ISMAP 認証と ISMS 認証の違いを3分で理解する

こんにちは、クラウドエース編集部です。

クラウドサービスのセキュリティ認証にはさまざまな種類があります。中でもよく耳にする認証として「 ISMAP 」と「 ISMS 」がありますが、よく似た名称であり混同しやすいのではないでしょうか。

この記事では、「 ISMAP 」と「 ISMS 」の違いについて、わかりやすく解説します。また、併せてこれら 2 種類以外のセキュリティ認証についても簡単に紹介します。

ISMAP 認証とは

ISMAP とは「 Information system Security Management and Assessment Program 」の略称で「イスマップ」と読みます。

これは、政府がクラウドサービスの選定する際に用いるセキュリティ評価制度のことで、各政府機関がクラウドサービスの導入をスムーズにすることを目的に作られました。

ISMAP設立の背景

まずは、ISMAP が作られた背景について見てみましょう。

かつては、政府機関がクラウドサービスを導入する際、その安全性を測るために同じクラウドサービスに対して各組織がそれぞれセキュリティ要件を確認するという非効率なやり方で行われていました。

これを効率化するために、あらかじめ監査を経て安全性が確認されているクラウドをリスト化して、そこから選択する運びになりました。このリストに登録するための基準が、ISMAP です。

なお、2018 年 6 月には、政府がクラウドサービスを積極的に使っていく方針である「クラウドバイデフォルト原則」が採用されています。この原則の実現に大きく貢献する仕組みであるとも言えるでしょう。

よろしければこちらも合わせてお読みください
「クラウド・バイ・デフォルト原則」を解説！正しいクラウドの選び方

ちなみに、ISMAP は、米国における政府機関向けクラウドセキュリティ基準「 Fed RAMP 」をもとにして制作されています。

ISMAP の監査方法

ISMAP では、監査法人により監査が行われています。「 ISMAP 監査機関リスト」に登録されている機関のみが監査を実施できる仕組みです。

クラウド事業者が認証を受けたい場合は、以下の手順で申請を行います。

ISMAP 監査機関リストに登録された監査機関へ監査を依頼
監査機関が管理基準に基づいて情報セキュリティ対策の実施状況を監査
ISMAP に審査申請を行い、ISMAP 運営委員会が要求事項への適合状況を審査
登録が妥当と判断された場合、ISMAP クラウドサービスリストに登録される

なお、クラウドサービスリストの登録有効期限は、登録の対象となった監査の対象期間の末日の翌日から 1 年 4 ヶ月後となっています。そのため、クラウド事業者は定期的に登録更新の申請をする必要があります。

ISMAP 登録のメリット

ISMAP に登録する大きなメリットは、取引先や顧客から高い信用を得られることです。特に、政府機関や地方自治体や政府向けにサービスを開発・運用するクラウド事業者は取得しておくべき認証と言えるでしょう。

よろしければこちらも合わせてお読みください
【ISMAP】とはクラウドサービスの新しいセキュリティ評価制度

ISMS 認証（ISO27001）とは

ISMS とは、「 Information Security Management System 」の略称です。これは、組織内における情報の機密性・完全性・可用性を確保しているかを監査する仕組みのことです。

国際標準化機構（ISO）が定めた情報セキュリティに関する要求事項を満たしているかを、第三者の認証機関が審査し、基準を満たす組織に対し認証を与える制度が「ISMS 認証」と呼ばれます。

ISMS 設立の背景

ISMS は、コンピュータがあらゆる業種で利用されるようになった時代に「堅牢な情報セキュリティ制度を構築するためには、コンピュータシステムだけではなく、人的資源などを含めた組織全体のマネジメントの必要がある」として作られました。

なお、ISMS でチェックされる「機密性」とは非認可の者に対して情報を使用・開示しないこと、「完全性」とは情報の正確さ・完全さのこと、「可用性」とは認可された者がアクセスを試みた場合にいつでもアクセスできることを指します。

ISMS 監査方法

ISMS 認証は、日本では「 ISMS-AC 」という認定機関が審査機関の監督を行っています。クラウド事業者が ISMS 認証を受けたい場合は、以下の手順で申請を行います。

ISMS についての方針や要求事項を理解する
要求事項を実現するための自社に合った規程や手順書を作成・文書化する
規程や手順書に従った運用を開始する
3 ヶ月程度の運用後、内部監査を実施する
内部監査の結果を含めたマネジメントレビューを実施する
初回審査を受けて認証取得

なお、ISMS の審査では再認証審査が 3 年に 1 度、維持審査が毎年行われます。

ISMS 登録のメリット

ISMS は、クラウドセキュリティに関する国際規格です。取引先や顧客からの信頼度を上げられるほか、社内で規定や手順書を作成・運用する必要があるため、従業員のセキュリティ対策についての意識向上も期待できるでしょう。

それ以外のクラウドセキュリティ認証

ここからは、ISMAP、ISMS 以外の有名なクラウドセキュリティ認証について簡単に紹介します。

CS マーク制度

CS マーク制度とは、非営利法人の日本セキュリティ監査協会（JASA）により定められる情報セキュリティの監査制度のことです。公正・公平で品質が保たれた情報セキュリティ監査が行われているかがチェックされます。

監査対象は日本のみで、認定された組織は監査を受けた基本言明書にCSマークが付与されます。認証段階には第三者認証である「ゴールド」、自主監査の「シルバー」があり、自社に合った認証を選択できます。

Fed Ramp

Fed Ramp は、「 Federal Risk and Authorization Management Program 」の略称で、米国政府機関がクラウドサービスを導入する際に利用される共通認証制度です。先述の通り、ISMAP の基となっている制度でもあります。

Fed Ramp ではクラウドサービスに対するセキュリティ評価、認証、継続的監視についての基準が定められており、セキュリティレベルは「 Low 」「 Moderate 」「 High 」の 3 段階で評価されます。

監査対象は米国政府機関向けのビジネスを提供する世界中の企業、組織となります。

SOC2

SOC2 とは「 Service Organization Controls 2 」の略称で、米国公認会計士協会（AICPA）が定める、委託会社の内部統制やサイバーセキュリティについての内部統制の保証の報告書です。

SOC には「 SOC1 」「 SOC2 」「 SOC3 」の 3 種類があります。「 SOC1 」は財務報告に関連する内部統制の評価を行うもの、「 SOC2 」はセキュリティや可用性、機密保持などの統制を評価して限定的に公開するもの、「 SOC3 」は「 SOC2 」を一般ユーザー向けに広く公開するものです。監査対象は全世界となります。