ISMAP(イスマップ)とは?概要、登録方法や費用などを解説
現在の企業運営にはIT技術は欠かせないものとなっており、「クラウド」の活用はDXの推進などに不可欠な技術です。
そんなクラウドに関連する評価制度が政府関係機関によって制定されました。それが「ISMAP(イスマップ)」です。
この制度は、クラウドサービスのセキュリティ水準を確保し、政府機関が円滑にクラウドサービスの導入を推進することを目的として運用が始まりました。
本記事では、ISMAPの基本的な概要からガバメントクラウドとの違い、ISMAPを活用するメリットなどについて解説していきます。
ISMAPとは
ISMAPとは、政府情報システムのためのセキュリティ評価制度のことで、「Information system Security Management and Assessment Program」の略称です。
ここでは、ISMAPの概要、運営組織、ISMAP-LIUとの違いなどについて詳しく説明していきます。
ISMAPの概要
ISMAPは、政府がクラウドサービスを安全に利用するための仕組みとして、2020年から運用が開始されました。
ISMAPは、対象のクラウドサービスが、政府機関の情報システムに必要とされるセキュリティ要件を満たしているかをISMAP運営委員会が評価・認証し、基準をクリアしたクラウドサービスだけが登録される仕組みになっています。
つまり、ISMAPに登録されているクラウドサービスは、政府の求めるセキュリティ要件を満たしているクラウドサービスであるということになります。
「ISMAPクラウドサービスリスト」とは
ISMAPで定められたセキュリティ評価基準をクリアし、政府機関の利用が認められたクラウドサービスの一覧は「ISMAPクラウドサービスリスト」と呼ばれます。
ISMAPクラウドサービスリストは、ISMAPポータルサイト上で公開されています。基本的には政府機関がクラウドサービスの調達の際に参照するものですが、誰でも参照できる形で公開されているため、リストの情報を民間企業でも活用することで、クラウドサービスの適切な選定・活用に役立てることが期待されています。
ISMAPの運営組織
ISMAPは、総務省、経済産業省、内閣官房(内閣サイバーセキュリティセンター)、デジタル庁からなるISMAP運営委員会が運営を行っています。
ISMAP運営委員会は、ISMAPの最高意思決定機関として、クラウドサービスリストの運用や情報セキュリティに関する管理基準の制定などを実施しています。
また、ISMAP運営委員会だけでなく、独立行政法人情報処理推進機構(IPA)も制度運用や評価に必要となる技術支援を行っています。
ISMAPとISMAP -LIUの違い
ISMAP-LIUとは「ISMAP for Low-Impact Use」の略称で、ISMAPの対象となるクラウドサービスのうち、セキュリティリスクの低い業務や情報の処理に用いるSaaSを対象とした評価の仕組みのことです。ISMAP-LIUはISMAPと同様に、一定の評価制度にもとづいた審査を経て登録される仕組みですが、ISMAPと比較すると審査フローや監査の内容が異なります。
ISMAP-LIUとISMAPの最も大きな差は外部監査の対象範囲です。
ISMAPでは、ISMAP管理基準で定めるすべての項目に対して外部監査の実施が義務付けられるのに対し、ISMAP-LIUではガバナンス・マネジメント基準と、重大な事故につながるリスクのある管理策を中心とした項目に監査範囲が縮小されます。
つまり、用途が限定される代わりに、登録までの審査のハードルを下げた仕組みがISMAP-LIUであるということになります。
ISMAP制定の経緯
ISMAPが制定された背景には、政府機関におけるクラウドサービス活用推進の流れがあります。
政府は2018年に公表された「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の中で示された「クラウド・バイ・デフォルト原則」に則り、クラウドサービスの利用を進めてきました。
しかし、当時はそれぞれの政府機関が個別にクラウドサービスのセキュリティ対策状況を評価していたため、効率が悪く、評価基準も統一されていませんでした。
そこで、政府が利用するクラウドサービスのセキュリティ水準を確保し、クラウドサービスを調達しやすくすることを目的としてISMAPが設立されたのです。
ガバメントクラウドとISMAPの関係
ガバメントクラウドとは、地方自治体などの行政機関が共通的に利用することのできるクラウドサービスのことです。
これまで行政機関ごとに開発・運用されてきた業務システムをクラウドサービスによって共通化し、地方自治体ごとにシステムを開発・運用するコストを削減することを目的としています。
ガバメントクラウドの基盤となるクラウドサービスは、ISMAPに登録されている必要があります。
そのため、ISMAPはガバメントクラウドのセキュリティ基準を満たすための評価制度として機能しています。
●ガバメントクラウドについては下記の記事をご覧ください。
ガバメントクラウド(政府クラウド)とは?概要などを解説
ISMAPに登録する際の条件
ISMAPに登録する際には、ガバナンス基準、マネジメント基準、管理策基準の3つの管理基準を満たす必要があります。
それぞれの基準について詳しく説明していきます。
ガバナンス基準
ガバナンス基準では、クラウドサービス事業者の経営陣が実施すべき項目を定めています。
ガバナンス基準は、組織全体の情報セキュリティに対する方針や体制を評価する基準となります。
具体的には、組織の経営層によって情報セキュリティ方針が承認されていること、情報セキュリティ管理体制の構築や監査の実施などによって、有効性や達成度をモニタリングする仕組みが確立されていることなどがあります。
ガバナンス基準に定められている項目は、原則としてすべて実施する必要があります。
マネジメント基準
マネジメント基準では、情報セキュリティマネジメントの管理者が実行すべき事項を定めています。
具体的には、情報セキュリティリスクの分析と、それにもとづく対策計画、教育訓練、事故対応などの実施を求める内容となっています。
クラウドサービス事業者は、マネジメント基準にもとづいて、リスク分析を踏まえた網羅的な取り組みを計画・実行する必要があります。
ガバナンス基準と同様に、マネジメント基準に記載されている項目も原則としてすべて実施することが求められます。
管理策基準
管理策基準とは、クラウドサービスに適用される情報セキュリティ対策における管理策を実施する際の基準です。
管理策基準は、人的資源のセキュリティ、運用のセキュリティ、インシデント管理などの14のカテゴリに分かれています。各事項は、統制目標と詳細管理策の2つに分かれており、統制目標は原則として実施が必須となります。
一方で、詳細管理策については、一部の必須項目以外は、クラウドサービス事業者の組織・環境・技術等にもとづいて必要な内容を選択する形になっています。
ISMAPのメリット
ISMAPを活用することで、登録企業側(クラウドサービス事業者)とサービス利用者側(政府機関や民間企業)の双方にメリットがあります。
両者のメリットについて、それぞれ解説していきます。
登録企業側
ISMAPに登録することで、自社のクラウドサービスが厳しいセキュリティの要求基準を満たしていることの証明となり、他社との差別化につながります。
自社サービスの安全性をアピールできるため、取引先の拡大につながる効果も期待できるでしょう。
また、ISMAPで定められたセキュリティ基準を満たすための取り組みを進めることで、自社のセキュリティ対策を強化できるというメリットもあります。
ISMAPの基準に則り、継続的にセキュリティ体制を見直し、改善していくことで、自社のクラウドサービスのセキュリティレベルの向上が見込めるでしょう。
サービス利用者側
サービス利用者側から見れば、ISMAPに登録されている企業は一定のセキュリティ基準を満たしているサービスとなります。
そのため、ISMAPの登録事業者のサービスを利用することで、安全なサービスを選択することができます。
機密性の高い情報を扱うシステムにとっては、セキュリティレベルの担保が非常に重要となるため、ISMAPに登録されているサービスであれば、安心して利用することができるでしょう。
さらに、ISMAPに登録されている中からクラウドサービスを選定すれば、個別にセキュリティ基準を確認し、評価する手間を省くことができるというメリットもあります。
ISMAPへの登録方法
実際にISMAPの審査を受け、クラウドサービスを登録するためには、どのような準備や手続きを行う必要があるのでしょうか。
ここでは、これからISMAPを取得したいと考えている事業者が、どのような流れで登録を進めていけばよいのかについて解説していきます。
セキュリティの内部統制の整備と言明書の作成
ISMAPに登録申請を行い、審査を通過するためには、ISMAPの管理基準に適合している必要があります。
そのため、まずは申請前にISMAPの基準に則り、内部統制の整備・運用を行いましょう。
また、登録申請には、申請者のセキュリティ対策について、基本言明要件に沿った言明書(セキュリティ対策を明文化した文書)の作成が求められます。審査の際の重要な評価材料となりますので、必要に応じて専門家の支援も受けながら言明書を作成するとよいでしょう。
監査の依頼と結果報告書の取得
セキュリティ内部統制の整備と言明書の作成が完了したら、外部監査の依頼を行います。
ISMAPへの登録を行う際には、ISMAP監査機関リストに登録されている監査機関に依頼し、自社のセキュリティ体制に対する外部監査を実施する必要があります。
監査では、言明書の内容と実際のセキュリティ対策が一致しており、ISMAPの評価基準を満たしているかを厳格にチェックされます。監査の結果は、実施結果報告書にまとめられます。
クラウドサービスの登録申請
登録申請に向けた準備ができたら、ISMAPの公式ウェブサイトに掲載されている申請書に、必要事項を記入して登録申請を行います。
登録申請はISMAPポータルサイトで行う必要があるため、手順書に沿って申請を実施しましょう。
審査と登録
クラウドサービスの登録申請が問題なく受理されれば、ISMAP運営委員会による審査が行われます。
審査期間は最長6か月となっているため、余裕を持って申請を行うようにしましょう。
クラウドサービスがISMAPの基準をクリアしていると判断されると、ISMAPへの登録が行われ、ISMAPクラウドサービスリストに掲載されます。
ISMAPを導入する際の費用
ISMAPの登録申請自体は無料でできますが、ISMAPの導入にあたっては、外部監査をはじめとした諸々の費用がかかります。
具体的には、監査法人への依頼費用や、有識者のコンサルティング費用、脆弱性診断・ペネトレーションテスト費用などです。
ISMAPの導入にかかる費用について、それぞれ説明していきます。
監査費用
ISMAPの登録申請時には、ISMAPの指定する監査機関に監査を依頼する必要があるため、監査機関に対する費用は必ず支払う必要があります。
監査機関には、2024年10月時点では、EY新日本有限責任監査法人、有限責任監査法人トーマツ、有限責任あずさ監査法人、PwC JAPAN有限責任監査法人、三優監査法人の5法人が登録されています。
費用は監査法人によって異なるため、まずは見積を取得したうえで、依頼する監査法人を決定しましょう。
一般的には、数百万円~数千万円の費用がかかります。
コンサルティング費用
コンサルティング会社への依頼は必須ではありませんが、ISMAPへの登録に関するノウハウがない場合には、コンサルティング会社へ依頼して、登録申請までのサポートを受けることが望ましいでしょう。
外部のコンサルティング会社にサポートを依頼する場合には、コンサルティング費用もかかってきます。
費用は数百万円~数千万円程度となりますが、どこまでのサポートを受けるかによっても大きく変動しますので、自社に必要なサポートの内容をよく検討したうえで依頼するとよいでしょう。
脆弱性診断・ペネトレーションテスト費用
ISMAP登録申請時には、ペネトレーションテストや脆弱性診断等の第三者による検査の実施状況と結果の受け入れに関する情報の提供が必要となります。正確には脆弱性診断・ペネトレーションテストは必須であると明記されていませんが、第三者による客観的な評価が求められるため、実質的に必要になると考えておいたほうがよいでしょう。
費用には幅がありますが、場合によっては数千万円程度の費用がかかる場合もあります。
ISMAPの導入や運用における注意点
ISMAPへ登録することで、自社のクラウドサービスの信頼性向上や、新たなビジネスチャンスの獲得につながる可能性があります。
一方で、高額な費用が必要となること、登録・運用には専門知識が必要となることなど、注意しておくべき点も存在します。
ISMAPの導入・運用における注意点について、以下に説明していきます。
費用対効果を慎重に評価する
ISMAPへの登録には、監査費用、そして継続的なセキュリティ対策のための費用など高額な費用がかかる場合があります。
そのため、ISMAPへの登録が自社のビジネス戦略やターゲット市場に合致しているかを考慮して、長期的な視点で費用対効果を慎重に評価することが重要です。
例えば、政府機関との取引を拡大したい、自社のサービスの信頼性を高めたいといった明確な目的と、その目的達成のためにISMAPへの登録が不可欠であるかを検討しましょう。
登録・運用には専門知識が求められる
ISMAPの基準を理解し、対策を行っていくためには、セキュリティに関する専門的な知識が必要とされます。
また、基準は随時改定される可能性があるため、常に最新の情報を把握し、自社のセキュリティ体制をアップデートしていくことが重要です。
そのため、ISMAPへの登録・運用には、セキュリティに関する専門知識を持つ人材が必要となります。
登録後も継続的な対応が必要
ISMAPへの登録時だけでなく、登録後もISMAPの基準を満たし続けなければならないため、継続的な対応が必要となる点も認識しておきましょう。
例えば、定期的な監査の実施や、自社内におけるセキュリティ対策の実施に加えて、自社のクラウドサービスに変更が発生した場合、新たな環境について改めて監査や自己評価を行う必要も出てきます。
ISMAPの今後の展望と課題
今後、ISMAPは政府機関だけでなく、民間企業における活用が浸透していくことが見込まれています。また、クラウドサービスの技術革新やセキュリティ脅威の変化に対応するために、ISMAPの評価基準や管理策の継続的な更新が行われることが予想されています。
そのため、ISMAPは最新のセキュリティ体制を反映したクラウドサービスの安全性を評価する制度として、今後も重要な役割を果たしていくことが期待されます。
一方で、ISMAPの課題としては、登録にかかる費用が高額であり、クラウドサービス事業者の負担が大きいことが挙げられます。
今後、中小企業や新興企業なども外部監査に参入できるようにするなど、柔軟な対応が求められていくでしょう。
・TD SYNNEXではISMAP認定の各種クラウドサービスを取り扱っています。詳しくはお問い合わせください。
(著者プロフィール)
羽守ゆき
大学を卒業後、大手IT企業に就職。システム開発、営業を経て、企業のデータ活用を支援するITコンサルタントとして10年超のキャリアを積む。官公庁、金融、メディア、メーカー、小売など携わったプロジェクトは多岐にわたる。現在もITコンサルタントに従事するかたわら、ライターとして活動中。