ISMAPとは？制度の概要やクラウドサービスを利用する際のメリットをわかりやすく解説

目次

• ISMAPとは
• ISMAPの管理基準　〜「信頼性が高い」と言われる理由(わけ)
• ISMAP認定のクラウドサービスを利用するメリット
• ISMAP-LIUとは？ISMAPとの違い
• おわりに

ISMAPとは

ISMAP（Information system Security Management and Assessment Program）は、政府情報システムのためのセキュリティ評価制度です。2020年に創設され、デジタル庁、内閣サイバーセキュリティセンター（NISC）、総務省、経済産業省で構成される「ISMAP運営委員会」によって運用されています。

出典：内閣サイバーセキュリティセンター「政府情報システムのためのセキュリティ評価制度（ISMAP）について」

2017年、急激なIT市場の進化に伴って、各省庁や自治体においても情報システムにクラウドサービスを利用する方針「クラウド・バイ・デフォルト原則」が掲げられました。当時は、日本にはクラウドサービスに要求する統一的なセキュリティ要求基準が存在せず、各機関でクラウドサービスを導入する際、個別にクラウドサービスのセキュリティ体制を確認していました。
クラウドサービスは、サービスを提供する事業者（以下「ベンダー」）にセキュリティ対策を依存する形となっており、ベンダーの対策方針によってセキュリティレベルが異なります。しかし、政府の利用に値するかの統一的な要求基準がなかったことで、監査コストの増大や機関ごとにセキュリティ水準が異なることが問題視されるようになりました。
そこで、政府機関等がクラウドサービスを円滑に導入できるよう、政府が求めるセキュリティ要求に沿ってクラウドサービスを評価できるようにしたのがISMAPです。

監査機関を介して、ISMAP運営委員会の提唱する「要求事項」を満たしていると判断されたクラウドサービスは、「ISMAPクラウドサービスリスト」に登録されます。政府機関がクラウドサービスを導入する場合、原則としてこのリストに掲載されたサービスから調達を行います。つまり、「ISMAPクラウドサービスリスト」に登録されたクラウドサービスは、安全性において政府のお墨付きがあることを意味します。
なお、「ISMAPクラウドサービスリスト」は、独立行政法人情報処理推進機構（IPA）が運営するISMAPポータルサイトで公開されており、自由に閲覧できます。

ISMAPの管理基準　〜「信頼性が高い」と言われる理由(わけ)

ISMAPに登録されるには、ISMAPが規定する「管理基準」を満たさなければなりません。
管理基準には、大きく「ガバナンス基準」「マネジメント基準」「管理策基準」の3つで構成されています。これらの管理基準を満たした上で、第三者機関による外部監査を受け、ISMAP運用支援機関による審査で最終決定されたクラウドサービスのみが、「ISMAPクラウドサービスリスト」に登録されます。

①ガバナンス基準

ガバナンス基準は、ベンダーの経営陣が管理者層に対して情報セキュリティ活動を指導し、管理することを求める基準です。情報セキュリティを統治するためにベンダーの経営陣が実施すべき項目がまとめられており、ISMAPでは、原則すべて実施されていることが求められます。

②マネジメント基準

マネジメント基準は、情報セキュリティマネジメントの計画、実行、点検、処置および、リスクコミュニケーションに実施事項を定めたものです。これにより、ベンダーの管理者がマネジメントを的確に実施しているかを判断されます。ISMAPでは、原則すべて実施されていることが求められます。

③管理策基準

管理策基準は、ベンダーの業務実施者がリスク対応方針に従って管理策を選択する際の、選択肢となるものです。各項目は、統制目標と詳細管理策で構成されており、現場においてセキュリティ対策が実施されているかどうかを14カテゴリ・1,000項目以上の基準で判断します。統制目標は原則として全て実施しなければなりませんが、詳細管理策は一部が選択になっています。

出典：PDF「はじめてのISMAP - 政府情報システムのためのセキュリティ評価制度の概要」

この3つの管理基準は、ISMS関連規格「JIS Q 27000シリーズ」^※や、政府機関等のサイバーセキュリティ対策のための「政府統一基準」、米国政府内の情報システムに関するリスク管理ガイドライン「NIST SP800-53」を取り込んで作成されています。国際規格も反映されていることから、ISMAP認証を受けたクラウドサービスは「国際的にも信頼性が高い」とも言えるのです。

※ ISMS（情報セキュリティマネジメントシステム）についてのベストプラクティスやガイドラインをまとめたもの。「JIS Q 27000シリーズ」には、JIS Q 27001・JIS Q 27002・JIS Q 27014・JIS Q 27017が含まれます。クラウドセキュリティ認証の1つである「ISMS認証」で前提とされる国際規格「ISO/IEC 27017」と内容はほぼ同じで、どちらも安全性の証明としては有用な指針となります。

ISMAP認定のクラウドサービスを利用するメリット

ISMAPの認定を受けたクラウドサービスを導入することは、政府や行政だけでなく、企業にも大きなメリットをもたらします。

●セキュリティレベルの高いクラウドサービスを探しやすい

サイバー攻撃が増大している昨今、クラウドサービスのセキュリティリスクを危惧する声は年々高まりを見せています。中小企業もターゲットになるケースも増えており、企業規模を問わずサイバー攻撃対策が求められます。
ISMAPクラウドサービスリストに登録されていると、国の審査基準を満たした高いセキュリティ体制であると証明されたことになるため、リストに登録されている中から選べばクラウドサービスのセキュリティ面を懸念する経営者や業務担当者も安心でしょう。

●クラウドサービスのセキュリティチェックが容易になる

クラウドサービスのセキュリティ体制を独自に確認する場合、自社のセキュリティ基準に合うかどうかを検討し、かつ、複数のクラウドサービスで比較するという作業が発生し、多大な労力を要します。
ISMAPクラウドサービスリストの中から選ぶことで、独自にセキュリティチェックを実施する手間やコストを大幅に削減でき、スピーディーに導入を進めることができます。

●取引先への「安心の提供」にも

ISMAP認定を受けたクラウドサービスを導入していれば、取引上の安心を提供することにもなり、企業評価につなげられます。特に、政府機関や地方自治体と取引がある場合などは、ISMAPクラウドサービスリストに登録されているクラウドサービスであることが強みになる可能性もあります。

例えば、奉行ｉクラウドや奉行V ERPクラウドのプラットフォームを担う「Microsoft Azure」は、日本政府が推進する共通利用のクラウド基盤であり、デジタル庁が選定したガバメントクラウドのサービスプロバイダーでもあり、ISMAP認証を取得しています。また、奉行ｉクラウドや奉行V ERPクラウド自体も、2025年春にISMAPを取得予定です。これが実現すれば、プラットフォームからソフトウェアまで、安心して利用できるシステム環境になります。

ISMAP-LIUとは？ISMAPとの違い

ISMAP認証には、ISMAP-LIU（イスマップ・エルアイユー）という認証もあります。ISMAP-LIU（ISMAP for Low-Impact Use）は、政府機関等による調達リスト登録のための認証で、ISMAP認証の中でも機密性のやや緩い情報についてのセキュリティ要件となっています。

市場で提供されているクラウドサービスは、サービス提供範囲が幅広く、用途や機能が極めて限定的なものや、比較的重要度が低い情報を取り扱うものなどもあります。このようなクラウドサービスには、ISMAPの求めるセキュリティ水準が過剰な要求となる場合もあるため、2022年からリスクの小さな業務・情報の処理に用いるクラウドサービスを対象に、ISMAP-LIU制度が設けられました。 ISMAPが対象としている情報は「機密性2情報」にあたり、ISMAP-LIUはその中でもさらにセキュリティリスクの低い情報が対象となります。

具体的には、Web会議ツールやチャット・チャットボットなどの業務連絡ツール、eラーニングなどの教育ツール、安否確認サービス、映像・コンテンツなどの配信系サービスなどがISMAP-LIU認定の対象になります。

出典：NISC PDF「政府情報システムのためのセキュリティ評価制度（ISMAP）の概要」

また、ISMAP-LIUの監査の仕組みは、ISMAPとほぼ同様に「ガバナンス基準」「マネジメント基準」「管理策基準」の3つの管理基準が対象になりますが、外部監査対象となる管理策については、ISMAPの約1,200の監査項目のうち、委員会が指定する100〜200項目程度のみで採否され、監査も比較的緩くなっています。

おわりに

独立行政法人 情報処理推進機構（IPA）が2022年に行った調査では、ISMAP認定を選定時の条件、または参考にしていると回答したクラウドサービス利用者は36.8％で、「今後参考予定」を含めると59.1％になっています。

出典：IPA PDF「2022年度クラウドサービス（SaaS）のサプライチェーンリスクマネジメント実態調査概要説明資料」

クラウドサービスのセキュリティレベルを独自に調査するのは、手間がかかり業務負担も大きくなります。ISMAPのような認証制度の取得状況を確認すれば、クラウドサービスを検討する際の指標にもなり、安心して導入できるでしょう。
経営層や決定権者がクラウドサービスのセキュリティ対策に不安を感じ、なかなか導入が進まない場合は、ISMAP認証があるサービスを検討してみてはいかがでしょうか。

関連リンク

• 

  あらゆるサービスやデータと繋がる
  中堅・上場企業向け国産 SaaS ERP

  奉行V ERPクラウド

• 

  すべての業務とつながるひろがる
  シェアNo.1

  業務クラウド「奉行クラウド」

こちらの記事もおすすめ

• クラウドの安全性と情報漏洩リスクを奉行シリーズの対策から解説
• 子会社が危ない！サイバー攻撃からグループ全体を守るシステムのセキュリティ対策とは
• SaaS型ERPとは？他ERPとの違いやこれからのシステムの選び方を徹底解説