溢れるSaaS!
選ぶ基準の一つ“政府認定クラウド“のお墨付きがあるかどうか?
ISMAP(イスマップ)=
政府情報システムのためのセキュリティ評価制度とは?

Share!

SaaSなどのクラウドサービスが氾濫する時代

現代はSaaSやIaaSなどのクラウドサービスが数多く存在します。今やクラウドサービスの利用は企業にとっても政府にとってもなくてはならない時代となりました。

しかし日本ではもともとクラウドサービスは『セキュリティ面が心配』という声が多く、導入に躊躇する企業も数多くありました。

そんな中2018年6月に政府情報システムを整備する際にクラウドサービスを第1候補とする『クラウド・バイ・デフォルト原則』が示され、クラウドサービスは政府機関のシステムとしても優先して選ばれる重要なポジションになりました。

そんなクラウドサービスですが、実はクラウド・バイ・デフォルト原則が示された後も日本は国家としてクラウドサービスの安全性を評価・認定する仕組みが存在しておらず、評価・認定制度を検討する必要性がありました。

そこで満を持して作られたのが政府情報システムのためのセキュリティ評価制度である『ISMAP』です。

最近話題の『ISMAP(イスマップ)』とは?

ISMAPとは内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室・総務省・経済産業省が運営する『政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)』の通称です。

2018年6月にクラウド・バイ・デフォルト原則が示された後に、クラウドサービスの安全性を評価・認定する仕組みとして作られました。

ISMAPは政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスを円滑に導入することを目的としています。

つまりISMAPに登録されたクラウドサービスは国が定めたセキュリティ基準を満たしていることの証明となり、政府は原則ISMAPに登録されているクラウドサービスの中から選ぶことによって、安全なサービスを効率よく調達することが出来るようになったのです。

ISMAPがつくられた経緯

ISMAPがつくられた経緯は、日本のこれまで行ってきた政府による非効率的なクラウドサービス選定の歴史が関係しています。

ISMAPという統一基準ができる前は、システムの調達のたびに政府機関がそれぞれにセキュリティ要件を満たせているか確認をしていました。

そのため調達を担当する人によってばらつきが生じる可能性がありました。また要件を設定する側にも多くのリテラシーを求められるため、必要なセキュリティ基準を満たせていない可能性もあったのです。

こういった不安材料がある&手間のかかる方法で、同じ要件のものであっても各省が『個別』に 『都度』 確認をすることは非常に非効率的なやり方でした。

そこでISMAPという統一基準がつくられました。このことによって今までの非効率的な作業を減らし、クラウドサービスを提供する側にとっても要件を満たしやすくなったのです。

ISMAPの特徴

ここからはISMAPの全貌について、詳しく見ていきたいと思います。

ISMAPの評価項目

ISMAPには1298項目もの要件があり、それらがクリアされているか評価していきます。これらの要件は主に

  • ・JIS Q規格
  • ・統一基準
  • ・SP800-53

といった規格に基づいて作られました。また管理基準には

  • ・3桁管理策
  • ・4桁管理策

の2種類があります。3桁管理策については統制目標であり必須項目とされていて、4桁管理策の方はそれらを達成するためのより詳細な管理策となっています。そのため4桁管理策については一部の必須項目を除き、選択制をとっています。

ISMAP登録の方法

クラウドサービス事業者が登録申請をおこない、受理されてから最短で3カ月、最長で6か月以内に登録の判断をするとされています。

単純に登録申請すればよいというわけではなく、申請前に基準に準じた方針や体制の確立、書類準備、指定監査機関による審査が必要です。また登録されてからも毎年の更新が必要になります。

登録にかかる費用はISMAP運用支援機関への支払いはありませんが、事前の監査にかかる監査費用や登録支援コンサルティングを利用する場合はその利用料が必要です。

ISMAPに登録するメリット

ISMAPがつくられたことによって政府にとっては多くのメリットがあります。

しかし、登録に様々なコストがかかる中クラウドサービスの事業者側にとってはISMAPに登録するメリットがあるのでしょうか?

実はクラウドサービス事業者側にも、政府のシステムに選ばれる可能性があること意外に多くのメリットがありますので紹介していきます。

クラウドサービス自体の信頼性が増す

ISMAPに登録されたということは『政府が求めるセキュリティ要求を満たしている』ことの証明になります。つまり、このクラウドサービスは政府が認めるほど安全!というお墨付きを頂いた状態です。

そのため民間企業もクラウドサービスを検討する際にISMAPに登録しているサービスから選ぶ可能性が高いです。

民間企業向けの調査では『クラウドサービスの導入で最も不安なのはセキュリティ』という回答が20%以上にもなるので、セキュリティ面での安全性を証明するためにISMAPに登録するメリットは大きいといえます。

新たなビジネスにつながる

現在クラウドサービスの数は非常に多く、民間の企業にとっても導入するクラウドサービスの検討には多くのコストがかかっていると考えられます。

そのためセキュリティ面での安全性が証明されているISMAPに登録されたクラウドサービスの中から選ぶことで、安全なクラウドサービスをより簡単に選ぶ流れができてくると考えられます。

政府のみならず民間企業にとっても『ISMAPに登録されているかどうか』がクラウドサービスを導入する際の重要な指標になり、登録していることによって新たなビジネスチャンスにつながる可能性があるのです。

現在ISMAPに登録しているサービス

以下は2022年5月時点でISMAPに登録されているクラウドサービスの一覧です。どういった企業のどういったクラウドサービスが登録されているのか、是非参考にしてみてください。

サービス名称事業者名URL
OpenCanvas(IaaS)株式会社エヌ・ティ・ティ・データhttps://portal.opencanvas.ne.jp/cloud
FUJITSU Hybrid IT Service FJcloud富士通株式会社https://jp.fujitsu.com/solutions/cloud/fjcloud
Apigee EdgeGoogle LLChttps://cloud.google.com/apigee/api-management
Google Cloud PlatformGoogle LLChttps://cloud.google.com
Google WorkspaceGoogle LLChttps://workspace.google.com
Salesforce Services株式会社セールスフォース・ジャパンhttps://www.salesforce.com/jp/products
Heroku Services株式会社セールスフォース・ジャパンhttps://www.salesforce.com/jp/products/platform/products/heroku
Amazon Web ServicesAmazon Web Services,Inc.https://aws.amazon.com
NEC Cloud laaS日本電気株式会社https://jpn.nec.com/cloud/service/platform_service/iaas.html
KDDIクラウドプラットフォームサービスKDDI株式会社https://doc.cloud-platform.kddi.ne.jp
Oracle Cloud InfrastructureOracle Corporationhttps://www.oracle.com/jp/cloud
Microsoft Azure, Dynamics 365, and Other Online Services日本マイクロソフト株式会社https://azure.microsoft.com/ja-jp https://dynamics.microsoft.com/ja-jp
Microsoft Office 365日本マイクロソフト株式会社https://www.office.com
エンタープライズクラウドサービス/エンタープライズクラウドサービ ス G2/フェデレーテッドポータルサービス株式会社日立製作所https://www.hitachi.co.jp/products/it/harmonious/cloud/service/f-enterprise/index.html https://www.hitachi.co.jp/products/it/harmonious/cloud/service/enterprise-g2 https://www.hitachi.co.jp/products/it/harmonious/cloud/service/f-portal
Cisco WebexCisco Systems, Inc.https://www.webex.com
クラウドサービス運用基盤cybozu.com 並びにcybozu.com 上で提供するGaroon及びkintoneサイボウズ株式会社https://www.cybozu.com/jp
BoxBox, Inc.https://www.box.com/ja-jp/home
Smart Data Platform サービスエヌ・ティ・ティ・コミュニケーションズ株式会社https://sdpf.ntt.com
Oracle Cloud Infrastructure Platform as a ServiceOracle Corporationhttps://www.oracle.com/jp/cloud/what-is-paas
Oracle Exadata Cloud@CustomerOracle Corporationhttps://www.oracle.com/jp/engineered-systems/exadata/cloud-at-customer
ニフクラ/FJcloud-V富士通クラウドテクノロジーズ株式会社https://pfs.nifcloud.com
SAP SuccessFactorsSAP SEhttps://www.sap.com/japan/products/human-resources-hcm.html
SAP Business Technology PlatformSAP SEhttps://www.sap.com/japan/products/business-technology-platform.html
SAP Business Technology Platform(NEO環境)SAP SEhttps://www.sap.com/japan/products/business-technology-platform.html
Cybereason EDR / MDRサービスサイバーリーズン・ジャパン株式会社https://www.cybereason.co.jp/products/edr https://www.cybereason.co.jp/products/mdr-service
IIJ GIO インフラストラクチャーP2株式会社インターネットイニシアティブhttps://www.iij.ad.jp/biz/p2
DigitalArts@Cloudデジタルアーツ株式会社https://www.daj.jp/bs/datcloud
AppSheetGoogle LLChttps://cloud.google.com/appsheet
Bare Metal SolutionGoogle LLChttps://cloud.google.com/bare-metal
さくらのクラウドさくらインターネット株式会社https://cloud.sakura.ad.jp
SlackSlack Technologies LLChttps://slack.com/intl/ja-jp
カオナビ株式会社カオナビhttps://www.kaonavi.jp
クラウドサイン弁護士ドットコム株式会社https://www.cloudsign.jp
ウイングアーク1stクラウドサービスウイングアーク1st株式会社https://www.wingarc.com/cloud/index.html
Now PlatformServiceNow, Inc.https://www.servicenow.co.jp/now-platform.html

ISMAPがもたらすクラウドサービスへの影響

ISMAPという統一基準がつくられたことによって政府も民間企業もクラウドサービスの選定がより行いやすくなりました。

またクラウドサービスの事業者側からしても、セキュリティ面で満たすべき要件が明確になり自社サービスの安全性を証明することが出来るため、大きなメリットがあります。

こういったことから今後はクラウドサービスの利用や競争が活発になり、クラウドサービス事業全体が発展していくと予想されます。

まとめ

日本はこれまでクラウドサービスの認定制度がなく、諸外国と比べて遅れをとっている状況でした。

しかし2020年からISMAPがつくられたことによって、これまでの政府による非効率的なクラウドサービスの選定は大きく変わりました。

今後この流れが民間の企業にも及び、日本におけるクラウドサービス業界はより発展していくことが期待されています。

今後どういったクラウドサービスがISMAPに登録されていくのか、また業界全体の流れがどうなっていくのか注目です。

参考文献
https://www.ismap.go.jp/csm?id=cloud_service_list
https://sakumaga.sakura.ad.jp/entry/ismap
https://home.kpmg/jp/ja/home/insights/2020/05/what-is-ismap.html
https://www.mdsol.co.jp/column/column_123_1757.html
https://www.ismap.go.jp/csm
https://www.pwc.com/jp/ja/services/digital-trust/ismap.html

関連記事

人気のカテゴリ