【ISMAP】とは クラウドサービスの新しいセキュリティ評価制度

  • IT・トレンド記事
6min

こんにちは、クラウドエース編集部です。

政府機関や民間企業において、情報システムのクラウド化が急激に進められています。自社の環境をクラウド移行したいと考えていても、サービスの多さに圧倒されてしまう人も多いでしょう。

そのような状況で、セキュリティ性の高いクラウドサービス選びのひとつの基準になるのが ISMAP です。

この記事では、ISMAP について概要と制定された背景、評価基準、登録までの流れを解説します。併せて、ISMAP のメリットや、ISMAP に登録されているサービスやクラウド事業者の例も紹介します。

ISMAP とは何か

ISMAP とは「 Information system Security Management and Assessment Program 」の略で、直訳すると「情報システムのためのセキュリティ評価管理プログラム」となります。読み方は「イスマップ」です。

政府のセキュリティ要件を満たしているクラウドサービスをあらかじめ評価・登録することにより、政府が安全性の高いクラウドサービスを調達しやすくすることを目的として制定された制度です。

なお、ISMAP は総務省、経済産業省、内閣サイバーセキュリティセンター、情報通信技術総合戦略室により構成された「 ISMAP 運営委員会」により運営されます。また、独立行政法人情報処理推進機構 (IPA)が、ISMAP の制度運用の実務や評価に関する技術的なサポートを行っています。

よろしければこちらも合わせてお読みください
ISMAP 認証と ISMS 認証の違いを3分で理解する

ISMAP 制定の歴史

まずは、ISMAP が制定された歴史について簡単に見てみましょう。

従来のように政府の情報システムがオンプレミス環境で構築されている場合、情報システムの安全性のチェックが必要な状況では、立ち入り監査などで評価することが可能でした。しかし、クラウド環境ではデータセンターの場所は非公開であり、仮にデータセンターを見つけたとしても特定の仮想サーバーを見つけて安全性を評価することは不可能です。

また、他国と比較して日本はクラウドサービスのセキュリティの評価する体制が整っていませんでした。これまでは、各組織ごとに独自のセキュリティ基準を定め、新たなサービスを導入する度に評価するという非効率的な方法が取られていたのです。

2018年6月、政府は「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を制定し、政府の情報システムではクラウドサービスを優先的に活用するという「クラウド・バイ・デフォルト原則」を発表しました。

よろしければこちらも合わせてお読みください
「クラウド・バイ・デフォルト原則」を解説!正しいクラウドの選び方

しかし、上記のような非効率的なセキュリティ評価制度では、クラウド化が遅れてしまう可能性があります。

そこで、あらかじめ政府各省庁の要求を満たすクラウドサービスを評価してリスト化し、リストに掲載されているサービスの中から選択するという仕組みに切り替えられました。これが、ISMAP です。

これにより、政府各省庁が新たなクラウドサービスを導入する際に、そのセキュリティ性を個別に評価する必要がなくなり、スムーズに利用開始できるようになるということです。

ISMAPの評価基準

続いては、ISMAP へ登録されるためにはどのような基準が設けられているのかについて見てみましょう。

ISMAP では、クラウド事業者が満たすべき基準は「管理策」と呼ばれています。クラウド事業者が選択した管理策を、外部評価機関が評価することで登録可否が決められる仕組みです。

「管理策」は「ガバナンス基準」「マネジメント基準」「管理策基準」の 3 つの基準で構成されています。各基準の詳細は非公開ですが、このうち、「管理策基準」については、1,000 項目を超える評価基準が用意されていると言われます。

なお、これらの基準は、「JIS Q 規格」「政府機関等の情報セキュリティ対策のための統一基準群」などをはじめとした、さまざまなガイドラインを参考に制作されています。

評価については、対象期間内の一時点において統制が整備されているかを評価する「整備評価」と、整備した統制が評価対象期間を通じて有効に運用されているかを評価する「運用評価」があります。評価対象期間は 1 年間であり、毎年実施されます。

ISMAP の登録手順

ここでは、ISMAP への登録手順について解説します。ISMAP 申請〜登録までの大まかな流れは、以下の通りです。

  • 自社サービスが「管理基準」の要件を満たしていることを確認
  • ISMAP 監査機関リストに登録された監査機関へ監査依頼
  • 監査機関が管理基準に基づいた情報セキュリティ対策の実施状況を監査
  • ISMAP 運営委員会に申請を行い登録が妥当と認められれば登録

なお、ISMAP のクラウドサービスリストに掲載される期間は、登録されてから対象期間末日の翌日から 1 年 4 か月後までです。定期的な更新が必要であることを覚えておきましょう。

ISMAP によるメリット

ここからは、ISMAP という制度が生まれたことによるメリットについて紹介していきます。

クラウドサービスを選ぶ際の手間を削減できる

1つ目のメリットは、政府や民間企業がクラウドサービスを導入する際の手間を減らせることです。

先述の通り、これまではクラウド導入に際して、各組織がセキュリティに関する独自の方針やガイドラインを作成して評価していました。1つひとつのクラウドサービスのセキュリティ基準を各組織の基準に照らし合わせていくことには、大きな労力がかかります。

しかし、ISMAP を活用すれば、一定のセキュリティ基準を満たしたサービスの中から自社の要件に合うものはどれかと考えれば良いだけとなります。そのため、担当者が新たに利用するクラウドサービスを選定する際の労力を大きく削減できるのです。結果として、業務効率化にも繋げられるでしょう。

クラウド事業者の安全性の担保に繋がる

2つ目のメリットは、クラウド事業者の安全性の担保になることです。これは、サービスを提供するクラウド事業者にとってのメリットと言えます。

多くのクラウド事業者は、セキュリティ対策を優先事項として掲げて堅牢な対策を実施しています。ところが、いくら自社サービスのセキュリティの高さや安全性をアピールしても、客観的に見たセキュリティレベルや、他社と比較した際の安全性の高さを証明することは難しい状況でした。

しかし、ISMAP という一律の項目で評価される基準ができたことによって、リストに登録されたクラウド事業者は客観的に審査された安全性の高いサービスを提供していることを証明できるようになりました。

ISMAP に登録されたクラウド事業者・サービスは、信頼度を向上できるほか、クラウド業界における認知度も高めることができるでしょう。ビジネスチャンスを広げることにも繋がる可能性があります。

ISMAP に登録されているサービス・事業者の一例

最後に、2022 年 4 月時点で ISMAP に登録されているサービスや事業者の一例を紹介します。

提供事業者
Apigee Edge/
Google Cloud Platform/
Google Workspace/
AppSheet/
Bare Metal Solution
Google LLC
Amazon Web ServicesAmazon Web Services,Inc.
Microsoft Azure,
Dynamics 365, and Other Online Services/
Microsoft Office 36
日本マイクロソフト株式会社
Oracle Cloud Infrastructure/
Oracle Cloud Infrastructure Platform as a Service/
Oracle Exadata Cloud@Customer
Oracle Corporation
クラウドサービス運用基盤cybozu.com 並びに
cybozu.com 上で提供するGaroon及びkintone
サイボウズ株式会社
Salesforce Services/Heroku Services株式会社セールスフォース・ジャパン
エンタープライズクラウドサービス/
エンタープライズクラウドサービ ス G2/
フェデレーテッドポータルサービス
株式会社日立製作所
Cisco WebexCisco Systems, Inc.

名前を聞いたことのあるサービスも多いのではないでしょうか。この他にも、複数のサービス・事業者が ISMAP リストに登録されています。詳しくは、ISMAP ポータルサイトで確認が可能です。

まとめ

ここまで、ISMAP の概要や評価基準、登録方法について紹介してきました。ISMAP は、ユーザーにとっても、クラウド事業者にもメリットのある仕組みです。この記事を参考にして、安心できるクラウドサービス選びに繋げてみてください。

合わせて読みたい