ISMAPとは?概要や民間企業が活用するメリットをわかりやすく解説
- ISMAPとは、政府機関によるクラウドサービスのセキュリティ評価の制度
- ISMAPは行政だけでなく民間企業が活用することも可能
2020年、政府機関が利用するクラウドサービスのセキュリティを評価するISMAPという制度の運用開始が発表されました。ISMAPは行政機関だけでなく、民間企業にとっても活用できる制度です。というのも、多くの企業がクラウドサービスを利用していますが、そのセキュリティの安全性を担保できる制度はあまりないためです。
そこで、この記事ではISMAPの概要や成り立ち、活用するメリット、登録の流れについて解説します。
目次
ISMAPとは
まず、そもそもISMAPとはどのようなことを指すのでしょうか。ここではISMAPの基本的な知識を解説します。
ISMAPの概要
ISMAP(Information system Security Management and Assessment Program)とは、政府が求めるセキュリティ要求を満たしているクラウドサービスかどうかを評価する制度です。
2020年6月に開設された内閣官房、総務省、経済産業省による新しい制度です。政府機関だけでなく、民間企業も登録できます。
ISMAP成立の背景
ISMAP成立の背景には、爆発的にクラウドサービスが普及したことが挙げられます。最近では、さまざまな組織の基幹システムにクラウドサービスが用いられるようになりました。
この流れを受けて、2010年ごろにはアメリカがクラウドファーストを提唱。日本政府も2018年にクラウドサービスの積極的な利用を方針として定めたことで、ISMAPが発足したのです。
クラウド・バイ・デフォルト原則とは
クラウド・バイ・デフォルト原則とは、「政府の情報システムにはクラウドサービスを利用する」という原則のことです。2018年に発表された「政府情報システムにおけるクラウドサービスの利用に係る基本方針」に記載されています。
そして、セキュリティの不安を払拭してクラウドサービスを利用するために、政府が策定したのがISMAPです。
ISMAPを民間企業が活用するメリット
ISMAPを民間企業が活用するメリットを、クラウドサービスの利用者側・提供者側それぞれの視点で解説します。
利用者側:サービス選定の手間を低減
ISMAPに登録されている企業は、ISMAPの求めるクラウドサービスの情報セキュリティの基準を満たしているということの証明につながります。
政府が主導している制度に登録しているサービスであれば、それだけで第三者機関による審査を通過しています。そのため、自社が求めるサービスを、ISMAPに登録しているサービス一覧から簡単に見つけられるでしょう。
提供者側:取引先や顧客の拡大
ISMAPは、政府主導の制度です。そのため、ISMAPに登録できれば政府からの認定を受けているといえます。
クラウドサービスにおける情報セキュリティ体制をアピールする方法は限られています。厳しい監査基準をクリアできたとあれば、競合他社のクラウドサービスプロバイダーとの差別化につながります。自社の優位性や競争力をアピールできるため、取引先や顧客の拡大が期待できるでしょう。
利用者側・提供者側:セキュリティ安全性が担保される
提供者・利用者のどちらも、サービスのセキュリティにおける安全性が担保されます。利用者側であれば、安心してサービスを利用できます。一方、提要者であれば、自社のサービスの安全性を向上させられます。
もちろん、ISMAPに登録するにはISMAPの管理策を満たす体制を構築することが必要です。そのため、登録できれば一定の安全性を手に入れられるでしょう。
ISMAPの3つの管理策
ここでは、ISMAPの「登録されるために満たすことが必要な基準」である管理策を紹介します。
1.ガバナンス基準
ガバナンス基準とは、JIS Q27014(情報セキュリティガバナンスにおける概念や原則にもとづくガイダンス規格)にもとづいて作成された基準のことです。
会社のセキュリティに関する意思決定などの基準であるため、原則として会社のトップや経営陣がすべての項目を満たす必要があります。
ガバナンス基準には、4桁管理策が18項目設定されています。
2.マネジメント基準
マネジメント基準とは、情報セキュリティマネジメントシステムの計画、運用、監視、処置を実現するための基準のことです。
情報セキュリティにおけるリスクを低減する基準であるため、現場で働く管理者が実施することが一般的です。原則として、すべての項目を実施することが求められます。
マネジメント基準には、3桁管理策が21項目、4桁管理策が64項目設定されています。
3.管理策基準
管理策基準とは、現場においてセキュリティ対策が実施されているかどうかを確認するための基準のことです。特性上、業務の実施者が行うべき基準です。
管理策基準には、3桁管理策が21項目、4桁管理策が1,074項目あります。数が多いことから3桁管理策は原則、すべて対応が必要ですが、4桁管理策は一部対応必須であるものの項目を選んで実施するよう定められています。
ISMAP登録の流れ
それでは、ISMAP登録の流れを紹介します。
1.ISMAPの管理基準に合った内部統制を実施
まずは自社のクラウドサービスにおける情報セキュリティ体制がISMAPの管理基準に適しているかどうか確認しましょう。現状を把握したうえで、管理基準に合うように内部統制を実施します。
具体的には管理基準に則って新たなルールや手順、管理方法を作成し、運用します。運用記録を取り、管理基準を満たしているかどうかを精査し、改善します。
2.監査機関に外部監査を依頼
管理基準に沿った情報セキュリティ体制を構築できたら、ISMAPの監査を依頼します。ISMAPに登録されているリストから監査機関を選びましょう。その際、自社のセキュリティ対策における宣言書である言明書を提出することが必要です。
監査開始後には、経営者確認書を作成して監査機関に提出します。外部監査終了後には、実施結果報告書を受け取れます。
3.ISMAP運営委員会の審査を受ける
登記事項証明書、言明書、監査報告書などの申請書類を揃えたら、外部監査の報告書を受け取った日から1カ月以内に申請を行います。
ISMAP運営委員会による審査が実施され、問題なければISMAPに登録されます。
クラウド情報セキュリティ体制の強化を狙うならISO27017取得がおすすめ
ISO27017は、クラウドサービスの情報セキュリティマネジメントシステムに関する国際規格で、ISO27001 のアドオン規格です。組織のクラウド情報セキュリティ体制を強化し、情報セキュリティリスクを低減することを目的としています。
ISMAPの監査費用は数千万円と高額です。その反面ISO27017は、規模にもよりますがISO27001と合わせても年に100万円行かない程度で取得、維持ができます。
ISO27017は、ISMAPに比べて取得しやすいうえに、取引先の拡大につながったり、自社の内部体質を強化できたりと、ISMAPに代替するメリットを得られる可能性があります。
中小企業も多く取得している規格であるため、ISMAPへの登録を検討している企業の方は、まずISO27001やISO27017について検討することがおすすめです。
ISO27001の詳細は、以下の記事をご覧ください。
まとめ
ISMAPとは、政府が活用するクラウドサービスのセキュリティを評価する制度です。
政府が情報システム基盤として利用するセキュリティ基準をクリアしていることの証明になるため、利用することで提供側も利用者側もメリットが期待できます。
またISMAPは監査費用が高額であるため、同じくクラウドサービスの情報セキュリティ管理に関する規格であるISO27017の取得で代替することもお勧めです。
投資対効果や自社の経営戦略を踏まえて、どちらにするか決めましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい