ISMAPとは？概要や登録の流れなどをご紹介！

※この記事は製品や技術にまつわるお役立ち情報＝豆知識を意図しておりますことから、弊社製品以外の製品や市場一般に関する内容を含んでいることがあります

現代では、企業のクラウド利用が増加傾向にあり、さまざまなセキュリティ要件を考慮してクラウドサービスを選んでいかなければなりません。

そこで、政府が求めるセキュリティ要件をクラウドサービスが満たしているかどうかを評価する制度、ISMAP(イスマップ)の利用がおすすめです。

本記事では、ISMAPの概要や登録の流れについて解説していきます。

ISMAPとは  

ここでは、ISMAPの概要、制定された理由などについて解説していきます。

ISMAPとは

ISMAPとは、政府が導入しているクラウドサービスのセキュリティレベルを評価、登録する制度です。

ISMAPに登録されていれば、政府が求めるセキュリティレベルに達しているクラウドサービスの証明になります。

ISMAPが制定された理由

ISMAPが制定された理由は、クラウドサービスの安全性を効率的に判断することが求められたからです。

クラウドサービスはセキュリティリスクが事業者に依存しており、自主的に先導してリスク管理するのが困難な傾向にあります。

しかし、2018年に政府情報システムの整備において、クラウドサービスの利用を第一候補とするクラウド・バイ・デフォルト原則が制定され、各政府機関はクラウドサービスを調達する度にセキュリティレベルを個別で確認していました。       

時間がかかる上に、セキュリティ要件を設定する担当者にも高いリテラシーが必要となるなど、非常に効率の悪い状態でした。

このような状況を打破するために、クラウド・バイ・デフォルト原則をふまえた政府情報システムの整備、クラウドサービスの安全評価の検討が開始され、ISMAPが制定されました。

ISMAPの運営組織

ISMAPの運営組織は以下のとおりで、ISMAP運営委員会と呼ばれています。

• ・総務省
• ・デジタル庁
• ・内閣サイバーセキュリティセンター
• ・経済産業省

また、別名をIPAと呼ぶ独立行政法人情報推進機構も、ISMAPの制度運用に係る実務や評価に係る技術的な支援などを行っています。

ISMAPの管理基準

ISMAPの管理基準は以下のとおりです。

• ・ガバナンス基準
• ・管理策基準
• ・マネジメント基準

ガバナンス基準は、経営陣を対象としたセキュリティに関する意思決定や指示を行っています。

管理策基準は、実務実施者を対象とし、実際にセキュリティ対策を実施しているものです。

マネジメント基準は、管理者を対象に組織が実施する情報セキュリティマネジメントのルールを策定し、継続的な運用や維持管理を行っています。

ISMAPのメリット

ここでは、ISMAPのメリットについて解説していきます。

利用者側のメリット

ISMAPを利用する利用者側のメリットは以下のとおりです。

• ・セキュリティレベルを個別に確認する手間が省ける
• ・効率的にサービスを選定できる
• ・一定水準以上のサービスが導入できる

提供する事業者側のメリット

ISMAPを提供する事業者側のメリットは以下のとおりです。        

• ・公的に評価されていることの証明になる
• ・導入のきっかけが得られやすい
• ・ISMAPが宣伝文句になる

ISMAP登録までの流れ

ここでは、ISMAP登録までの流れや費用、審査基準について解説していきます。

ISMAP登録までの流れ

ISMAP登録までの流れは以下のとおりです。

• ・ISMAPの管理基準に従って運用
• ・外部監査の依頼
• ・申請

それぞれの工程を解説していきます。

ISMAPの管理基準に従って運用

まず、ISMAPの管理基準の各項目を満たすルールを作成し、ルールに従って運用しましょう。

管理基準を満たしていない点がある場合には、改善を重ねていきます。  

外部監査の依頼

作成したルールに従って運用を開始したら、ISMAPに登録されている監査機関に言明書を添えて監査を依頼します。

2024年現在の監査内容は、整備状況評価、運用状況評価です。

監査実施後に、経営者確認書を提出し、実施結果報告書を受け取れば問題ありません。

申請

外部審査を終え、実施結果報告書を受け取ったら申請し、審査を受けましょう。

ただし、申請は報告日から1カ月以内に行う必要があるためご注意ください。

言明書、監査報告書、登録事項証明書などの必要書類を揃え、ISMAP運営委員会へ提出し、登録申請を実施します。

申請内容に問題がなければ、ISMAPに登録されます。

登録申請が受理されてから、実際にクラウドサービスリストに登録されるまでの期間は、3か月～6か月程度です。

ISMAP登録には有効期限があり、継続して登録するには毎年更新のための審査を行わなければなりません。

ISMAPの登録にかかる費用

ISMAP登録申請にあたり、ISMAP運営支援機関に費用を支払う必要はありません。

申請自体は無料で行えますが、監査費用、コンサルティング費用、セキュリティ対策・改善費用、脆弱性診断・ペネトレーションテスト費用がかかり、全部で数千万円～1億円程度が相場といわれています。

具体的な費用は、それぞれ問い合わせてみるのが良いでしょう。

ISMAPの審査基準

ISMAの審査基準は公開されていませんが、管理基準は1,000項目以上定められています。

そのため、非常に細かい部分まで審査されることが予想されます。

セキュリティ管理基準に関しては、政府の統一水準や過去のセキュリティ規格などを踏まえて作成されているため、ISMAPクラウドサービスリストに登録されていれば、一定レベル以上のセキュリティ対策をクリアしていると考えられるでしょう。

まとめ

ISMAPは企業のクラウドサービス利用が増えている中で、便利なクラウドサービスセキュリティ評価制度です。

ISMAPを利用することで、利用者側と事業者側ともにメリットを感じられます。

個別でセキュリティレベルを判断するのが大変だと感じている場合や、セキュリティ要件の設定が負担だと感じている場合には、ISMAPの登録を検討してみると良いでしょう。

製品に関するお問い合わせはこちら

🏢導入事例はこちら
👉庁舎建て替え特集
📒製品カタログはこちら