ISMAPとは？メリットや管理基準、登録の流れをわかりやすく解説

ISMAPとは、政府機関によるクラウドサービスのセキュリティ評価の制度
ISMAPは行政だけでなく民間企業が活用することも可能

2020年、政府機関が利用するクラウドサービスのセキュリティを評価するISMAPという制度の運用開始が発表されました。ISMAPは行政機関だけでなく、民間企業にとっても活用できる制度です。というのも、多くの企業がクラウドサービスを利用していますが、そのセキュリティの安全性を担保できる制度はあまりないためです。

そこで、この記事ではISMAPの概要や成り立ち、活用するメリット、登録の流れについて解説します。

ISMAPとは
ISMAPをクラウドサービス事業者が活用するメリット
- 取引先や顧客の拡大
- 自社サービスの安全性を向上できる
ISMAPをクラウドサービス利用者が活用するメリット
- サービス選定の手間を減らせる
- 安心してサービスを利用できる
ISMAPの3つの管理策
「ISMAPクラウドサービスリスト」登録の流れ
クラウド情報セキュリティ体制の強化を狙うならISO27017取得がおすすめ
- ISMAPとISO27017の違い
- ISO27017取得がおすすめの理由
まとめ

ISMAPとは

まず、そもそもISMAPとはどのようなことを指すのでしょうか。ここではISMAPの基本的な知識を解説します。

ISMAPの概要

ISMAP（Information system Security Management and Assessment Program）とは、政府が求めるセキュリティ要求を満たしているクラウドサービスかどうかを評価する制度です。基準を満たしたサービスだけが、「ISMAPクラウドサービスリスト」に登録されます。

2020年6月に開設された内閣官房、総務省、経済産業省による新しい制度です。政府機関だけでなく、民間企業も自由に閲覧ができるため、クラウドサービスの選定において活用されるようになってきています。

ISMAP成立の背景

ISMAP成立の背景には、爆発的にクラウドサービスが普及したことが挙げられます。最近では、さまざまな組織の基幹システムにクラウドサービスが用いられるようになりました。

この流れを受けて、2010年ごろにはアメリカがクラウドファーストを提唱。日本政府も2018年にクラウドサービスの積極的な利用を方針として定めたことで、ISMAPが発足したのです。

クラウド・バイ・デフォルト原則とは

クラウド・バイ・デフォルト原則とは、「政府の情報システムにはクラウドサービスを利用する」という原則のことです。2018年に発表された「政府情報システムにおけるクラウドサービスの利用に係る基本方針」に記載されています。

そして、セキュリティの不安を払拭してクラウドサービスを利用するために、政府が策定したのがISMAPです。

ISMAPをクラウドサービス事業者が活用するメリット

提供者側であるクラウドサービス事業者がISMAPを活用するメリットを解説します。

取引先や顧客の拡大

ISMAPは、政府主導の制度です。そのため、ISMAPに登録できれば政府からの認定を受けているといえます。

クラウドサービスにおける情報セキュリティ体制をアピールする方法は限られています。厳しい監査基準をクリアできたとあれば、競合他社のクラウドサービスプロバイダーとの差別化につながります。自社の優位性や競争力をアピールできるため、取引先や顧客の拡大が期待できるでしょう。

自社サービスの安全性を向上できる

ISMAPに登録するには、政府が定める厳しいセキュリティ基準を満たすことが必要です。そのため、自社のセキュリティ体制を見直し、より強固にするためのセキュリティ対策に取り組まなければなりません。

その過程で、政府機関に導入できるだけの安全性を手に入れられるでしょう。

ISMAPをクラウドサービス利用者が活用するメリット

ISMAPをクラウドサービス利用者が活用するメリットを解説します。

サービス選定の手間を減らせる

ISMAPに登録されている企業は、ISMAPの求めるクラウドサービスの情報セキュリティの基準を満たしているということの証明につながります。

政府が主導している制度に登録しているサービスであれば、それだけで第三者機関による審査を通過しています。そのため、自社が求めるサービスを、ISMAPに登録しているサービス一覧から簡単に見つけられるでしょう。

安心してサービスを利用できる

利用するサービスのセキュリティにおける安全性が担保されます。
ISMAPに登録するにはISMAPの管理策を満たす体制を構築することが必要です。そのため、登録しているサービスであれば、安心して利用できるでしょう。

ISMAPの3つの管理策

ここでは、ISMAPの「登録されるために満たすことが必要な基準」である管理策を紹介します。

1.ガバナンス基準

ガバナンス基準とは、JIS Q27014（情報セキュリティガバナンスにおける概念や原則にもとづくガイダンス規格）にもとづいて作成された基準のことです。

会社のセキュリティに関する意思決定などの基準であるため、原則として会社のトップや経営陣がすべての項目を満たす必要があります。

ガバナンス基準には、4桁管理策が18項目設定されています。

2.マネジメント基準

マネジメント基準とは、情報セキュリティマネジメントシステムの計画、運用、監視、処置を実現するための基準のことです。

情報セキュリティにおけるリスクを低減する基準であるため、現場で働く管理者が実施することが一般的です。原則として、すべての項目を実施することが求められます。

マネジメント基準には、3桁管理策が21項目、4桁管理策が64項目設定されています。

3.管理策基準

管理策基準とは、現場においてセキュリティ対策が実施されているかどうかを確認するための14のカテゴリの基準のことです。特性上、業務の実施者が行うべき基準です。

情報セキュリティのための方針群
情報セキュリティのための組織
人的資源のセキュリティ
資産の管理
アクセス制御
暗号
物理的及び環境的セキュリティ
運用のセキュリティ
通信のセキュリティ
システムの取得、開発及び保守
供給者関係
情報セキュリティインシデント管理
事業継続マネジメントにおける情報セキュリティの側面
順守

管理策基準には、3桁管理策が21項目、4桁管理策が1,074項目あります。
3桁管理策は原則、すべて対応が必要ですが、4桁管理策は一部対応必須であるものの、項目を選んで実施するよう定められています。

「ISMAPクラウドサービスリスト」登録の流れ

それでは、「ISMAPクラウドサービスリスト」への登録の流れを紹介します。

1.ISMAPの管理基準に合った内部統制を実施

まずは自社のクラウドサービスにおける情報セキュリティ体制がISMAPの管理基準に適しているかどうか確認しましょう。現状を把握したうえで、管理基準に合うように内部統制を実施します。

具体的には管理基準に則って新たなルールや手順、管理方法を作成し、運用します。運用記録を取り、管理基準を満たしているかどうかを精査し、改善します。

2.監査機関に外部監査を依頼

管理基準に沿った情報セキュリティ体制を構築できたら、ISMAPの監査を依頼します。ISMAPに登録されているリストから監査機関を選びましょう。その際、自社のセキュリティ対策における宣言書である言明書を提出することが必要です。

監査開始後には、経営者確認書を作成して監査機関に提出します。外部監査終了後には、実施結果報告書を受け取れます。

関連ページ：ISMAP監査機関リスト（外部リンク）

3.ISMAP運営委員会の審査を受ける

登記事項証明書、言明書、監査報告書などの申請書類を揃えたら、外部監査の報告書を受け取った日から1カ月以内に申請を行います。

ISMAP運営委員会による審査が実施され、問題なければISMAPに登録されます。

クラウド情報セキュリティ体制の強化を狙うならISO27017取得がおすすめ

ISO27017は、クラウドサービスの情報セキュリティマネジメントシステムに関する国際規格で、ISO27001 のアドオン規格です。組織のクラウド情報セキュリティ体制を強化し、情報セキュリティリスクを低減することを目的としています。

ここでは、ISMAPとISO27017の違いや、クラウド情報セキュリティ体制の強化にISO27017がおすすめの理由を解説します。

ISMAPとISO27017の違い

ISMAPとISO27017の主な違いを以下にまとめました。

項目	ISMAP	ISO27017
概要	日本政府情報システムのための、クラウドサービスのセキュリティ評価制度	クラウドサービスの情報セキュリティマネジメントシステムに関する国際規格
審査費用	数千万円～1億円	数十万円～100万円
監査機関	ISMAP監査機関	ISO27001認証機関
適用される管理策	ISMAP管理基準	ISO27001附属書A
備考	「ISMAPクラウドサービスリスト」に登録されると、政府調達の候補になる	国際規格であるため、国内外の取引において有効

ISMAPのガバナンス基準やマネジメント基準は、ISO27017と同様の内容であるJIS27017の管理策が基礎とされています。そのため、両者は異なる基準をもっているものの、ISMAPはISO27017をベースとしている部分もあるのです。

ISO27017取得がおすすめの理由

ISO27017取得がおすすめの理由は、審査費用や工数の差にあります。
上記に述べたように、ISMAPの審査費用は数千万円以上になるため、非常に高額です。一方ISO27017は規模にもよりますが、ISO27001と合わせても年に100万円行かない程度で取得、維持ができます。

また、ISO27017は、ISMAPに比べて取得しやすいうえに、取引先の拡大につながったり、自社の内部体質を強化できたりと、ISMAPに代替するメリットを得られる可能性があります。

中小企業も多く取得している規格であるため、ISMAPへの登録を検討している企業の方は、まずISO27001やISO27017について検討することがおすすめです。

ISO27001の詳細は、以下の記事をご覧ください。

まとめ

ISMAPとは、政府が活用するクラウドサービスのセキュリティを評価する制度です。

政府が情報システム基盤として利用するセキュリティ基準をクリアしていることの証明になるため、利用することで提供側も利用者側もメリットが期待できます。

またISMAPは監査費用が高額であるため、同じくクラウドサービスの情報セキュリティ管理に関する規格であるISO27017の取得で代替することもお勧めです。

投資対効果や自社の経営戦略を踏まえて、どちらにするか決めましょう。

無料資料 | ISO27001・Pマーク導入徹底解説
『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
必須ご担当者様名
必須電話番号
任意会社名
任意メールアドレス
必須個人情報の取り扱い
下記個人情報保護方針について同意する（個人情報保護方針を読む）