは、さくらのクラウドに関連するビジネス向けの内容や、ITインフラ技術の説明などを掲載しています。
