ISMAP（イスマップ）とは？ 制度や評価基準の概要をわかりやすく解説

ISMAP（政府情報システムのためのセキュリティ評価制度）とは？

ISMAPのクラウドサービスリストとは

ISMAPのクラウドサービスリストとは、政府が示す一定の基準を満たしたクラウドサービス事業者の一覧です。リストでは、サービス名や事業者名、登録日などが記載されています。

なお、リスト登録には有効期限が設けられているため、期限内に適宜更新をしなければなりません。

参照：『ISMAPクラウドサービスリスト』ISMAP

ISMAPの運営組織

ISMAPの組織運営は、ISMAPの最高意思決定機関である「ISMAP運営委員会」が行います。運営委員会の構成は、以下の制度所管省庁です。

• 総務省
• 経済産業省
• 内閣サイバーセキュリティセンター
• デジタル庁

ISMAP運営委員会では、クラウドサービスリストの運営において、要求事項の適合状況を審査します。あわせて、情報セキュリティに関する管理基準の制定も行います。

監査機関も要求事項を満たし「監査機関リスト」に登録されなければなりません。そのため、ISMAP運営委員会はクラウドサービスリストに関する規則を策定する組織と考えると理解しやすいでしょう。

参照：『ISMAP概要』ISMAP

ISMAP施行の背景

ISMAPが施行された背景には、クラウドサービスの浸透にともない、政府が安全で信頼性のあるクラウドサービスを円滑に活用するための仕組みづくりが必要になったことが挙げられます。

ISMAPの運用を開始したのは2020年であり、日本ではもともとオンプレミス型のシステムが浸透していました。しかし、世界中ではすでにクラウドサービスが認知されており、アメリカでは「クラウドファースト」を提唱していました。

このような世界的な流れを受けて、日本でも「クラウド・バイ・デフォルト原則」が2018年に発表されたのです。クラウド・バイ・デフォルト原則とは、政府が情報システムを活用する際はクラウドサービスを第一候補として検討することを示した方針です。

その後「未来投資戦略2018」と「サイバーセキュリティ戦略」において、クラウドサービスの安全性や信頼性の評価を行うことなどが決定し、一定のセキュリティ基準を満たすクラウドサービスのリストアップを目的に、2020年にISMAPが発足し、運用を開始しました。

参照：『「政府情報システムのためのセキュリティ評価制度(ISMAP)」の運用開始』総務省

ISMAPが一般企業にもたらすメリットとは？

ISMAPによって得られるメリットにはどのようなものがあるのでしょうか。クラウドサービス事業者側と、利用者（導入企業）側に分けて確認してみましょう。

クラウドサービス事業者が得られるメリット

ISMAPのクラウドサービスリストには、基準を満たしたサービスが登録されます。登録によって得られるメリットは以下の通りです。

• セキュリティレベルを客観的に証明できる
• 事業者やサービスの信頼性を高められる
• サービスを浸透させられる可能性が高まる

ISMAPのクラウドサービスリストに登録されることで、事業者が提供するクラウドサービスは政府の基準を満たしたことが証明されます。そのため、安全に利用できるものであるといえるでしょう。

その結果、政府だけでなくクラウドサービスを探す一般企業からも導入される可能性が高まり、自社サービスの浸透に効果が期待できます。

クラウドサービス利用者が得られるメリット

ISMAPのクラウドサービスリストには、政府が示した基準を満たす安全性の高いクラウドサービスが登録されています。クラウドサービスを導入する一般企業が得られるメリットは次の通りです。

• クラウドサービスの選定をスムーズに行える
• 一定基準を満たした信頼性や安全性の高いサービスを導入できる
• セキュリティ基準のチェックを効率化できる

情報システムを導入する場合、安心して活用するためにはセキュリティチェックなどを行う必要がありますが、このリストに登録されているものは一定の基準を満たしていることが証明されているため、クラウドサービス選定を効率化し、安心して導入・活用できるでしょう。

ISMAPの管理基準

ISMAPのクラウドサービスリストに自社のクラウドサービスを登録するためには、一定の基準を満たさなければなりません。基準は3つに分類されるため、1つずつ確認してみましょう。

ガバナンス基準

ガバナンス基準とは、企業のセキュリティにかかわる意思決定や、指示を継続して実施するための項目です。「JIS Q27014」を整理して作成された18項目4桁管理策が設けられています。

この基準として設定されている項目内容は、経営陣が原則すべて実施し、満たす必要があります。

マネジメント基準

マネジメント基準とは、情報セキュリティマネジメントにおいて、確立・導入・運用・監視・維持および改善することを求める基準です。64項目の4桁管理策が設定されています。

この基準として設定されている項目内容は、現場のマネジメント層が原則すべて実施し、満たす必要があります。

管理策基準

管理策基準とは、セキュリティ対策を実践していることを確認するための項目です。1,000以上もの項目があるためすべてを実施することはできません。

この基準は、原則実施が必要とされている3桁管理策の「統制目標」と、それを達成するための4桁管理策である「詳細管理策」で構成されており、実施が必要な必須項目と各社が選択して実施するものがあります。

管理策には管理策番号とともにアルファベットが付与されており「B」「PB」の表記がある管理策は原則必須、それ以外は必要項目を選択してクラウドサービス事業者の業務実施者が実施することとなっています。

ISMAPに登録する流れや方法

ISMAPのクラウドサービスリストに登録するためにはどのような手順を踏めばよいのでしょうか。一般的な流れや方法についてご紹介します。

1. ISMAP管理基準を満たすための内部統制
2. 監査を依頼
3. 登録申請

1．ISMAP管理基準を満たすための内部統制

ISMAP管理基準を満たすための内部統制を行います。基準にのっとったルールづくりなどを行い、基準を満たしていない項目があれば改善や改良をします。

2．監査を依頼

ISMAP管理基準を満たすための内部統制を行ったら、ISMAPに登録されている監査機関に「言明書」とともに監査依頼を出します。監査実施後に「経営者確認書」を提出し「実施結果報告書」を受領すれば終了です。

参照：『監査機関リスト』ISMAP

3．登録申請

外部監査を実施し、実施結果報告書を受領したら「ISMAPポータルサイト」から登録申請を行います。

登録申請の際には、以下の必要書類を揃えます。

• 登録事項証明書
• 言明書
• 監査報告書

書類が揃えばISMAP運用支援機関を通して提出、登録申請を行います。

なお、ISMAP運営委員会の審査では「申請が受理されてから6か月以内に登録の判断を行う」とされているため、一定の時間がかかることを理解しておく必要があるでしょう。審査の結果、問題がなければISMAPクラウドサービスリストに登録されます。

参照：『【クラウドサービス事業者様向け】各種お手続きについて』ISMAP

ISMAP登録にかかる費用

ISMAPの登録申請そのものは、費用がかかりません。しかし、ISMAP登録までの流れにおいて費用がかかるため注意しましょう。

登録するまでの流れでは以下の費用がかかります。

• 監査費用
• コンサルティング費用
• 脆弱性診断・ペネトレーションテスト費用
• セキュリティ対策・改善費用（人件費含む）

実際にかかる費用はクラウドサービス事業者によって大きく異なりますが、一般的な費用目安は数千万〜1億円程度です。

ISMAP登録のシステムなら｜One人事[Publicタレントマネジメント

One人事[Publicタレントマネジメント]は、ISMAPにも登録されている公的機関向けのタレントマネジメントシステムです。人材情報を一元管理してデータを活用することで、人事業務の効率化にお役立ていただけます。

政府が認める高度なセキュリティ要件を満たしたクラウドサービスとして、安全かつ安心してご利用いただけるでしょう。

まとめ

ISMAPとは、クラウドサービスの安全性や信頼性などを評価する制度です。クラウドサービス事業者にとっては、自社サービスの信頼性や認知向上につながります。

また、クラウドサービスを利用する企業にとっては、より安全で信頼できるサービスのスムーズな選定に役立つでしょう。

なお、クラウドサービス事業者が自社サービスをISMAPに登録するためには管理基準を満たす必要があり、登録までにも一定の時間を要します。まずはISMAP管理基準の内容を理解したうえで内部統制に取り掛かりましょう。