About us データのじかんとは?
INDEX
現代はSaaSやIaaSなどのクラウドサービスが数多く存在します。今やクラウドサービスの利用は企業にとっても政府にとってもなくてはならない時代となりました。
しかし日本ではもともとクラウドサービスは『セキュリティ面が心配』という声が多く、導入に躊躇する企業も数多くありました。
そんな中2018年6月に政府情報システムを整備する際にクラウドサービスを第1候補とする『クラウド・バイ・デフォルト原則』が示され、クラウドサービスは政府機関のシステムとしても優先して選ばれる重要なポジションになりました。
そんなクラウドサービスですが、実はクラウド・バイ・デフォルト原則が示された後も日本は国家としてクラウドサービスの安全性を評価・認定する仕組みが存在しておらず、評価・認定制度を検討する必要性がありました。
そこで満を持して作られたのが政府情報システムのためのセキュリティ評価制度である『ISMAP』です。
ISMAPとは内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室・総務省・経済産業省が運営する『政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)』の通称です。
2018年6月にクラウド・バイ・デフォルト原則が示された後に、クラウドサービスの安全性を評価・認定する仕組みとして作られました。
ISMAPは政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスを円滑に導入することを目的としています。
つまりISMAPに登録されたクラウドサービスは国が定めたセキュリティ基準を満たしていることの証明となり、政府は原則ISMAPに登録されているクラウドサービスの中から選ぶことによって、安全なサービスを効率よく調達することが出来るようになったのです。
ISMAPがつくられた経緯は、日本のこれまで行ってきた政府による非効率的なクラウドサービス選定の歴史が関係しています。
ISMAPという統一基準ができる前は、システムの調達のたびに政府機関がそれぞれにセキュリティ要件を満たせているか確認をしていました。
そのため調達を担当する人によってばらつきが生じる可能性がありました。また要件を設定する側にも多くのリテラシーを求められるため、必要なセキュリティ基準を満たせていない可能性もあったのです。
こういった不安材料がある&手間のかかる方法で、同じ要件のものであっても各省が『個別』に 『都度』 確認をすることは非常に非効率的なやり方でした。
そこでISMAPという統一基準がつくられました。このことによって今までの非効率的な作業を減らし、クラウドサービスを提供する側にとっても要件を満たしやすくなったのです。
ここからはISMAPの全貌について、詳しく見ていきたいと思います。
ISMAPには1298項目もの要件があり、それらがクリアされているか評価していきます。これらの要件は主に
といった規格に基づいて作られました。また管理基準には
の2種類があります。3桁管理策については統制目標であり必須項目とされていて、4桁管理策の方はそれらを達成するためのより詳細な管理策となっています。そのため4桁管理策については一部の必須項目を除き、選択制をとっています。
クラウドサービス事業者が登録申請をおこない、受理されてから最短で3カ月、最長で6か月以内に登録の判断をするとされています。
単純に登録申請すればよいというわけではなく、申請前に基準に準じた方針や体制の確立、書類準備、指定監査機関による審査が必要です。また登録されてからも毎年の更新が必要になります。
登録にかかる費用はISMAP運用支援機関への支払いはありませんが、事前の監査にかかる監査費用や登録支援コンサルティングを利用する場合はその利用料が必要です。
ISMAPがつくられたことによって政府にとっては多くのメリットがあります。
しかし、登録に様々なコストがかかる中クラウドサービスの事業者側にとってはISMAPに登録するメリットがあるのでしょうか?
実はクラウドサービス事業者側にも、政府のシステムに選ばれる可能性があること意外に多くのメリットがありますので紹介していきます。
ISMAPに登録されたということは『政府が求めるセキュリティ要求を満たしている』ことの証明になります。つまり、このクラウドサービスは政府が認めるほど安全!というお墨付きを頂いた状態です。
そのため民間企業もクラウドサービスを検討する際にISMAPに登録しているサービスから選ぶ可能性が高いです。
民間企業向けの調査では『クラウドサービスの導入で最も不安なのはセキュリティ』という回答が20%以上にもなるので、セキュリティ面での安全性を証明するためにISMAPに登録するメリットは大きいといえます。
現在クラウドサービスの数は非常に多く、民間の企業にとっても導入するクラウドサービスの検討には多くのコストがかかっていると考えられます。
そのためセキュリティ面での安全性が証明されているISMAPに登録されたクラウドサービスの中から選ぶことで、安全なクラウドサービスをより簡単に選ぶ流れができてくると考えられます。
政府のみならず民間企業にとっても『ISMAPに登録されているかどうか』がクラウドサービスを導入する際の重要な指標になり、登録していることによって新たなビジネスチャンスにつながる可能性があるのです。
以下は2022年5月時点でISMAPに登録されているクラウドサービスの一覧です。どういった企業のどういったクラウドサービスが登録されているのか、是非参考にしてみてください。
ISMAPという統一基準がつくられたことによって政府も民間企業もクラウドサービスの選定がより行いやすくなりました。
またクラウドサービスの事業者側からしても、セキュリティ面で満たすべき要件が明確になり自社サービスの安全性を証明することが出来るため、大きなメリットがあります。
こういったことから今後はクラウドサービスの利用や競争が活発になり、クラウドサービス事業全体が発展していくと予想されます。
日本はこれまでクラウドサービスの認定制度がなく、諸外国と比べて遅れをとっている状況でした。
しかし2020年からISMAPがつくられたことによって、これまでの政府による非効率的なクラウドサービスの選定は大きく変わりました。
今後この流れが民間の企業にも及び、日本におけるクラウドサービス業界はより発展していくことが期待されています。
今後どういったクラウドサービスがISMAPに登録されていくのか、また業界全体の流れがどうなっていくのか注目です。
参考文献 https://www.ismap.go.jp/csm?id=cloud_service_list https://sakumaga.sakura.ad.jp/entry/ismap https://home.kpmg/jp/ja/home/insights/2020/05/what-is-ismap.html https://www.mdsol.co.jp/column/column_123_1757.html https://www.ismap.go.jp/csm https://www.pwc.com/jp/ja/services/digital-trust/ismap.html
30秒で理解!インフォグラフィックや動画で解説!フォローして『1日1記事』インプットしよう!