１．ISMAPに必要な管理基準３つ

ISMAPの登録を目指す事業者は、以下の３つの基準を管理策として実施する必要があります。

⑴ガバナンス基準

ガバナンス基準とは、JIS Q 27014に基づき、企業や組織の経営陣が情報セキュリティを管理・統制するための指針とするものです。これには、セキュリティ方針の策定、各部門への指示、リスク評価、改善活動などが含まれています。

これらのプロセスは組織全体のセキュリティ向上を目的とします。また、ガバナンス基準の項目は全て原則として実施が求められます。

⑵マネジメント基準

 マネジメント基準とは、JIS Q 27001を参考に、情報セキュリティマネジメントを行う管理者が実施すべき事項を定めているものです。具体的には、セキュリティ計画の策定、構築、運用、定期的なレビュー、問題発生時の改善、コミュニケーションなどが含まれています。

マネジメント基準の項目は、ガバナンス基準と同様に、原則として全て実施することが求められます。

⑶管理策基準

管理策基準とは、企業がリスク対応方針に基づいて情報セキュリティの具体的な管理策を選択・実施するための指針です。具体的には、人的資源のセキュリティ、情報資産の管理、アクセス制御などが含まれます。

この基準はJIS Q 27002やJIS Q 27017をベースに、NIST SP800-53や政府統一基準も取り入れて構成されているものになります。

２．ISMAP管理基準の入手方法

ISMAPの管理基準を確認したい場合には、公式サイトからPDFをダウンロードすることができます。また、各項目の詳細に関しては対象のJIS規格を購入してすることで確認することができます。

 ３．そもそもISMAPとは？

⑴ISMAPについて

ISMAP（Information System Security Management and Assessment Program）は、日本政府がクラウドサービスのセキュリティを評価し、認定するためのプログラムです。政府機関がクラウドサービスを利用・導入する際に、信頼性の高いサービスを選定するための基準となっています。

ISMAPに準拠するために、クラウドサービスは、ISMAP管理基準の様々な要件を満たす必要があり、クラウドサービス提供者は情報セキュリティのリスク管理、監視、事業継続計画などの管理策を実施することが求められます。

⑵ISMAPがはじまった経緯

ISMAPの設立経緯は、2018年の「政府情報システムにおけるクラウドサービスの利用に係る基本方針」に基づきます。この方針では、政府がクラウドサービスを利用する際に「クラウド・バイ・デフォルト原則」が示されましたが、当時は各政府機関が個別にクラウドサービスのセキュリティ対策を評価していました。

これを改善するため、2018年に「未来投資戦略2018」や「サイバーセキュリティ戦略」でクラウドサービスの安全性評価が検討され、総務省と経済産業省が中心となって評価基準や監査の枠組みが作られました。その後、2019年の「デジタル・ガバメント実行計画」を経て、2020年にISMAPの基本的枠組みや運用体制が整備され、運用が開始されました。

４．ISMAPの需要が増えている理由

ISMAPの需要が増えている理由は、政府機関や公共団体がクラウドサービスの利用を進める中で、セキュリティの信頼性が重要視されているためです。

特に「クラウド・バイ・デフォルト原則」の導入により、政府がクラウドを優先的に採用する方針を掲げたことが大きな要因です。ISMAPは、クラウドサービス提供者のセキュリティ対策を評価・認定することで、安心してクラウドを利用できる環境を提供し、需要が増加しています。

５．ISMAP取得企業の調べ方

デジタル庁にて、下記認定されたクラウドサービスプロバイダーのリストが公開されています。公式サイトにアクセスすることで、認定済み企業の一覧を確認することができます。

６．ISMAPとISMAP-liuの違い

ISMAPとISMAP-LIUの違いは、主に対象と認定範囲にあります。ISMAPは、クラウドサービスのセキュリティを評価し、日本政府機関が安心して利用できるようにするための認定プログラムです。クラウドサービス提供者がこの認定を取得することで、政府機関がそのサービスを利用する際のセキュリティ基準を満たしていることが証明されます。

一方、ISMAP-LIUは、地方公共団体向けのクラウドサービスに特化したセキュリティ評価プログラムです。ISMAPと同様に、クラウドサービスの安全性を評価しますが、地方自治体のニーズや要件に合わせた認定基準となっています。

つまり、ISMAPは政府機関向け、ISMAP-LIUは地方自治体向けのセキュリティ認定制度となります。

７．ISMAP認定のクラウドサービス

ISMAPから認定を受けているクラウドサービスについて、各サービスモデルごとに代表例をご紹介します。

IaaS (Infrastructure as a Service)

①Amazon Web Services (AWS)
AWSは、幅広いIaaSソリューションを提供し、ISMAPに認定されています。

②Microsoft Azure
Azureも多くのIaaSサービスがISMAPの認定を受けており、政府機関向けに利用可能です。

PaaS (Platform as a Service)

①Google Cloud Platform (GCP)
GCPは、アプリケーション開発向けのプラットフォームとしてISMAPに認定されています。

②IBM Cloud Foundry
IBMのPaaSソリューションもISMAPの基準を満たしています。

SaaS (Software as a Service)

①Salesforce
SalesforceのCRMソリューションは、ISMAPに認定されているSaaSサービスの一例です。

②Box
Boxは、クラウドベースのファイル共有とコラボレーションプラットフォームとしてISMAPに認定されています。

その他、詳しい情報については、ISMAPの公式ウェブサイトからリストを確認してください。

８．ISMAP認定の大まかな流れ

ISMAPの登録プロセスは、以下の3つのフェーズに分かれています。

準備段階

まずは、「管理基準」の要件を満たしているか自社のクラウドサービスを精査します。
適合していない部分があれば改善を行います。

外部監査の実施

続いて、ISMAPの監査機関に情報セキュリティ監査を依頼します。
監査内容は「整備状況評価」と「運用状況評価」です。
監査後、結果を報告書として受け取り、ISMAP登録申請に必要な書類として提出します。

審査と登録

最後にCSPが必要書類をISMAP運営委員会に提出し、審査を受けます。
問題がなければ「ISMAPクラウドサービスリスト」への登録が認められます。
このリストはウェブサイトで公開され、登録日や有効期限などが確認できます。
更新は有効期限切れ前に行う必要があります。

９．まとめ

ISMAPとは、政府情報システムのためのセキュリティ評価制度です。　

ISMAPの認証を受けるのは中小規模の組織にはかなりハードルが高く、コスト面が課題になることが多いです。ISMAPと比較すると難易度が低いISO27001（ISMS）やISO27017で代替できる場合があります。

どの規格を取得するべきかお悩みの方は、ぜひ一度ご相談ください。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

• 無料相談はこちら▶️
• 見積もり依頼はこちら▶️