ISMAP登録に必要な対応は?制定の経緯や3つの基準、メリットを解説

ISMAP登録に必要な対応は?制定の経緯や3つの基準、メリットを解説

公開日
2023年8月28日

クラウドサービスが企業や政府機関などで幅広く活用されるようになり、2020年に統一的なセキュリティ評価制度「ISMAP」が整備されました。本制度は中央省庁、独立行政法人におけるクラウドサービス選定を効率化する目的として創設されましたが、その後、2023年3月に改訂された「地方公共団体における情報セキュリティポリシーに関するガイドライン」の中でもクラウドサービスの選定基準の一つとして言及されています。
また、経済安全保障推進法の議論されている、特定社会基盤事業者の事前届出制度においてもクラウドサービスを選定する際の審査除外要件として言及されています。そのため、現在では多くの企業は、クラウドサービスを導入する際に、検討しているサービスがISMAPに登録されているかどうかを、セキュリティ面の参考にしているのではないでしょうか。
ここでは、ISMAPの制定の経緯や3つの基準、メリット、登録されるための対応について解説します。

ISMAPは政府によるクラウドサービスの評価・登録制度

ISMAPは、政府が整備したクラウドサービスのセキュリティ評価・登録制度です。「Information system Security Management and Assessment Program」の頭文字をとったもので、「イスマップ」と呼ばれます。ISMAPの整備後、政府機関が利用するクラウドサービスは、ISMAPに登録されていることが、選定されるための条件となっています。

ISMAPは、政府が求めるセキュリティ基準を満たしているクラウドサービスだけを「ISMAPクラウドサービスリスト」に登録する制度です。政府機関がクラウドサービスを利用する際に、このISMAPクラウドサービスリストに登録されているものから選定することで、セキュリティ水準の確保とクラウドサービスの円滑な導入を図っています。
クラウドサービスの提供会社にとっては、自社のサービスが政府機関から選定されるために、まずISMAPクラウドサービスリストに登録されることが必要です。また、ISMAPクラウドサービスリストは公開されており、独立行政法人情報処理推進機構のISMAPポータルサイト「ISMAP-政府情報システムのためのセキュリティ評価制度」で確認できます。

ISMAP制定の経緯

政府が2018年6月に、「クラウド・バイ・デフォルト原則」を策定したことが、ISMAP制定のきっかけです。この原則は、政府機関が情報システムを導入する際に、クラウドサービスを優先的に検討するという内容です。
当時は、政府機関がクラウドサービスに求めるセキュリティレベルの基準が整理されていなかったため、導入を検討する政府機関ごとに、サービスのセキュリティを調査して導入を行っていました。

個別の調査では非効率なため、2018年7月に閣議決定された「サイバーセキュリティ戦略」において、「クラウド化の推進に当たっては、安全性評価など、適切なセキュリティ水準が確保された信頼できるクラウドの利用を促進する方策について検討し、対策を進める」ことが決定され、必要な制度や環境の整備が進められます。
ISMAPはこの環境整備の一環として、セキュリティ基準を満たすクラウドサービスのリストアップを目的として制定された制度です。その後2020年6月に、NISC(内閣サイバーセキュリティ―センター)・デジタル庁・総務省・経済産業省を所管省庁として、ISMAPの運用が始まりました。

ISMAPの3つの基準

クラウドサービスがISMAPに登録されるには、一定の管理基準を満たしていると認められることが必要です。管理基準は3つの領域の基準から構成されています。それぞれの基準について見てみましょう。

■ISMAPの3つの基準

領域 内容

ガバナンス基準

「JIS Q 27014(情報セキュリティガバナンスの概念及び原則を示したJIS規格)」をもとに作成されたもので、情報セキュリティ対策において、経営陣が実施すべき事項がまとめられている

マネジメント基準

情報セキュリティマネジメントの計画、実行、処置、およびリスクコミュニケーションに必要な実施事項など、管理者が実施すべき事項がまとめられている
管理策基準 情報セキュリティ対策を実施する上で、現場(業務実施者)が取り組むべき、技術的かつ具体的なセキュリティ対策がまとめられている

ISMAP管理基準はJIS Q(ISO/IEC)27001、27002、JIS Q(ISO/IEC)27017を基礎とし、政府統一基準、NIST SP800-53も網羅する形で構成されています。

なお、ガバナンス基準とマネジメント基準はすべて内容の実施が必要ですが、管理策基準については、必要な項目を選択して実施する仕組みとなっています。
ただし、ISMAPは原則全ての項目について実施し、実施しない場合はその理由を説明しなくてはなりません。そのため、他の認証に比べてもより厳しいリスクアセスメントと審査が求められる内容となっています。管理策基準の内容は、クラウドサービス事業者が特に考慮すべき管理策、必ず実施しなければいけない基本言明要件項目、その両方を含む項目の3種に分けて記載されており、提供会社が正しく区別できるようになっています。

ISMAPのメリット

ISMAPは、政府機関がクラウドサービスを利用する際に、一定のセキュリティレベルを備えたサービスを、効率的に選定できるように設けられた制度です。一方で、クラウドサービスリストが一般向けに公開されているため、誰でもリストに登録されているサービスを閲覧可能です。この点が政府機関だけでなく、クラウドサービスの提供会社にも、クラウドサービスの導入を検討する企業にもメリットをもたらします。それぞれへのメリットについて解説します。

クラウドサービスの提供会社にとってのメリット

政府機関や企業に、自社のクラウドサービスを利用してもらえる可能性を高められる点が、クラウドサービス提供会社にとっての、ISMAPのメリットです。政府機関に導入されるクラウドサービスはISMAPに登録されていることが原則です。そのため、ISMAPに登録されることで初めて、政府機関に導入される可能性が生まれます。また、ISMAPへの登録は、クラウドサービスが一定のセキュリティレベルを備えていることが審査済みなので、サービスや自社に対する安心感が高まり、多くの企業への導入の後押しとなることも期待できます。

クラウドサービスの導入を検討する企業にとってのメリット

自社でチェックしなくても、一定以上のセキュリティレベルを満たすクラウドサービスを見つけられる点が、クラウドサービス導入を検討する企業にとってのISMAPのメリットです。ISMAPのクラウドサービスリストに登録されているサービスは、第三者機関によって一定のセキュリティレベルを備えていることが客観的に評価されています。そのため、企業がクラウドサービスを導入する際、このリストに登録されているサービスから選定すれば、自社でセキュリティチェックを行う手間をかけずに、一定以上のセキュリティレベルのサービスを導入できます。

ISMAP登録のための対応

ISMAP登録のための対応の図

自社のクラウドサービスをISMAPに登録することで、提供会社は政府機関や多くの企業でサービスを利用してもらえる可能性が高まります。ここでは、提供会社が自社のクラウドサービスをISMAPに登録するための対応について解説します。

セキュリティルールの作成

ISMAP登録に必要な対応としては、セキュリティルールの作成が挙げられます。ISMAPの管理基準を満たすルールを作成し、具体的に何をするべきかまで詳細に定め、そのルールに沿ってサービスを運営しなければなりません。実際にルールを運用してみて、管理基準を満たさない点があれば改善し、運用記録を収集していきます。

外部監査を受ける

続いて、ISMAP登録には外部監査も必要です。管理基準に則ったルールを作成し、運用体制が整ったら、ISMAPに登録されている監査機関に監査を依頼します。依頼の際は、自社のセキュリティ対策についての宣誓書となる「言明書」などの必要書類が必要です。監査後に経営者確認書を提出し、実施結果報告書を受け取ります。

申請と審査

ルールを作成して外部監査を受けたら、ISMAPを申請し、審査を受けます。外部監査の結果に問題がなければ、報告日から1ヵ月以内にISMAPの登録申請を行う必要が有ります。ISMAPの審査はISMAP運営委員会によって行われ、申請内容に問題がなければISMAPに登録されます。登録申請が受理されてから、実際にISMAPクラウドサービスリストに登録されるには、3ヵ月から6ヵ月ほどかかります。なお、ISMAP登録には有効期限があり、監査対象期間の末日の翌日から1年4ヵ月となっており、登録を維持するためには毎年、ISMAP更新のための審査が必要です。

ISMAP管理基準に則った運用を行うためTrend Cloud Oneの活用を

ISMAPは、登録されたクラウドサービスが、政府機関がクラウドサービスを利用する際に必要となるセキュリティレベルを満たしていることを、第三者機関が客観的に評価する制度です。登録されたサービスのリストは誰でも見られるため、ISMAPに登録できれば、企業がクラウドサービスを導入する際に、選ばれやすくなる効果も期待できます。
ISMAPの登録には管理基準に則った運用が必要ですが、トレンドマイクロのTrend Cloud Oneを活用すれば、効率的なセキュリティ対策が可能です。ISMAP登録に求められる管理・運用体制を作り、運用するため、ぜひTrend Cloud Oneをご活用ください。また、Trend Cloud OneはISMAPに登録されているサービスですので、セキュリティ対策のクラウドサービスとして安心してご利用いただけます。ぜひ、ご検討ください。

ウェビナーによる解説

監修

福田 俊介

福田 俊介

トレンドマイクロ株式会社 ビジネスマーケティング本部
ストラテジックマーケティンググループ
グループ長 シニアマネージャー

IPA 情報処理安全確保支援士(第000893号)、AWS Certified Solutions Architect – Professional保有。
約10年間クラウドセキュリティ領域およびエンドポイントセキュリティ領域に従事、クラウドの最新アーキテクチャに対応するセキュリティ戦略を立案、市場啓蒙を実施。これまでのセミナー登壇は100回を超える。専門領域は「クラウド」「サーバ」「仮想化」「コンテナ」「脆弱性」「EDR」「XDR」。

関連記事

新着記事