カテゴリー
キーワード

ISMAP(イスマップ)とは?政府の定める評価制度を登録するメリットから手順まで解説

本記事は、ISMAP(イスマップ)について知りたい方向けの記事となっています。ISMAPの特徴や登録する方法を分かりやすく解説するとともに、ISMAPが作られた経緯についても紹介していますので、SaaSやIaaSなどのクラウドサービスが数多くある現代において、ISMAPを概要や登録方法を知りたい方はぜひ参考にしてください。

         

「ISMAPについて詳しく知りたい」
「ISMAPの登録方法は?」

このような悩みをお持ちの方も多いのではないでしょうか。

現代はSaaSやIaaSなどのクラウドサービスが数多く存在します。今やクラウドサービスの利用は企業にとっても政府にとってもなくてはならない時代となりました。

しかし日本ではもともとクラウドサービスは『セキュリティ面が心配』という声が多く、導入を躊躇する企業も数多くありました。

そんな中2018年6月に政府情報システムを整備する際にクラウドサービスを第1候補とする『クラウド・バイ・デフォルト原則』が示され、クラウドサービスは政府機関のシステムとしても優先して選ばれる重要なポジションになりました。

そんなクラウドサービスですが、実はクラウド・バイ・デフォルト原則が示された後も日本は国家としてクラウドサービスの安全性を評価・認定する仕組みが存在しておらず、評価・認定制度を検討する必要性がありました。

そこで、作られたのが政府情報システムのためのセキュリティ評価制度である『ISMAP』です。

本記事では、ISMAPの概要や登録する方法を分かりやすく解説するとともに、ISMAPが作られた経緯や評価項目についても紹介していますので、ぜひ最後までご覧ください。

ISMAP(イスマップ)とは?政府が定めるクラウドサービスの評価制度

ISMAPとは内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室・総務省・経済産業省が運営する『政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)』の通称です。

2018年6月にクラウド・バイ・デフォルト原則が示された後に、クラウドサービスの安全性を評価・認定する仕組みとして作られました。

ISMAPに登録されたクラウドサービスは国が定めたセキュリティ基準を満たしていることの証明となるため、政府はISMAPに登録されているクラウドサービスの中からサービスを選ぶことによって、安全なサービスを効率よく調達することが出来るようになるのです。

ISMAP(イスマップ)の概要とは?3つのポイントで解説

ISMAPを初めて理解する方むけに、ISMAPの概要を3つ紹介します。

  • ISMAP(イスマップ)がつくられた経緯
  • ISMAP(イスマップ)の運営者評価項目
  • ISMAP(イスマップ)の評価項目登録方法

以下でそれぞれ確認していきます。

①ISMAP(イスマップ)がつくられた経緯

ISMAPがつくられた経緯は、日本のこれまで行ってきた政府による非効率的なクラウドサービス選定の歴史が関係しています。ISMAPというクラウドサービスの統一基準ができる前は、システムの調達のたびに政府機関がそれぞれにセキュリティ要件を満たせているか確認をしていました。

そのため調達を担当する人によって評価にばらつきが生じていました。また要件を設定する側にも多くのリテラシーを求められるため、必要なセキュリティ基準を満たせていない可能性もあったのです。こうした不安材料があるなかで、各省が『個別』に 『都度』 確認をすることは非常に非効率的なやり方でした。

そこでISMAPという統一基準がつくられました。今までの非効率的な作業を減らし、クラウドサービスを提供する側にとっても要件を満たしやすくなりました

②ISMAP(イスマップ)の運営者評価項目

ISMAPには1298項目もの要件があり、それらがクリアされているか評価していきます。これらの要件は主に下記規格を元に作られました。

  • JIS Q規格
  • 統一基準
  • SP800-53

また管理基準には、下記の2種類があります。

  • 3桁管理策
  • 4桁管理策

3桁管理策については統制目標であり必須項目とされており、4桁管理策の方はそれらを達成するためのより詳細な管理策となっています。そのため4桁管理策については一部の必須項目を除き、選択制をとっています。

③ISMAP(イスマップ)の評価項目登録方法

クラウドサービス事業者が登録申請をおこない、受理されてから最短で3カ月、最長で6か月以内に登録の判断がなされます

単純に登録申請すればよいというわけではなく、申請前に基準に準じた方針や体制の確立、書類準備、指定監査機関による審査が必要です。また登録されてからも毎年の更新が必要になります。

登録にかかる費用はISMAP運用支援機関への支払いはありませんが、事前の監査にかかる監査費用や登録支援コンサルティングを利用する場合はその利用料が必要となるため注意しましょう。

ISMAP(イスマップ)とISMAP-LIUの違いとは?

ISMAPと似た言葉にISMAP-LIUがあります。似た言葉ですが、それぞれ目的が異なります。

ISMAPは、クラウドサービス全般(IaaS・PaaS・SaaS)を対象とした、情報セキュリティ対策を評価・認証するための政府の評価制度のことです。

一方で、ISMAP-LIUとは「セキュリティリスクが小さい業務」や「重要度の低い情報処理」に用いるSaaSサービスを評価する際に用いる評価制度のことです。

ISMAPとISMAP-LIUの具体的な違いは、以下の通りです。

 

ISMAP

ISMAP-LIU

対象サービス

・セキュリティリスクが高い業務のクラウドサービス

・IaaS・PaaS・SaaSなど情報の処理に用いるクラウドサービス全般が対象

・SaaSサービスなどセキュリティリスクの低い業務向けのクラウドサービス

外部監査対象範囲

ISMAPの評価基準で定めるすべての項目を満たす必要がある

クラウドサービスの基盤・構成に深刻な影響を与え、重大な事故につながるリスクに関連する管理策が中心が行えているか評価する

ISMAPは、セキュリティ評価基準が高いため、基準を満たすハードルが高く「品質は良いのに、ISMAPに登録が難しい」現象が生じていました。

そこで作られたのがISMAP-LIUです。ISMAP-LIUはISMAPと比べセキュリティ対策のための評価基準を限定的なものにしているため登録のハードルが低くなります。

そのため、クラウドサービス提供者の負担を軽減した登録が可能となったのです。

ISMAP(イスマップ)のメリットとは?2つの観点から解説

ISMAPのメリットを2つの観点から紹介します。

  • クラウドサービス事業者側
  • クラウドサービス利用者側

ISMAP(イスマップ)が作られたことによりクラウドサービスの事業者と利用者どちらもメリットが得られます。以下で詳細を確認していきます。

ISMAP(イスマップ)に登録するメリット2つ|クラウドサービス事業者側

ISMAPがつくられたことによって政府にとっては多くのメリットがあります。しかし、登録に様々なコストがかかるなか、クラウドサービスの事業者側にとってはISMAPに登録するメリットがあるのでしょうか?

実はクラウドサービス事業者側にも、ISMAPに登録することで以下の2つのメリットがあるのです。

  • クラウドサービス自体の信頼性が増す
  • 新たなビジネスにつながる

それぞれ紹介します。

メリット①クラウドサービス自体の信頼性が増す

ISMAPに登録されたということは『政府が求めるセキュリティ要求を満たしていること』の証明になります。つまり、「このクラウドサービスは政府が認めるほど安全」というお墨付きを頂いた状態です。

そのため民間企業もクラウドサービスを検討する際にISMAPに登録しているサービスから選ぶ可能性が高まります。

民間企業向けの調査では『クラウドサービスの導入で最も不安なのはセキュリティ』という回答が20%以上にもなります。ISMAPに登録することで自社のクラウドサービスのセキュリティ対策の高さを示すことができ、民間企業から利用してもらえる機会が増えるのです。

メリット②新たなビジネスにつながる

現在クラウドサービスの数は非常に多く、民間の企業にとってもどのサービスを導入するか頭を抱える会社も少なくありません。クラウドサービスの検討には多くのコストがかかっていると考えられます。

そのため、セキュリティ面での安全性が証明されているISMAPに登録されたクラウドサービスの中から選ぶことで、安全なクラウドサービスをより簡単に選ぶ流れができてくると考えられます。

政府のみならず民間企業にとっても『ISMAPに登録されているかどうか』がクラウドサービスを導入する際の重要な指標になり、登録していることによって新たなビジネスチャンスにつながる可能性があるのです。

ISMAP(イスマップ)を利用するメリット2つ|クラウドサービス利用者側

ISMAPにクラウドサービスを登録することで、クラウドサービスの利用者側にも以下のメリットがあります。

  • クラウドサービス選びが楽になる
  • セキュリティ面の確認工数を削減できる

それぞれのメリットについて詳しく解説します。

①クラウドサービス選びが楽になる

ISMAPに登録されたクラウドサービスは、一定のセキュリティ基準を満たしていることを示しています。これにより、利用者側は信頼性の高いサービスを簡単に見つけることができ、選定の手間が大幅に軽減されます。

特に、数多くのクラウドサービスが存在する現代において、セキュリティ対策を最優先に考慮する企業にとっては非常に重要なポイントです。

②セキュリティ面の確認工数を削減できる

ISMAPに登録されているクラウドサービスは、定期的なセキュリティ評価を受けているため、利用者側で個別にセキュリティチェックを行う必要がほとんどありません

そのため、導入後のセキュリティ対策面の確認作業が大幅に削減でき効率的な運用が可能となります。特に、複数のクラウドサービスを利用する企業にとっては、各サービスのセキュリティ対策を個別に評価する手間が省けるため大きなメリットといえるでしょう。

ISMAP(イスマップ)に登録する方法とは?|4つのステップで解説

ISMAPのクラウドサービスに登録する流れを4つのステップに分けて紹介します。

  • セキュリティの整備・運用と言明書を作成する
  • 監査の依頼と実施結果報告書を受領する
  • クラウドサービス登録申請から受理まで行う
  • クラウドサービス審査から登録を行う

それぞれ詳しく解説します。

STEP1.セキュリティの整備・運用と言明書を作成する

まず、セキュリティの内部統制の整備・運用の言明書の作成を行います。

ISMAPに登録申請を行う際は、「ISMAPクラウドサービス登録規則」の第3章(申請者に対する要求事項)に基づき、申請者のセキュリティ対策について基本言明要件に沿った言明が定められています。

そのため、クラウドサービス事業者は、クラウドサービスの登録申請書類を作成する前に、ISMAPの登録申請を通過できるくらいのセキュリティの整備・運用を行った上で、ISMAP管理基準への適合状況を「言明書」として作成してください。

STEP2.監査の依頼と実施結果報告書を受領する

次に、監査の依頼と実施結果報告書の受領を行います。

ISMAPクラウドサービスリストへの登録申請を行う際は、政府が公開している「ISMAP監査機関リスト」に登録されている監査機関に監査を依頼し、実施結果報告書を作成してください。

ISMAPの監査機関は下記の通りです。

監査機関名

監査機関所在地

EY新日本有限責任監査法人

東京都千代田区有楽町一丁目1番2号 東京ミッドタウン日比谷 日比谷三井タワー

有限責任監査法人トーマツ

東京都千代田区丸の内三丁目2番3号 丸の内二重橋ビルディング

有限責任あずさ監査法人

東京都新宿区津久戸町1番2号

PwCあらた有限責任監査法人

東京都千代田区大手町1-1-1 大手町パークビルディング

三優監査法人

東京都新宿区西新宿1丁目24番1号エステック

参考:ISMAP|監査機関リスト(※2023年12月25日更新)

上記のいずれかの機関に監査を依頼し、「実施結果報告書」を受領することで、クラウドサービス登録申請が可能となります。

STEP3.クラウドサービス登録申請から受理まで行う

監査が完了し、実施結果報告書を受領したら、クラウドサービス登録申請と受理に移ります。

申請に関しては、ISMAPの公式サイトが提供している「クラウドサービス登録申請の手引き(令和5年11月10日改定)」を参照し、下記のような必要書類を抜け漏れなく準備することが重要です。

  • 言明書
  • 経営者確認書
  • 実施結果報告書
  • 改善計画書

上記書類の準備を終えたら、「ISMAPポータルサイト」からクラウドサービスの登録申請を行ってください。必要書類に不明点・不備等がなければ受理されますが、ISMAP 運用支援機関(IPA)からのお問い合わせや追加の資料提出の要請を受けた場合には、1ヶ月以内に対応してください。

STEP4.クラウドサービスの審査及び登録を行う

クラウドサービス登録申請が受理されると、ISMAP運営委員会によってサービスの登録が妥当かどうか審査が行われます。ISMAPの公式サイトによると「受理されて6か月以内に登録の判断を行う」と明言され、早くても3か月程度かかるケースが多いです。

約3ヶ月〜6ヶ月の審査に問題がなければ、申請したクラウドサービスが登録され、ポータルサイトの「ISMAPクラウドサービスリスト」が更新されます。

ISMAPの登録は書類の準備や書類・登録の審査などの工数がかかるので、すぐに登録はできないことを理解しておきましょう。

ISMAP(イスマップ)がもたらすクラウドサービスへの影響

ISMAPが作られたことにより、政府も民間企業もクラウドサービスの選定がより行いやすくなりました。

またクラウドサービスの事業者側からしても、セキュリティ面で満たすべき要件が明確になり自社サービスの安全性を証明することが出来るため、大きなメリットがあります。

ISMAPにより今後はクラウドサービスの利用や競争が活発になり、クラウドサービス事業全体が発展していくと予想されます。

ISMAP(イスマップ)のクラウドサービスリストとは?

クラウドサービスリストとは、ISAMPに登録されている企業を確認できるWebサイトを指します。

  • クラウドサービスリストの確認方法
  • ISMAP/クラウドサービスリストに登録しているサービス一覧

ここでは上記2点を解説します。

クラウドサービスリストの確認方法

クラウドサービスリストは、ISMAP運用支援機関の独立行政法人情報処理推進機構(IPA)が運営しているISMAPポータルサイトで確認できます。

リストの各行をクリックすることで、クラウドサービスの詳細情報が表示されます。次章にてクラウドサービスリストに登録しているサービス・企業をまとめていますので、確認してみてください。

ISMAP(イスマップ)に登録しているクラウドサービスリスト・企業一覧

以下は2024年6月時点でISMAPに登録されているクラウドサービスの一覧です。どういった企業のどういったクラウドサービスが登録されているのか、参考にしてみてください。

サービス名称

事業者名

URL

OpenCanvas(IaaS)

株式会社エヌ・ティ・ティ・データ

https://portal.opencanvas.ne.jp/cloud

FUJITSU Hybrid IT Service FJcloud

富士通株式会社

https://jp.fujitsu.com/solutions/cloud/fjcloud/

Apigee Edge

Google LLC

https://cloud.google.com/apigee/api-management

Google Cloud Platform

Google LLC

https://cloud.google.com

Google Workspace

Google LLC

https://workspace.google.com/m

Salesforce Services

株式会社セールスフォース・ジャパン

https://www.salesforce.com/jp/products

Heroku Services

株式会社セールスフォース・ジャパン

https://www.salesforce.com/jp/products/platform/products/heroku

Amazon Web Services

Amazon Web Services,Inc.

https://aws.amazon.com

NEC Cloud laaS

日本電気株式会社

https://jpn.nec.com/cloud/service/platform_service/iaas.html

KDDIクラウドプラットフォームサービス

KDDI株式会社

https://doc.cloud-platform.kddi.ne.jp

Oracle Cloud Infrastructure

Oracle Corporation

https://www.oracle.com/jp/cloud

Microsoft Azure, Dynamics 365,

and Other Online Services

日本マイクロソフト株式会社

https://azure.microsoft.com/ja-jp https://dynamics.microsoft.com/ja-jp

Microsoft Office 365

日本マイクロソフト株式会社

https://www.office.com

エンタープライズクラウドサービス/

エンタープライズクラウドサービ ス G2/

フェデレーテッドポータルサービス

株式会社日立製作所

https://www.hitachi.co.jp/products/it/harmonious/cloud/service/f-enterprise/index.html https://www.hitachi.co.jp/products/it/harmonious/cloud/service/enterprise-g2 https://www.hitachi.co.jp/products/it/harmonious/cloud/service/f-portal

クラウドサービス運用基盤cybozu.com

並びにcybozu.com 上で提供するGaroon及びkintone

サイボウズ株式会社

https://www.cybozu.com/jp

Box

Box, Inc.

https://www.box.com/ja-jp/home

Smart Data Platform サービス

エヌ・ティ・ティ・コミュニケーションズ株式会社

https://sdpf.ntt.com

Cybereason EDR / MDRサービス

サイバーリーズン・ジャパン株式会社

https://www.cybereason.co.jp/products/edr https://www.cybereason.co.jp/products/mdr-service

IIJ GIOインフラストラクチャーP2、

IIJ GIOインフラストラクチャーP2 Gen.2、

IIJ GIOコンポーネントサービス

株式会社インターネットイニシアティブ

https://www.iij.ad.jp/biz/p2

https://www.iij.ad.jp/biz/p2-gen2/

DigitalArts@Cloud

デジタルアーツ株式会社

https://www.daj.jp/bs/datcloud

AppSheet

Google LLC

https://cloud.google.com/appsheet

Bare Metal Solution

Google LLC

https://cloud.google.com/bare-metal

さくらのクラウド

さくらインターネット株式会社

https://cloud.sakura.ad.jp

Slack

Slack Technologies LLC

https://slack.com/intl/ja-jp

カオナビ

株式会社カオナビ

https://www.kaonavi.jp

クラウドサイン

弁護士ドットコム株式会社

https://www.cloudsign.jp

ウイングアーク1stクラウドサービス

ウイングアーク1st株式会社

https://www.wingarc.com/cloud/index.html

Now Platform

ServiceNow, Inc.

https://www.servicenow.co.jp/now-platform.html

Salesforce Services on Hyperforce

株式会社セールスフォース・ジャパン

https://help.salesforce.com/s/articleView?id=000356459&type=1

KnowledgeC@fe サービス

株式会社富士通ラーニングメディア

https://www.knowledgewing.com/kcc/cafe/index.html

ホワイトクラウド ASPIRE

株式会社富士通ラーニングメディア

https://www.softbank.jp/biz/cloud/iaas/aspire

ビジネス・コンシェル デバイスマネジメント

ソフトバンク株式会社

https://www.softbank.jp/biz/services/security/bcdm/

PrimeDrive

ソフトバンク株式会社

https://www.softbank.jp/biz/services/collaboration/primedrive

Firebase

Google LLC

https://firebase.google.com

VMware Cloud on AWS

VMware, Inc.

https://www.vmware.com/jp/products/vmc-on-aws.html

e-TUMO

株式会社エヌ・ティ・ティ・データ関西

https://www.nttdata-kansai.co.jp/public-serv/

NRIクラウド インフラサービス

株式会社野村総合研究所

https://atlax.nri.co.jp/nri_cloud_infra_service/

マイナンバー管理プラットフォーム利用サービス

株式会社Works Human Intelligence

https://www.works-hi.co.jp/products/mks

COMPANY Core クラウドサービス

株式会社Works Human Intelligence

https://www.works-hi.co.jp/

Prisma Access、Cortex Data Lake、

Cortex XDR及びWildFire

Palo Alto Networks, Inc.

https://www.paloaltonetworks.jp/sase/access

https://www.paloaltonetworks.jp/cortex/cortex-data-lake

https://www.paloaltonetworks.jp/cortex/cortex-xdr

https://www.paloaltonetworks.jp/products/secure-the-network/wildfire

IBM Cloud IaaS およびPaaS

International Business Machines Corporation

https://www.ibm.com/jp-ja/cloud?lnk=flatitem

Webex Suite

Cisco Systems, Inc.

https://www.webex.com

1)Trend Micro Cloud App Security,

2)Trend Micro Apex One SaaS,

3)Trend Micro Email Security,

4)Trend Micro Web Security as a Service,

5)Trend Vision One, 6)Trend Cloud One

トレンドマイクロ株式会社

https://www.trendmicro.com/ja_jp/business/products.html

Fujitsu Translation Service

富士通株式会社

https://www.fujitsu.com/jp/solutions/business-technology/smart-digitalwork/translation/

Menlo Cloud Security Platform with

Isolation Core

Menlo Security, Inc.

https://www.menlosecurity.jp

Google Cloud VMware Engine

Google LLC

https://cloud.google.com/vmware-engine

FortiCloudサービス(FortiGate Cloud /

FortiManager Cloud / FortiAnalyzer Cloud /

FortiMail Cloud / FortiAP Cloud)

Fortinet,Inc.

https://login.forticloud.com/samlsplash?

参考:ISMAPポータルサイト|クラウドサービスリスト

まとめ

日本はこれまでクラウドサービスの認定制度がなく、諸外国と比べて遅れをとっている状況でした。しかし2020年からISMAPがつくられたことによって、これまでの政府による非効率的なクラウドサービスの選定は大きく変わりました

今後この流れが民間の企業にも及び、日本におけるクラウドサービス業界はより発展していくことが期待されています。クラウドサービスを展開する事業者はISMAPの登録を進めていきましょう。

 

参照元

メルマガ登録をしていただくと、記事やイベントなどの最新情報をお届けいたします。


データ活用 Data utilization テクノロジー technology 社会 society ビジネス business ライフ life 特集 Special feature

関連記事Related article

書評記事Book-review

データのじかん公式InstagramInstagram

データのじかん公式Instagram

30秒で理解!インフォグラフィックや動画で解説!フォローして『1日1記事』インプットしよう!

おすすめ記事Recommended articles

データのじかん会員なら、
全てのコンテンツが
見放題・ダウンロードし放題
 

メール会員でできること

  • 会員限定資料がすべてダウンロードできる
  • セミナー開催を優先告知
  • 厳選情報をメルマガで確認
 
データのじかん会員について詳しく知りたい方
モバイルバージョンを終了