INDEX
「ISMAPについて詳しく知りたい」
「ISMAPの登録方法は?」
このような悩みをお持ちの方も多いのではないでしょうか。
現代はSaaSやIaaSなどのクラウドサービスが数多く存在します。今やクラウドサービスの利用は企業にとっても政府にとってもなくてはならない時代となりました。
しかし日本ではもともとクラウドサービスは『セキュリティ面が心配』という声が多く、導入を躊躇する企業も数多くありました。
そんな中2018年6月に政府情報システムを整備する際にクラウドサービスを第1候補とする『クラウド・バイ・デフォルト原則』が示され、クラウドサービスは政府機関のシステムとしても優先して選ばれる重要なポジションになりました。
そんなクラウドサービスですが、実はクラウド・バイ・デフォルト原則が示された後も日本は国家としてクラウドサービスの安全性を評価・認定する仕組みが存在しておらず、評価・認定制度を検討する必要性がありました。
そこで、作られたのが政府情報システムのためのセキュリティ評価制度である『ISMAP』です。
本記事では、ISMAPの概要や登録する方法を分かりやすく解説するとともに、ISMAPが作られた経緯や評価項目についても紹介していますので、ぜひ最後までご覧ください。
ISMAPとは内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室・総務省・経済産業省が運営する『政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)』の通称です。
2018年6月にクラウド・バイ・デフォルト原則が示された後に、クラウドサービスの安全性を評価・認定する仕組みとして作られました。
ISMAPに登録されたクラウドサービスは国が定めたセキュリティ基準を満たしていることの証明となるため、政府はISMAPに登録されているクラウドサービスの中からサービスを選ぶことによって、安全なサービスを効率よく調達することが出来るようになるのです。
ISMAPを初めて理解する方むけに、ISMAPの概要を3つ紹介します。
以下でそれぞれ確認していきます。
ISMAPがつくられた経緯は、日本のこれまで行ってきた政府による非効率的なクラウドサービス選定の歴史が関係しています。ISMAPというクラウドサービスの統一基準ができる前は、システムの調達のたびに政府機関がそれぞれにセキュリティ要件を満たせているか確認をしていました。
そのため調達を担当する人によって評価にばらつきが生じていました。また要件を設定する側にも多くのリテラシーを求められるため、必要なセキュリティ基準を満たせていない可能性もあったのです。こうした不安材料があるなかで、各省が『個別』に 『都度』 確認をすることは非常に非効率的なやり方でした。
そこでISMAPという統一基準がつくられました。今までの非効率的な作業を減らし、クラウドサービスを提供する側にとっても要件を満たしやすくなりました。
ISMAPには1298項目もの要件があり、それらがクリアされているか評価していきます。これらの要件は主に下記規格を元に作られました。
また管理基準には、下記の2種類があります。
3桁管理策については統制目標であり必須項目とされており、4桁管理策の方はそれらを達成するためのより詳細な管理策となっています。そのため4桁管理策については一部の必須項目を除き、選択制をとっています。
クラウドサービス事業者が登録申請をおこない、受理されてから最短で3カ月、最長で6か月以内に登録の判断がなされます。
単純に登録申請すればよいというわけではなく、申請前に基準に準じた方針や体制の確立、書類準備、指定監査機関による審査が必要です。また登録されてからも毎年の更新が必要になります。
登録にかかる費用はISMAP運用支援機関への支払いはありませんが、事前の監査にかかる監査費用や登録支援コンサルティングを利用する場合はその利用料が必要となるため注意しましょう。
ISMAPと似た言葉にISMAP-LIUがあります。似た言葉ですが、それぞれ目的が異なります。
ISMAPは、クラウドサービス全般(IaaS・PaaS・SaaS)を対象とした、情報セキュリティ対策を評価・認証するための政府の評価制度のことです。
一方で、ISMAP-LIUとは「セキュリティリスクが小さい業務」や「重要度の低い情報処理」に用いるSaaSサービスを評価する際に用いる評価制度のことです。
ISMAPとISMAP-LIUの具体的な違いは、以下の通りです。
ISMAP | ISMAP-LIU | |
対象サービス | ・セキュリティリスクが高い業務のクラウドサービス ・IaaS・PaaS・SaaSなど情報の処理に用いるクラウドサービス全般が対象 | ・SaaSサービスなどセキュリティリスクの低い業務向けのクラウドサービス |
外部監査対象範囲 | ISMAPの評価基準で定めるすべての項目を満たす必要がある | クラウドサービスの基盤・構成に深刻な影響を与え、重大な事故につながるリスクに関連する管理策が中心が行えているか評価する |
ISMAPは、セキュリティ評価基準が高いため、基準を満たすハードルが高く「品質は良いのに、ISMAPに登録が難しい」現象が生じていました。
そこで作られたのがISMAP-LIUです。ISMAP-LIUはISMAPと比べセキュリティ対策のための評価基準を限定的なものにしているため登録のハードルが低くなります。
そのため、クラウドサービス提供者の負担を軽減した登録が可能となったのです。
ISMAPのメリットを2つの観点から紹介します。
ISMAP(イスマップ)が作られたことによりクラウドサービスの事業者と利用者どちらもメリットが得られます。以下で詳細を確認していきます。
ISMAPがつくられたことによって政府にとっては多くのメリットがあります。しかし、登録に様々なコストがかかるなか、クラウドサービスの事業者側にとってはISMAPに登録するメリットがあるのでしょうか?
実はクラウドサービス事業者側にも、ISMAPに登録することで以下の2つのメリットがあるのです。
それぞれ紹介します。
ISMAPに登録されたということは『政府が求めるセキュリティ要求を満たしていること』の証明になります。つまり、「このクラウドサービスは政府が認めるほど安全」というお墨付きを頂いた状態です。
そのため民間企業もクラウドサービスを検討する際にISMAPに登録しているサービスから選ぶ可能性が高まります。
民間企業向けの調査では『クラウドサービスの導入で最も不安なのはセキュリティ』という回答が20%以上にもなります。ISMAPに登録することで自社のクラウドサービスのセキュリティ対策の高さを示すことができ、民間企業から利用してもらえる機会が増えるのです。
現在クラウドサービスの数は非常に多く、民間の企業にとってもどのサービスを導入するか頭を抱える会社も少なくありません。クラウドサービスの検討には多くのコストがかかっていると考えられます。
そのため、セキュリティ面での安全性が証明されているISMAPに登録されたクラウドサービスの中から選ぶことで、安全なクラウドサービスをより簡単に選ぶ流れができてくると考えられます。
政府のみならず民間企業にとっても『ISMAPに登録されているかどうか』がクラウドサービスを導入する際の重要な指標になり、登録していることによって新たなビジネスチャンスにつながる可能性があるのです。
ISMAPにクラウドサービスを登録することで、クラウドサービスの利用者側にも以下のメリットがあります。
それぞれのメリットについて詳しく解説します。
ISMAPに登録されたクラウドサービスは、一定のセキュリティ基準を満たしていることを示しています。これにより、利用者側は信頼性の高いサービスを簡単に見つけることができ、選定の手間が大幅に軽減されます。
特に、数多くのクラウドサービスが存在する現代において、セキュリティ対策を最優先に考慮する企業にとっては非常に重要なポイントです。
ISMAPに登録されているクラウドサービスは、定期的なセキュリティ評価を受けているため、利用者側で個別にセキュリティチェックを行う必要がほとんどありません。
そのため、導入後のセキュリティ対策面の確認作業が大幅に削減でき効率的な運用が可能となります。特に、複数のクラウドサービスを利用する企業にとっては、各サービスのセキュリティ対策を個別に評価する手間が省けるため大きなメリットといえるでしょう。
ISMAPのクラウドサービスに登録する流れを4つのステップに分けて紹介します。
それぞれ詳しく解説します。
まず、セキュリティの内部統制の整備・運用の言明書の作成を行います。
ISMAPに登録申請を行う際は、「ISMAPクラウドサービス登録規則」の第3章(申請者に対する要求事項)に基づき、申請者のセキュリティ対策について基本言明要件に沿った言明が定められています。
そのため、クラウドサービス事業者は、クラウドサービスの登録申請書類を作成する前に、ISMAPの登録申請を通過できるくらいのセキュリティの整備・運用を行った上で、ISMAP管理基準への適合状況を「言明書」として作成してください。
次に、監査の依頼と実施結果報告書の受領を行います。
ISMAPクラウドサービスリストへの登録申請を行う際は、政府が公開している「ISMAP監査機関リスト」に登録されている監査機関に監査を依頼し、実施結果報告書を作成してください。
ISMAPの監査機関は下記の通りです。
監査機関名 | 監査機関所在地 |
EY新日本有限責任監査法人 | 東京都千代田区有楽町一丁目1番2号 東京ミッドタウン日比谷 日比谷三井タワー |
有限責任監査法人トーマツ | 東京都千代田区丸の内三丁目2番3号 丸の内二重橋ビルディング |
有限責任あずさ監査法人 | 東京都新宿区津久戸町1番2号 |
PwCあらた有限責任監査法人 | 東京都千代田区大手町1-1-1 大手町パークビルディング |
三優監査法人 | 東京都新宿区西新宿1丁目24番1号エステック |
参考:ISMAP|監査機関リスト(※2023年12月25日更新)
上記のいずれかの機関に監査を依頼し、「実施結果報告書」を受領することで、クラウドサービス登録申請が可能となります。
監査が完了し、実施結果報告書を受領したら、クラウドサービス登録申請と受理に移ります。
申請に関しては、ISMAPの公式サイトが提供している「クラウドサービス登録申請の手引き(令和5年11月10日改定)」を参照し、下記のような必要書類を抜け漏れなく準備することが重要です。
上記書類の準備を終えたら、「ISMAPポータルサイト」からクラウドサービスの登録申請を行ってください。必要書類に不明点・不備等がなければ受理されますが、ISMAP 運用支援機関(IPA)からのお問い合わせや追加の資料提出の要請を受けた場合には、1ヶ月以内に対応してください。
クラウドサービス登録申請が受理されると、ISMAP運営委員会によってサービスの登録が妥当かどうか審査が行われます。ISMAPの公式サイトによると「受理されて6か月以内に登録の判断を行う」と明言され、早くても3か月程度かかるケースが多いです。
約3ヶ月〜6ヶ月の審査に問題がなければ、申請したクラウドサービスが登録され、ポータルサイトの「ISMAPクラウドサービスリスト」が更新されます。
ISMAPの登録は書類の準備や書類・登録の審査などの工数がかかるので、すぐに登録はできないことを理解しておきましょう。
ISMAPが作られたことにより、政府も民間企業もクラウドサービスの選定がより行いやすくなりました。
またクラウドサービスの事業者側からしても、セキュリティ面で満たすべき要件が明確になり自社サービスの安全性を証明することが出来るため、大きなメリットがあります。
ISMAPにより今後はクラウドサービスの利用や競争が活発になり、クラウドサービス事業全体が発展していくと予想されます。
クラウドサービスリストとは、ISAMPに登録されている企業を確認できるWebサイトを指します。
ここでは上記2点を解説します。
クラウドサービスリストは、ISMAP運用支援機関の独立行政法人情報処理推進機構(IPA)が運営しているISMAPポータルサイトで確認できます。
リストの各行をクリックすることで、クラウドサービスの詳細情報が表示されます。次章にてクラウドサービスリストに登録しているサービス・企業をまとめていますので、確認してみてください。
以下は2024年6月時点でISMAPに登録されているクラウドサービスの一覧です。どういった企業のどういったクラウドサービスが登録されているのか、参考にしてみてください。
サービス名称 | 事業者名 | URL |
OpenCanvas(IaaS) | 株式会社エヌ・ティ・ティ・データ | |
FUJITSU Hybrid IT Service FJcloud | 富士通株式会社 | |
Apigee Edge | Google LLC | |
Google Cloud Platform | Google LLC | |
Google Workspace | Google LLC | |
Salesforce Services | 株式会社セールスフォース・ジャパン | |
Heroku Services | 株式会社セールスフォース・ジャパン | https://www.salesforce.com/jp/products/platform/products/heroku |
Amazon Web Services | Amazon Web Services,Inc. | |
NEC Cloud laaS | 日本電気株式会社 | https://jpn.nec.com/cloud/service/platform_service/iaas.html |
KDDIクラウドプラットフォームサービス | KDDI株式会社 | |
Oracle Cloud Infrastructure | Oracle Corporation | |
Microsoft Azure, Dynamics 365, and Other Online Services | 日本マイクロソフト株式会社 | https://azure.microsoft.com/ja-jp https://dynamics.microsoft.com/ja-jp |
Microsoft Office 365 | 日本マイクロソフト株式会社 | |
エンタープライズクラウドサービス/ エンタープライズクラウドサービ ス G2/ フェデレーテッドポータルサービス | 株式会社日立製作所 | https://www.hitachi.co.jp/products/it/harmonious/cloud/service/f-enterprise/index.html https://www.hitachi.co.jp/products/it/harmonious/cloud/service/enterprise-g2 https://www.hitachi.co.jp/products/it/harmonious/cloud/service/f-portal |
クラウドサービス運用基盤cybozu.com 並びにcybozu.com 上で提供するGaroon及びkintone | サイボウズ株式会社 | |
Box | Box, Inc. | |
Smart Data Platform サービス | エヌ・ティ・ティ・コミュニケーションズ株式会社 | |
Cybereason EDR / MDRサービス | サイバーリーズン・ジャパン株式会社 | https://www.cybereason.co.jp/products/edr https://www.cybereason.co.jp/products/mdr-service |
IIJ GIOインフラストラクチャーP2、 IIJ GIOインフラストラクチャーP2 Gen.2、 IIJ GIOコンポーネントサービス | 株式会社インターネットイニシアティブ | |
DigitalArts@Cloud | デジタルアーツ株式会社 | |
AppSheet | Google LLC | |
Bare Metal Solution | Google LLC | |
さくらのクラウド | さくらインターネット株式会社 | |
Slack | Slack Technologies LLC | |
カオナビ | 株式会社カオナビ | |
クラウドサイン | 弁護士ドットコム株式会社 | |
ウイングアーク1stクラウドサービス | ウイングアーク1st株式会社 | |
Now Platform | ServiceNow, Inc. | |
Salesforce Services on Hyperforce | 株式会社セールスフォース・ジャパン | https://help.salesforce.com/s/articleView?id=000356459&type=1 |
KnowledgeC@fe サービス | 株式会社富士通ラーニングメディア | |
ホワイトクラウド ASPIRE | 株式会社富士通ラーニングメディア | |
ビジネス・コンシェル デバイスマネジメント | ソフトバンク株式会社 | |
PrimeDrive | ソフトバンク株式会社 | https://www.softbank.jp/biz/services/collaboration/primedrive |
Firebase | Google LLC | |
VMware Cloud on AWS | VMware, Inc. | |
e-TUMO | 株式会社エヌ・ティ・ティ・データ関西 | |
NRIクラウド インフラサービス | 株式会社野村総合研究所 | |
マイナンバー管理プラットフォーム利用サービス | 株式会社Works Human Intelligence | |
COMPANY Core クラウドサービス | 株式会社Works Human Intelligence | |
Prisma Access、Cortex Data Lake、 Cortex XDR及びWildFire | Palo Alto Networks, Inc. | https://www.paloaltonetworks.jp/sase/access https://www.paloaltonetworks.jp/cortex/cortex-data-lake https://www.paloaltonetworks.jp/cortex/cortex-xdr https://www.paloaltonetworks.jp/products/secure-the-network/wildfire |
IBM Cloud IaaS およびPaaS | International Business Machines Corporation | |
Webex Suite | Cisco Systems, Inc. | |
1)Trend Micro Cloud App Security, 2)Trend Micro Apex One SaaS, 3)Trend Micro Email Security, 4)Trend Micro Web Security as a Service, 5)Trend Vision One, 6)Trend Cloud One | トレンドマイクロ株式会社 | |
Fujitsu Translation Service | 富士通株式会社 | https://www.fujitsu.com/jp/solutions/business-technology/smart-digitalwork/translation/ |
Menlo Cloud Security Platform with Isolation Core | Menlo Security, Inc. | |
Google Cloud VMware Engine | Google LLC | |
FortiCloudサービス(FortiGate Cloud / FortiManager Cloud / FortiAnalyzer Cloud / FortiMail Cloud / FortiAP Cloud) | Fortinet,Inc. |
参考:ISMAPポータルサイト|クラウドサービスリスト
日本はこれまでクラウドサービスの認定制度がなく、諸外国と比べて遅れをとっている状況でした。しかし2020年からISMAPがつくられたことによって、これまでの政府による非効率的なクラウドサービスの選定は大きく変わりました。
今後この流れが民間の企業にも及び、日本におけるクラウドサービス業界はより発展していくことが期待されています。クラウドサービスを展開する事業者はISMAPの登録を進めていきましょう。
メルマガ登録をしていただくと、記事やイベントなどの最新情報をお届けいたします。
30秒で理解!インフォグラフィックや動画で解説!フォローして『1日1記事』インプットしよう!