ISMAPとはどんな制度？取得メリットや登録申請の手順をわかりやすく解説

ISMAPは、政府機関や企業がクラウドサービスを安全に利用するための評価システムです。この制度により、クラウドサービス提供者は自社サービスの信頼性を示すことができ、利用者は安全なサービスを容易に選択できるようになります。

この記事では、ISMAPの基礎知識から具体的な利点までくわしく解説します。

ISMAPとは

ISMAP（Information system Security Management and AssessmentProgram）は政府情報システムにおけるクラウドサービスのセキュリティ評価制度です。
正式名称は「政府情報システムのためのセキュリティ評価制度」で、「イスマップ」と発音します。この制度は2020年1月に制度設計が決定し、同年6月より運用が開始されました。

ISMAPのおもな目的は、政府が定めるセキュリティ要件を満たすクラウドサービスを評価し、登録することです。これにより、政府機関が使用するクラウドサービスのセキュリティレベルを確保し、民間利用者も安全かつスムーズにクラウドを導入できるようになります。

クラウドサービス提供者にとって、ISMAP登録は競争力を高める要因となります。政府が設定した高水準のセキュリティ要件を満たしていると示すことで、自社サービスの信頼性の高さを公的に証明できるからです。

ISMAPクラウドサービスリストは2021年3月に初めて公開され、現在も定期的に更新されています。

【公開元】ISMAP運営委員会

このリストは一般公開されており、政府機関だけでなく民間企業も閲覧可能です。リストに掲載されることで、政府調達案件への参入が可能となり、高いセキュリティ基準を満たしたクラウドサービスを探す際の参考になります。

【参考】国家サイバー統括室　※旧：内閣サイバーセキュリティセンター（NISC）

ISMAPの仕組み

ISMAPは、以下の4省庁が所管しています。

• 総務省
• 経済産業省
• 国家サイバー統括室　※旧：内閣サイバーセキュリティセンター（NISC）
• デジタル庁

また、本制度の最高意思決定機関として、有識者および所管省庁を構成員とする「制度運営委員会」が設置されています。制度の事務局はNISCに置かれており、制度の実務運営を担っています。
制度運営委員会の主な役割は、クラウドサービスの情報セキュリティ管理・運用基準（ISMAP管理基準）の策定や、評価・登録プロセスの整備などです。

制度の基本的な枠組み

ISMAP運営委員会は、第三者監査機関による監査を通じて、各クラウドサービスがこの基準を満たしているかを確認します。基準を満たしたサービスは「ISMAPクラウドサービスリスト」に登録され、政府機関等はこのリストから調達をおこないます。

ISMAPが必要な理由

ISMAPが必要になった背景には、政府によるデジタル化推進があります。2018年6月、政府は「クラウド・バイ・デフォルト原則」を発表しました。これは、政府の情報システムを構築する際、まずクラウドサービスの利用を検討するという方針です。

しかし、クラウドサービスの利用拡大にともない、セキュリティリスクも増大します。そこで、安全性が確保されたクラウドサービスを効率よく選定・導入するための仕組みが必要となりました。ISMAPは、この課題に対応するために創設された制度で、クラウドサービスのセキュリティ評価基準を統一し、政府機関や独立行政法人などの調達プロセスを効率化・安全化することを目的としています。

ISMAP-LIUとの違い

ISMAP-LIU（ISMAP for Low-Impact Use）は、ISMAPとは別に設けられた制度です。

おもな違いとして、ISMAP-LIUは2022年11月に運用が開始され、機密性2以下の情報を扱う低リスク業務向けのSaaSサービスに特化しており、ISMAPよりも評価項目や監査手続きが簡素化されています。これにより、中小規模サービスや特定用途SaaSも政府調達対象として登録しやすくなりました。
外部監査の範囲も、クラウドサービスの基盤や構成に重大な影響を与えるリスクに関連する管理策を主としています。

一方、ISMAPはより広範囲のクラウドサービス（IaaS、PaaS、SaaSすべて）を対象とし、より厳格な監査を実施します。

ISMAPがもたらすメリット

ISMAPは、クラウドサービスの提供者と利用者の双方に利点をもたらします。
ここでは、それぞれの立場からISMAPのメリットを紹介します。
なお、ISMAPに登録中のサービスには、

• SlackやZoomなどのビジネスコミュニケーションツール
• Microsoft Office 365やGoogle Workspace、Garoonといったグループウェア
• DropboxやBox、クリプト便といったファイル共有・転送サービス
• AWSやMicrosoft Azure、さくらのクラウドなど、IaaS型のクラウドインフラサービス

などが挙げられます。

クラウドサービス事業者のメリット

クラウドサービス事業者のメリットは、以下のとおりです。

• 政府・自治体案件への参加が可能となる
• 第三者監査に基づくセキュリティレベルの可視化
• 顧客・取引先への信頼性向上（客観的エビデンスの提示）

これらの利点は、クラウドサービス提供者の事業成長に貢献します。政府基準を満たすことで得られる信頼は、新規顧客の獲得や既存顧客との関係強化につながります。ISMAPへの登録は競合他社との差別化にもなり、政府機関や民間企業から受注するチャンスになるでしょう。

クラウドサービス利用者のメリット

クラウドサービス利用者のメリットは、以下のとおりです。

• 安全性の確保
• クラウドサービス選定の効率化
• 社内承認プロセスの円滑化

クラウドサービス利用者は、セキュリティリスクを軽減しつつ、クラウドを最大限に活用できます。とくに中小企業にとっては、自社でセキュリティ評価をおこなう負担が軽減されるため、安全なクラウドサービスを導入するハードルが下がるでしょう。政府のお墨付きであるという安心感から、社内での承認を得やすくなることも期待できます。

ISMAP登録の流れ

ISMAP登録は「認証」ではなく「登録制度」です。ISMAPに登録を希望するクラウドサービス提供者（CSP）は、以下の手順で申請を行います。

1. 自社サービスが要件を満たしているか確認する
2. 言明書の作成
3. ISMAP監査機関に監査を依頼する
4. ISMAP登録申請をおこなう

各ステップにおいて、「要件を満たしているか」「提出書類に不備がないか」など不安な点がある場合は、事前相談を活用することが推奨されています。ISMAPポータルサイト内のお問い合わせフォームを通じて依頼が可能です。それでは、各ステップの詳細について見ていきましょう。

1. 自社サービスが要件を満たしているか確認する

ISMAP登録を目指すクラウドサービス提供者は、まず自社のサービスが政府の要求する要件を満たしているかを確認する必要があります。
政府が求める要件は、ISMAPの管理基準として定められており、以下の3つの基準から構成されており、管理基準に基づいて、対象となるサービス範囲と管理策を整理します。

ISMAPの管理基準

ISMAP基準	対象	概要
ガバナンス基準	経営者向け	組織の情報セキュリティ活動を指導・管理するシステムに関する基準
マネジメント基準	管理者向け	情報セキュリティマネジメントの確立、導入、運用、監視、維持及び改善に関する基準
管理策基準	業務実務者向け	具体的な情報セキュリティ対策の実施に関する基準

【参考】総務省

ガバナンス基準では、情報セキュリティの目的及び戦略を事業目的に合わせて調整し、法制度、規制及び契約を遵守することが求められます。

マネジメント基準には、情報セキュリティマネジメントの確立から改善までの一連のプロセスが含まれ、すべて実施することが原則とされています。管理策基準では、情報セキュリティのための方針群の定義、承認、発行、通知、そして定期的なレビューなどが具体例として挙げられます。

2. 言明書の作成

申請をする際には、管理基準を満たしている旨を示す言明書を作成します。内容はサービス内容及びセキュリティリスク分析に基づいた統制目標の策定と管理策の整備・引用を行います。またISMAP管理基準に従い、ISMAPクラウドサービス登録規則の様式を使用します。

参考にする際はISMAP管理基準マニュアルや、ISMAPポータルサイトのFAQの内容も確認することで言明書作成を進めることができるでしょう。

作成する際は、言明の対象とするクラウドサービスに関するリスクアセスメントの結果に応じて、合理的な適用が不可能な統制目標を除く全ての統制目標を選択します。また、選択した統制目標を実現するために必要な詳細管理策も選択します。

目標設定の手順	内容
1.リスクの特定・分析	クラウドサービス事業者は、言明の対象とするクラウドサービスに関するセキュリティリスク（実装構造、運用環境及びサービスの性質などに照らし想定されるリスク）を特定し分析。
2.統制目標の選択	リスク分析を踏まえ、提供するサービスに必要な統制目標（３桁管理策）を全て選択します。なお、統制目標（３桁管理策）は、適用不可能な理由を合理的に説明できる場合のみ、非選択とすることが可能。
3.詳細管理策の選択	選択した統制目標を実現するための手段としての詳細管理策（４桁管理策）を選択。
4.個別管理策の策定	想定したリスクについて、詳細管理策（４桁管理策）の具体的対策としての個別管理策を実施した際に、実際に受容可能な水準までリスクが低減されるか、という観点に基づき必要な詳細管理策を選択する必要がある。

【参考】ISMAPポータルサイトFAQ

3. ISMAP監査機関に監査を依頼する

自社で要件を満たしていることが確認できたら、次のステップはISMAP登録監査機関リストに掲載された外部監査機関に監査を依頼することです。ISMAPが監査を委託している機関は、ISMAP監査機関リストに掲載されています。

監査を通じて不適合事項（発見事項）があった場合、クラウドサービス提供者は改善計画書を作成し、ISMAPの運用支援機関であるIPA（独立行政法人情報処理推進機構）に提出します。IPAは必要に応じて改善計画書のヒアリングを行い、計画の妥当性や不適合事項の軽微性などが評価されます。承認されると次の申請ステップへ進むことができます。

4. ISMAP登録申請をおこなう

監査の結果により作成された改善計画書と、必要な申請文書を提出することで、ISMAPへの登録申請ができるようになります。
審査に必要な提出書類には、監査の結果をまとめた実施結果報告書、申請書、誓約書、資本関係及び役員等の情報、言明書などが含まれます。登録申請の手引きの「提出書類チェックリスト」から具体的な書類を確認できます。

また、監査結果に応じて問題点のヒアリング（Web会議形式）などをおこないながら進められるため、審査に時間がかかる場合もあるでしょう。
そして、監査結果や改善状況、技術的な審査、問題点の重大さなどを確認したうえで、ISMAP運営委員会による審査を経て以下のいずれかの判断が下されます。

• 登録：ISMAPへ直ちに登録・広く公開
• 登録留保：発見事項が軽微でない場合は再度監査の実施を要求する（猶予は1か月）
• 却下（再申請）：登録が不適切だと判断される場合は、申請を却下

なお、文書提出後に不足があった場合には、期限付きで追加提出が求められます。そのため、速やかに対応することが重要です。
このプロセスを通じて、クラウドサービスのセキュリティ体制が継続的に改善され、より高い信頼性を確保することができます。

まとめ

ISMAPは政府情報システムの安全性を確保するための重要な制度であり、登録済みサービスは厳格なセキュリティ基準に基づいて評価されています。ガバナンス、マネジメント、管理策の3層の基準で構成され、クラウドサービス提供者と利用者双方に利点をもたらします。

制度の目的は単なる登録の可否ではなく、クラウドサービス全体のセキュリティ品質を継続的に向上させることにあります。ISMAP-LIUや民間活用の動きも進む中、制度の正しい理解と運用が、クラウドサービス提供者に求められています。
クラウドサービスを提供する企業や利用を検討している組織にとって、ISMAPは重要な指標となるでしょう。

さくらのクラウドのISMAP登録について

「さくらのクラウド」もISMAPに登録されており、高水準のセキュリティで安心してご利用いただけます。ISMAPは信頼性の高いクラウドサービスの選定と導入を効率化し、政府機関だけでなく民間企業のクラウド活用も促進します。「さくらのクラウド」は2021年12月20日にISMAPクラウドサービスリストへ登録されました。登録範囲の詳細はニュースページにて公開しています。

クラウドセキュリティ

ISMAPと関連性が強いクラウドセキュリティとは、クラウドサービスを使用する際にクラウド環境上で発生しうる特有のリスクに対して実施するセキュリティ対策のことです。
クラウドセキュリティを強化し、セキュリティリスクを防止するためにはどのような対策をおこなう必要があるのでしょうか。次のページではクラウドを使うときに気をつけたい5つのセキュリティリスクやクラウドセキュリティを強化する7つの対策について解説します。

ガバメントクラウド

ガバメントクラウドとは、政府共通のクラウド基盤のことで、各府省や自治体でも同様に利用できるよう検討が進められています。ガバメントクラウドで用いられるクラウドサービスは、ISMAPの制度に基づいて安全性や信頼性が評価されることが前提となります。