ISMAPとは？クラウドサービスリストへの登録のメリットは？

ISMAPとは？

ISMAP（イスマップ：Information system Security Management and Assessment Program）とは、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入を支援することを目的とした制度です。政府機関は原則として「ISMAPクラウドサービスリスト」に掲載されたサービスから調達を行います。ISMAPクラウドサービスリストへの登録開始は2021年3月から開始されており、2023年5月時点で44のクラウドサービスがリストに掲載されています。

ISMAPが制定された背景として、政府が掲げるクラウド・バイ・デフォルト原則があります。クラウド・バイ・デフォルト原則とは、各省庁や自治体で情報システムの導入をする際の第一候補としてクラウドサービスを検討する方針のことです。それまでは、各組織が保有・運用するサーバ上に構築されるオンプレミス型が主流でしたが、コスト面や調達の柔軟性に加えてセキュリティの観点から、クラウド・バイ・デフォルト原則が推進されるようになりました。

その一方で、クラウドサービスに要求する統一的なセキュリティ要求基準は当時存在しておらず、統一基準群を踏まえ各政府機関が調達の際に個別にクラウドサービスのセキュリティ対策を確認し調達を行っている状況でした。各政府機関が調達の度に、クラウドサービスの安全性を評価するような環境では「調達時のセキュリティ監査コストの増大」や「各政府機関のセキュリティ水準の相違」などの問題が発生します。この課題を解決するために生まれた制度がISMAPです。ISMAPのクラウドサービスリストに登録されているクラウドサービスは、政府が要求する基準に基づいたセキュリティ対策を実施していることが確認されているため、各政府機関は調達時のセキュリティ監査を省略できることになります。

また、2022年11月からはリスクの小さな業務・情報の処理に用いるSaaS サービスを対象とする仕組みであるISMAP-LIU（イスマップ・エルアイユー：ISMAP for Low-Impact Use）という制度もスタートしています。機能が限定的なサービスや比較的重要度が低い情報のみを取り扱うサービスなどがISMAP-LIUに登録されることが期待されています。

クラウドサービスリストに登録されるには？

自社のクラウドサービスをクラウドサービスリストに登録するには、以下のフローが必要になります。

●内部統制の整備・運用

申請者は、自身のサービス内容及びセキュリティリスク分析に基づいた統制目標の策定と管理策の整備・運用を行います。また、ISMAP 管理基準に従い言明書、経営者確認書を作成します。

●必要書類の提出

ISMAP 監査機関リストに登録された監査機関に必要書類をISMAP 管理基準に従い言明書、経営者確認書を提出して監査を依頼します。
参考：ISMAP監査機関リスト

●監査結果への対応

監査機関から実施結果報告書を受領し、監査の指摘事項に対応します。「重大な発見事項なし」という監査結果を得ることで、ISMAPへの登録申請が可能になります。（発見事項が存在する場合においても、その内容がISMAP クラウドサービス登録規則の6.1(4)に基づき、実施結果報告書の日付から2 カ月以内に改善できる場合は申請可能）

●登録申請の提出

申請に必要な書類を用意し、ISMAP運用支援機関（IPA）にクラウドサービス登録申請を提出します。提出後、ISMAP運用支援機関から問い合わせ又は追加の資料提出の要請を受けた場合は、1 カ月以内に対応が必要になります。

●リストへの登録

ISMAP 運営委員会は、ISMAP 運用支援機関からの報告内容等を踏まえて審査を実施し、その結果が適切と判断される場合はクラウドサービスリストに登録されることとなります。クラウドサービスリストはWeb サイトを通じて公開され、申請者はISMAP 運用支援機関から登録の通知を受けます。

ISMAPの管理基準とは？

ISMAPへの登録には、ISMAPが規定する「管理基準」を満たす必要があります。管理基準は大きく3つで構成されており、それぞれ「ガバナンス基準」「マネジメント基準」「管理策基準」となっています。

ISMAPにおける3つの基準（内閣官房・総務省・経済産業省の公開資料を元にトレンドマイクロにて作成）

ガバナンス基準は、「経営陣」が管理者層に対して、セキュリティに関する意思決定や指示等を継続的に実施しているかの基準となり、経営陣が実施すべき項目がまとめられています。具体的には、情報セキュリティを統治するために、評価、指示、モニタ、コミュニケーション及び保証の各プロセスを実行することが求められています。
例）
【評価】経営陣は、情報セキュリティの指針を定め、必要な処置の優先順位を決める。
【指示】経営陣は、管理者に、情報セキュリティに積極的な文化を推進させる。
【モニタ】経営陣は、情報セキュリティマネジメント活動の有効性を評価する。
【コミュニケーション】経営陣は、外部の利害関係者に、組織がその事業特性に見合った情報セキュリティのレベルを実践していることを報告する。
【保証】経営陣は、要求している情報セキュリティ水準に対し、どのように説明責任を果たしているかについて、独立した客観的な意見を監査人等に求める。

マネジメント基準は、経営者の指示を受けたクラウドサービスの「管理者」が的確にマネジメントを実施しているかの基準となります。具体的には、情報セキュリティマネジメントを確立、導入、運用、監視、維持及び改善するための基準となります。
例）
【適用範囲の決定】情報セキュリティマネジメントを確立、導入、運用、監視、レビュー、維持及び改善するために、適用範囲を明確にし、組織に合った情報セキュリティマネジメントを構築する基盤を整える。
【情報セキュリティリスクアセスメント】情報セキュリティリスクアセスメントのプロセスを定め、適用する。
【情報セキュリティリスク対応】情報セキュリティアセスメントの結果を考慮して、適切な情報セキュリティリスク対応を選定する。

管理策基準は、クラウドサービスの「業務実施者」が実際にセキュリティ対策を実施しているかの基準となります。具体的には、業務実施者が実施すべき技術的対策やセキュリティコントロールの基準となります。
例）
【媒体の取扱い】組織が採用した分類体系に従って、取外し可能な媒体の管理のための手順を実施する。
【アクセス制御】アクセス制御方針は、業務及び情報セキュリティの要求事項に基づいて確立し、文書化し、レビューする。
【運用のセキュリティ】情報セキュリティに影響を与える、組織、業務プロセス、情報処理設備及びシステムの変更を管理する。

民間企業におけるISMAPの活用方法

ISMAPで行われる安全性を担保されたクラウドサービスのリスト化は政府機関だけではなく、民間企業にとってもメリットがあります。実際に、政府でも民間企業まで利用が拡大されることを目指す方針で制度を進めています。本記事ではクラウドサービスプロバイダ、ユーザ企業の双方の面でメリットを解説します。

・クラウドサービスプロバイダのISMAPのメリット

自社のクラウドサービスの安全性を証明できます。クラウドサービスプロバイダが自社のサイトや営業資料などで、自社サービスの安全性をアピールしてもセキュリティレベルがどれだけ高いのかを証明することは難しいです。しかし、ISMAPに登録された場合、政府機関が調達基準としている第三者の審査をクリアしたことが証明されることになります。この安全性の証明は対民間企業へのサービス提案時においても信頼性を得やすくなると考えられます。特に、防衛関連企業や重要インフラ企業などは、セキュリティをより求められる分野であるため、それらの企業へのサービス提案時にはISMAPへの登録は大きなメリットになると考えられます。

参考：
防衛省のサイバーセキュリティ調達基準の元となったNIST SP 800-171とは？～日本企業が取り組むべき対策を解説～
サイバー攻撃の脅威から重要インフラをどのように守るべきか？

・ユーザ企業のISMAPのメリット

クラウドサービス導入検討時にはセキュリティの評価が必要になりますが、ISMAPクラウドサービスリストからクラウドサービスの選定を行うことで、その評価コストを大幅に省略できます。例えば、ISMAPのサイトでは、ISMAPが設定している管理策に対して、どれを実施しているか（どれを対象外にしているか）も確認できます。この情報を元に、自社のセキュリティ基準と照らし合わせながらチェックすることで、独自にセキュリティ評価を実施する手間やコストを大幅に削減できます。一点注意頂きたいのは、ISMAPに登録されているからといって、適切な考慮を省いてそのサービスを利用することは推奨していません。自社が定めるセキュリティの基準があることを前提に、ISMAPで開示されている内容と照らし合わせ、自社への導入が適切か判断することが求められます。

ISMAPクラウドサービスリストトレンドマイクロのクラウドサービスの例

まとめ

ISMAPクラウドサービスリストには、国内外の大手クラウドベンダーや大手のSaaS企業を中心に、クラウドサービスが既に登録されている状況です。さらに、ISMAP-LIUの開始によって、今後もサービス登録者が増えていくことが予想されます。一方で、ISMAPも含めた様々なセキュリティ認証等について、闇雲に取得すれば良いというわけではありません。セキュリティ認証によっては、取得・維持するために大きなコストがかかります。セキュリティ認証取得を重視した結果、その企業にとって本来あるべきリソースとセキュリティ投資のバランスが崩れてしまうことにもなってしまいます。自社のビジネス状況やマーケットの要求などを勘案した上で、対応すべきか否かを判断することが求められます。

参考：サイバーセキュリティのガイドラインとの向き合い方