ISMAP（イスマップ）とは？

ISMAP（イスマップ）とは、日本政府が情報システムを活用するために設けられたセキュリティ評価制度のことです。

2021年（令和3年）3月に運用が始まったばかりのため、これから本格的なサービスリストの追加登録、利用推進、基準見直しなどが行われる予定です。

ISMAPの概要

ISMAPは、「Information system Security Management and　Assessment Program」の頭文字を取った略語です。政府機関によるクラウドサービス調達において、セキュリティ水準を確保しながらも、より円滑な導入を行うことを目的として制定されました。

ISMAPを活用する流れは、以下の通りです。

1. クラウドサービス提供事業社が、「ISMAPクラウドサービスリスト」というリストに登録されるための準備（詳しくは後述）を行う
2. 政府のセキュリティ要求基準に基づいて、安全性が認められたクラウドサービスだけが登録される
3. 政府機関（=クラウドサービス利用者）がそのクラウドサービスリストを確認し、信頼性の高いサービスを効率的に選定できるようになる

なお、ISMAPクラウドサービスリストは「ISMAP運営委員会」によって運営されており、独立行政法人情報処理推進機構（IPA）が技術的なサポートを行っています。

ISMAP検討の背景

かつての日本政府は、クラウドサービスの活用に消極的で、クラウドを活用する世界の流れに乗り遅れていました。

そのような状況を受けて、政府の情報システムにおいてクラウドサービスの利用を優先候補とする、「クラウド・バイ・デフォルト」が2018年（平成30年）に基本方針として掲げられました。

この方針によって、日本政府もようやくクラウドサービスの活用を推進することになったのです。

サービス調達の非効率を解消

日本政府がクラウド活用を進めなかった原因の1つとして、セキュリティ面のリスクが挙げられます。

政府機関の情報システム上には機密情報などがあり、極めて高い安全性が求められます。その対策として、政府機関ごとに個別のセキュリティ基準が設けられ、新たなサービス導入のたびに評価する方法が採られていました。しかし、そのような方法は非効率的で、クラウド推進の足かせになりかねません。

そこで、政府機関共通の安全性を評価する仕組みとして、共通のセキュリティ要件を満たすクラウドサービスをリスト化するISMAPが採用されたのです。

ISMAPの特徴

ISMAP以外のクラウドサービスのセキュリティ認証には、ISO発行のクラウドセキュリティに関する国際規格「ISMSクラウドセキュリティ認証」や日本セキュリティ検査協会（JASA）による情報セキュリティ監査制度「CSマーク」などが存在します。それらと比較したISMAPの大きな特徴は、1,000項目を超える「管理策基準」の存在です。

「管理策基準」とは、クラウドサービスがISMAPに登録するために、満たすべきルールや管理体制などの基準のことを指します。このセキュリティ基準を満たすためには、他の認証に比べて多くのチェック項目をクリアする必要があります。そのため、クラウドサービスがISMAPに登録されることは、高水準の安全性が担保されることの証明になりうるのです。

ISMAPの管理基準

ISMAPの管理基準は、「JISQ規格」「SP800-53」「政府機関等の情報セキュリティ対策のための統一基準群」などの既存のガイドラインを参考に作成されており、ISMAPの管理策を構成するのは「ガバナンス基準」「マネジメント基準」「管理策基準」の3つの基準です。

ISMAPの管理基準には3桁管理策（「xx.xx.xx」などの3桁で表されるもの）と4桁管理策(「xx.xx.xx.xx」などの4桁で表されるもの）があります。

ISMAPクラウドサービスリストへの登録の流れ

政府機関がクラウドサービスを導入する際は、原則「ISMAPクラウドサービスリスト」に登録されたものから選定することになったことを受けて、ここでは、クラウド事業者が自社のサービスをISMAPクラウドサービスリストに登録する3つの手続きを解説します。

1.自社サービスが評価基準を満たしているかを確認

まずクラウド事業者は、事前準備として、自社のクラウドサービスがISMAPの評価基準を満たしているかチェックします。

ここで問題が見つかれば、要件を満たすように修正します。

2.監査機関による外部監査

次にクラウド事業者は、ISMAP監査リストに登録された監査機関に監査を依頼します。

監査機関は、対象サービスの評価基準に則った情報セキュリティ対策の実施状況を監査および評価します。

なお、外部の監査機関による監査を受ける場合は費用がかかります。

3.ISMAP運営委員会による審査

クラウド事業者は監査機関から交付された「実施結果報告書」をISMAP運営委員会に提出し、ISMAPクラウドサービスリストへの登録を申請します。

ISMAP運営委員会はクラウドサービスの登録の妥当性を審査します。問題がなければ、ISMAPクラウドサービスリストへの登録が認められます。

なお、登録後は対象期間末日の翌日から1年4ヶ月後までが登録期間で、その後は更新が必要です。ほぼ1年ごとの更新となる点に注意しましょう。

ISMAPのメリット

ISMAPは政府機関だけでなく、行政機関や民間企業まで利用が拡大されることを目指しています。

それぞれの立場で、どのようなメリットがあるのでしょうか。

クラウドサービスの提供事業者がISMAPを活用するメリット

サービスを提供するクラウド事業者にとってのメリットは、自社の信頼性が増す点です。自社サービスのセキュリティ面のアドバンテージを自社独自にアピールしても、それだけではユーザーからの信頼につながりません。

しかし、ISMAPによって客観的な基準が設けられれば、登録されたクラウド事業者のセキュリティレベルが対外的に証明されることになります。審査に通過し、サービスが登録された事業者として評価され、信頼を得られるようになるでしょう。

ビジネスチャンスの拡大に期待できる

政府機関のクラウドサービス導入のために設けられたISMAPは、今後民間企業での導入も予想されています。

民間企業がクラウドサービスを選定する際にISMAPクラウドサービスリストを活用するようになれば、登録されたサービスを提供するクラウド事業者のビジネスチャンスの拡大が期待できます。

基準が明確になり対応しやすくなる

ISMAPによって政府機関から求められるセキュリティのレベルが明確になると、クラウド事業者側も対応しやすくなるでしょう。

統一基準がなく、案件ごとに異なる要求に都度対応するといったケースでは、トライアンドエラーの繰り返しで工数もかかり、余分な労力がかかってしまいます。

ISMAP制定は、クラウド事業者側の業務効率を向上させることも期待できます。

クラウドサービスの利用者がISMAPを活用するメリット

政府機関や民間企業などクラウドサービスを利用する立場がISMAPを活用することで、セキュリティ水準の確保とクラウド導入の効率化の2点で特に恩恵を受けられるでしょう。

セキュリティ水準が確保できる

政府機関や民間企業にとってもISMAPを利用すると、求める水準を満たしたセキュリティを備えたサービスが導入できます。

クラウドの導入を推進していくには、最大のボトルネックであるセキュリティ水準が確保されなければなりません。

ISMAPのような客観的な基準を満たしたサービスなら、安心して導入できるでしょう。

クラウド導入作業の効率化に期待できる

クラウドサービス導入時に、それぞれの組織がセキュリティ基準を個別に設定し、条件に合うかどうかをその都度検討するケースがしばしばあるでしょう。

複数のクラウドサービスのセキュリティ基準を比較するには多大な労力を要します。

しかし、ISMAPを活用すれば、一定のセキュリティ水準を満たしたサービスの中から、自分たちが求める要件を満たすvサービスを選別できます。

それによって、クラウドサービス選定にかかる手間や労力を軽減することが期待できるでしょう。

まとめ

ISMAPは、政府機関におけるクラウド推進のために生まれた制度でしたが、ISMAPの統一されたセキュリティ基準は社会全体のクラウドサービスの拡大にも役立つでしょう。

今後は、政府機関による局所的な利用に留まらず、民間企業の情報セキュリティ戦略でも活用が期待され、ISMAPの利用は広がっていくと考えられています。

将来に向けて、ISMAPの概要やメリットなどについて理解を深めてはいかがでしょうか。