【初めての人向け】今話題のISMAPとは何か？をわかりやすく説明

1.ISMAPとは

ISMAP（イスマップ）とは、「Information system Security Management and Assessment Program」の略称で、政府情報システムのためのセキュリティ評価制度です。

簡単に言うと、「政府がクラウドサービスを利用もしくはお仕事を発注するとき、基準がないと選定に困る」という経緯からISMAP（イスマップ）の評価制度が始まりました。

政府は、原則としてISMAP取得企業からクラウドサービスを調達するようにと発信しております。

つまり、持っていると政府機関や地方自治体とのお仕事、公共入札案件などでも有利に働くため、取得を目指す企業が増えている状況です。

2.ISMAPとISO27001（ISMS）、ISO27017の違いについて

ISMAPと似たような規格で、ISO27001（ISMS）とISO27017と呼ばれるものがあります。

• ISO27001（ISMS）・・・情報資産のセキュリティを管理するための規格
• ISO27017・・・クラウドセキュリティに関する規格

後述しますが、ISMAPの取得は中小規模の組織にはかなりハードルが高いものとなっております。

「うちの会社はISMAP取れないの？」
「ISO27001（ISMS）やISO27017で代替できるの？」
「情報収集のために簡単に比較したい」

という方に向けた簡易の比較表を用意しました。ご覧ください。

3.ISMAPはどういう企業が取得するのか？

ISMAPを取得するのは主に、「政府機関とお仕事をしている」もしくは、「自社クラウドサービスを導入してほしいと考えている」企業です。
2020年から始まり、全国で約60サービスがISMAPを取得しております。

日本全国でクラウドサービスを提供している会社は無数に存在しますが、ISMAPを取得している企業は極端に少ないですね。

※具体的にどの会社のどのサービスがISMAPを取得しているかは、「ISMAP　クラウドサービスリスト」でWEB検索してみると出てきます。

4.ISMAP取得のメリット

ISMAPの取得メリットは、なんと言っても政府機関や地方自治体とのお仕事、公共入札案件などでも有利に働くことです。

政府は、原則としてISMAP取得企業からクラウドサービス調達をするようにと発信しているため、ISMAPを取得していることだけで企業の強みと言えるでしょう。

5.ISMAP取得にかかる期間は？

ISMAP取得まで約2年ほどかけている企業が多いです。

まず1年かけてルールの整備や提出すべき書類を作ること、審査のときに提出すべき記録やログを取ることに注力します。
そして、書類等が一式揃った後「監査」というものを受けます。（後述します）

監査に通過したあと申請を行い、取得まで最短でも3ヶ月ほど（一般的には6ヶ月ほど）かかるケースが多いです。

6.ISMAPの取得方法を解説

ステップ①：統制・整備・運用

ISMAP取得のため、統制、整備、運用をしていきます。
ISMAPには約1,200項目の要求があり、それをルール化・文書化・現場に落とし込み運用、記録（ログ）の収集をしていきます。

ステップ②：書類提出

言明書、経営者確認書などの、ISMAPに必要な書類を監査機関に提出します。

ステップ③：監査

一番大切な監査です。
ISMAPの監査ができる団体は現在、5団体しかありません。

• EY新日本有限責任監査法人
• 有限責任監査法人トーマツ
• 有限責任あずさ監査法人
• PwCあらた有限責任監査法人
• 三優監査法人

ステップ④：改善活動

監査を受けて、改善点が見つかった場合、改善活動を行います。

ステップ⑤：申請

監査で重大な発見事項が無かった場合、ISMAP運用支援機関（IPA）にISMAP登録申請することができます。

ステップ⑥：審査

ISMAP運用支援機関（IPA）が申請を受理し、ISMAP運営委員会が審査を行います。

ステップ⑦：取得・リスト登録

おめでとうございます。ISMAP取得です。
ISMAPクラウドサービスリストへの登録も行われます。

ちなみに、ISMAP登録の有効期限は、監査対象期間の末日の翌日から1年4ヶ月です。
つまり、毎年ISMAP更新審査があるという認識を持っておくのが良いです。

7.ISMAP取得にかかる費用は？

ISMAP取得にかかる費用は大きく２つあります。

• ①監査機関　　　　　　　　　・・・監査費用
• ②コンサルティング　　　　　・・・コンサル費用

※ISMAP運用支援機構（IPA）への費用はかかりません。

規模にもよりますが、①＋②で、約3,000~5,000万円が一般的にかかります。

「こんなにかかるの！？」と思った方は多いのではないでしょうか？
そのような方への代替案がISO27001（ISMS）とISO27017です。

一例ですが、費用感でいうと10分の1以下に圧縮できたという事例も数多くります。

8.ISMAPの取得に必要な具体的な実施事項は？

約1,200項目の内訳は、大きく３つに分かれております。

その３つの基準の下に細かい項目が1,200個ほど連なっているイメージです。

ちなみに、4桁管理策で「不採用」とした場合、不採用にした項目でも、なぜ不採用にしたのかの理由記載が必要です。
なんでもかんでも不採用にできませんし、理由も明確でなければ監査で引っかかりますので、注意が必要です。

具体的な実施事項としては、以下のようなイメージです。

(１)ガバナンス基準

経営陣は、情報セキュリティの戦略及び方針を承認する。

• (ア)経営陣は、管理者に、情報セキュリティの戦略及び方針を策定・実施させる。
• (イ)経営陣は、管理者に、情報セキュリティの目的を事業目的に合わせて調整させる。

→この要求を満たした社内ルールを制定し、規程に入れ、方針をつくる。（ISOやISMSの活動に近い）

(２)マネジメント基準

管理層が、その職掌範囲、組織等において、リーダーシップを発揮できるよう、トップマネジメントは、管理層に、必要な権限を委譲していることを確認する。

→この要求を満たした社内ルールを制定し、規程に入れ、記録をつくる。（ISOやISMSの活動に近い）

(3)管理策基準

クラウドサービス事業者は、クラウドサービス利用の合意の終了時における、クラウドサービス利用者の全ての資産の返却及び除去の取決めについて、情報を提供する。

→セキュリティルールの制定や、サービス自体のプログラム改修、ログ取り、記録作りなど、より実務的なものがチェックされ、改善活動が必要になる。

まとめ

ISMAP（イスマップ）とは、政府情報システムのためのセキュリティ評価制度です。

ISMAP取得は中小規模の組織にはかなりハードルが高く、ISMAPと比較すると難易度が低いISO27001（ISMS）やISO27017で代替できる場合があります。

どの規格を取得するのかお悩みの方は、ぜひ一度認証パートナーにご相談ください。

関連：人事担当者向け：グローバル人材育成における課題と解決法｜グローバル人材育成、外国人部下マネジメントなら「グローバル研修withCQI」

関連：【採用前必読】ベトナム人雇用の注意点やメリット～性格や特徴を理解して問題回避～｜ (株)Joh Abroad

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

• 無料相談はこちら
• 見積もり依頼はこちら