ISMAP登録に必要な対応は？制定の経緯や3つの基準、メリットを解説

ISMAPは、政府が整備したクラウドサービスのセキュリティ評価・登録制度です。「Information system Security Management and Assessment Program」の頭文字をとったもので、「イスマップ」と呼ばれます。ISMAPの整備後、政府機関が利用するクラウドサービスは、ISMAPに登録されていることが、選定されるための条件となっています。

ISMAPは、政府が求めるセキュリティ基準を満たしているクラウドサービスだけを「ISMAPクラウドサービスリスト」に登録する制度です。政府機関がクラウドサービスを利用する際に、このISMAPクラウドサービスリストに登録されているものから選定することで、セキュリティ水準の確保とクラウドサービスの円滑な導入を図っています。
クラウドサービスの提供会社にとっては、自社のサービスが政府機関から選定されるために、まずISMAPクラウドサービスリストに登録されることが必要です。また、ISMAPクラウドサービスリストは公開されており、独立行政法人情報処理推進機構のISMAPポータルサイト「ISMAP-政府情報システムのためのセキュリティ評価制度」で確認できます。

政府が2018年6月に、「クラウド・バイ・デフォルト原則」を策定したことが、ISMAP制定のきっかけです。この原則は、政府機関が情報システムを導入する際に、クラウドサービスを優先的に検討するという内容です。
当時は、政府機関がクラウドサービスに求めるセキュリティレベルの基準が整理されていなかったため、導入を検討する政府機関ごとに、サービスのセキュリティを調査して導入を行っていました。

個別の調査では非効率なため、2018年7月に閣議決定された「サイバーセキュリティ戦略」において、「クラウド化の推進に当たっては、安全性評価など、適切なセキュリティ水準が確保された信頼できるクラウドの利用を促進する方策について検討し、対策を進める」ことが決定され、必要な制度や環境の整備が進められます。
ISMAPはこの環境整備の一環として、セキュリティ基準を満たすクラウドサービスのリストアップを目的として制定された制度です。その後2020年6月に、NISC（内閣サイバーセキュリティ―センター）・デジタル庁・総務省・経済産業省を所管省庁として、ISMAPの運用が始まりました。

クラウドサービスがISMAPに登録されるには、一定の管理基準を満たしていると認められることが必要です。管理基準は3つの領域の基準から構成されています。それぞれの基準について見てみましょう。

■ISMAPの3つの基準

ISMAP管理基準はJIS Q(ISO/IEC)27001、27002、JIS Q(ISO/IEC)27017を基礎とし、政府統一基準、NIST SP800-53も網羅する形で構成されています。

なお、ガバナンス基準とマネジメント基準はすべて内容の実施が必要ですが、管理策基準については、必要な項目を選択して実施する仕組みとなっています。
ただし、ISMAPは原則全ての項目について実施し、実施しない場合はその理由を説明しなくてはなりません。そのため、他の認証に比べてもより厳しいリスクアセスメントと審査が求められる内容となっています。管理策基準の内容は、クラウドサービス事業者が特に考慮すべき管理策、必ず実施しなければいけない基本言明要件項目、その両方を含む項目の3種に分けて記載されており、提供会社が正しく区別できるようになっています。

ISMAPは、政府機関がクラウドサービスを利用する際に、一定のセキュリティレベルを備えたサービスを、効率的に選定できるように設けられた制度です。一方で、クラウドサービスリストが一般向けに公開されているため、誰でもリストに登録されているサービスを閲覧可能です。この点が政府機関だけでなく、クラウドサービスの提供会社にも、クラウドサービスの導入を検討する企業にもメリットをもたらします。それぞれへのメリットについて解説します。

クラウドサービスの提供会社にとってのメリット

政府機関や企業に、自社のクラウドサービスを利用してもらえる可能性を高められる点が、クラウドサービス提供会社にとっての、ISMAPのメリットです。政府機関に導入されるクラウドサービスはISMAPに登録されていることが原則です。そのため、ISMAPに登録されることで初めて、政府機関に導入される可能性が生まれます。また、ISMAPへの登録は、クラウドサービスが一定のセキュリティレベルを備えていることが審査済みなので、サービスや自社に対する安心感が高まり、多くの企業への導入の後押しとなることも期待できます。

クラウドサービスの導入を検討する企業にとってのメリット

自社でチェックしなくても、一定以上のセキュリティレベルを満たすクラウドサービスを見つけられる点が、クラウドサービス導入を検討する企業にとってのISMAPのメリットです。ISMAPのクラウドサービスリストに登録されているサービスは、第三者機関によって一定のセキュリティレベルを備えていることが客観的に評価されています。そのため、企業がクラウドサービスを導入する際、このリストに登録されているサービスから選定すれば、自社でセキュリティチェックを行う手間をかけずに、一定以上のセキュリティレベルのサービスを導入できます。

自社のクラウドサービスをISMAPに登録することで、提供会社は政府機関や多くの企業でサービスを利用してもらえる可能性が高まります。ここでは、提供会社が自社のクラウドサービスをISMAPに登録するための対応について解説します。

セキュリティルールの作成

ISMAP登録に必要な対応としては、セキュリティルールの作成が挙げられます。ISMAPの管理基準を満たすルールを作成し、具体的に何をするべきかまで詳細に定め、そのルールに沿ってサービスを運営しなければなりません。実際にルールを運用してみて、管理基準を満たさない点があれば改善し、運用記録を収集していきます。

外部監査を受ける

続いて、ISMAP登録には外部監査も必要です。管理基準に則ったルールを作成し、運用体制が整ったら、ISMAPに登録されている監査機関に監査を依頼します。依頼の際は、自社のセキュリティ対策についての宣誓書となる「言明書」などの必要書類が必要です。監査後に経営者確認書を提出し、実施結果報告書を受け取ります。

申請と審査

ルールを作成して外部監査を受けたら、ISMAPを申請し、審査を受けます。外部監査の結果に問題がなければ、報告日から1ヵ月以内にISMAPの登録申請を行う必要が有ります。ISMAPの審査はISMAP運営委員会によって行われ、申請内容に問題がなければISMAPに登録されます。登録申請が受理されてから、実際にISMAPクラウドサービスリストに登録されるには、3ヵ月から6ヵ月ほどかかります。なお、ISMAP登録には有効期限があり、監査対象期間の末日の翌日から1年4ヵ月となっており、登録を維持するためには毎年、ISMAP更新のための審査が必要です。