ISMAPのメリット、登録方法まで徹底解説！

ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。
この記事では、ISMAPの解説から、登録の流れ、登録によるメリットについて記載しています。担当者はこの記事を読んでISMAPの取得を検討しましょう。

ISMAPについて

「ISMAP（イスマップ）」は、内閣サイバーセキュリティセンター・情報通信技術（IT）総合戦略室・総務省・経済産業省が運営する「政府情報システムのためのセキュリティ制度」の事です。「Infomation system Security Management and Assessment Program」の略称がISMAPです。

ISMAP施行の経緯

2018年6月、政府情報システムを整備する際には、クラウドサービスを第一候補とする「クラウド・バイ・デフォルト原則」が提示されました。
各府省情報化統括責任者（CIO）連絡会議決定における「政府情報システムに置けるクラウドサービスの利用に係る基本方針」として提案されていて、日本政府においてもクラウドサービスを全面的に利用することに決めました。

しかし、この時点では日本は国家としてクラウドサービスの安全性を評価し、認定する仕組みがありませんでした。

クラウドサービスの利用においては、セキュリティ面でのリスクが伴うこととなります。
特に政府情報システムにおいて扱われる情報は、個人情報や機密情報等も含まれるため安全性の確保が必須です。これを受けて評価・認定制度を策定する事となり、施行されたのがISMAPということです。

ISMAPの特徴について

ISMAPでは、統制の目標を実現する為にクラウド事業者が選択して、満たすべき事項として、「管理策」と呼ばれる基準が設けられています。選択した「管理策」を、外部評価機関が「評価」することになります。「管理策」と「評価」には、それぞれ次のような特性があります。

管理策について

・管理策の構成
管理策は、「①ガバナンス基準」「②マネジメント基準」「③管理策基準」の3つの基準で構成されています。

①ガバナンス基準
ISO/IEC27014をベースに作成されていて、会社のセキュリティガバナンスの要求事項を記載する項目です。
②マネジメント基準
ISO/IEC27001をベースに作成されていて、情報セキュリティマネジメントの確率の要求事項を記載する項目です。
③管理策基準
ISO/IEC27002/27017、内閣サイバーセキュリティセンター（NISC）の「政府機関等のセキュリティ対策の為の統一基準」、National Institute of Standards and Technology(NIST) Special Publication 800-53の内容を組み合わせて構成する項目です。

・必須の管理策
クラウド事業者は、管理策のうち「①ガバナンス基準」「②マネジメント基準」について、全ての管理策が必須となるため、全てを実施する必要があるでしょう。

「③管理策基準」については、必須の管理策と選択適用の管理策があります。
必須の管理策は全ての実施が必須ですが、選択適用の管理策は「管理策の選定」で選択する管理策を実施しましょう。

評価基準について
・運用評価
評価には、評価の対象期間内の一時点において統制が整備されているのか評価する「整備評価」と、整備した統制が評価対象期間を通じて有効に運用されているかの評価である「運用評価」があります。本制度では「整備評価」と「運用評価」も実施されます。
※なお、本制度の施行から1年以内に登録を行うクラウドサービスにおいては「整備評価」のみ実施されます。

ISMAP登録の流れ

まず、ISMAP管理基準に従って、内部の情報セキュリティの仕組みを構築、整備し、運用を行います。次に、添付書類を含む言明書を作成し、「ISMAP監査機関リスト」に登録されている監査機関に対して監査を依頼しましょう。経営者確認書を監査機関に提出して、実施結果報告書を入手し、そのうえで登録申請書を作成します。さらに必要書類を添付し、ISMAP運営支援機関のIPAに提出するという流れです。

ISMAP登録の期間

ISMAPポータルサイトによれば、クラウドサービス事業者が登録申請を行い、受理されてから6か月以内に登録の判断をするとされています。最短でも3か月程度はかかるでしょう。
ただし登録申請を行うまでに、基準に準じた方針や体制の確立、書類準備、指定監査機関による審査が必須となります。申請するサービスの大きさ、各社での体制の準備状況、監査法人サイドの対応可能なスケジュール次第で登録までの期間が異なる事は理解しておきましょう。

ISMAP認定を受けるためには

ISMAPクラウドサービスリストへ登録される為には、次のような準備をする必要があります。

適用範囲の検討や方針の決定

ISMAP登録を目指すサービスの範囲を決め、スケジュール作成と取り組みの基本的な方針を決定します。

リスク分析

情報資産の特定とリスク分析を行います。
明らかとなったリスクに対してISMAPで定められる要求事項と基準を全て満たすため、統制目標と個別管理策を設定しましょう。

書類の作成

必要な規定書類を作成します。

対策の成果

対策を実施し、その成果の状況を確認します。

内部監査を実施

ISMAP監査機関が行う監査の前に、クラウドサービス事業者やその支援サービス提供者による内部監査を行います。
内部監査の実施は任意ですが、実際の監査の前に対策実施や状況確認の為に重要です。

ISMAP監査機関から監査実施

ISMAP監査機関から監査を行う機関を選び、契約締結、監査を実施します。

IPAへ登録の申請

監査の結果など、ISMAPへの登録申請時に必要となる書類を準備し、IPAへ登録申請を行います。

ISMAP登録の費用

ISMAP運営使用期間に費用を支払う必要はありません。ですが、監査機関に調査を依頼するため、監査費用が必要となります。また登録支援のコンサルティングを依頼する場合には、その費用も必要となります。これらは、機関や会社により費用が異なるため注意しましょう。
こちらも登録までの期間と同様に、申請するサービスの大きさ、各社での体制の準備状況、監査法人サイドの対応可能なスケジュール次第で登録までの期間が異なる事は理解しておきましょう。

ISMAP登録によるメリット

ISMAPの登録を受けることで、事業者側にはいったいどのようなメリットがあるのか、解説していきます。

信頼性の向上

ISMAPのクラウドサービスは、政府が求めるセキュリティ要求を満たしているものが登録されます。セキュリティの安全性について政府から認証を得ていると言えるので、信頼性が向上すると言えます。

民間企業向けの調査で「クラウドサービス導入で1番不安なのはセキュリティ」という回答が20％を超えていたことから、セキュリティの安全性は重要であると言えます。

ビジネス機会の創出

各政府機関は、ISMAP位部サービスのリストに記載されているクラウドサービスの内から調達することを原則にしています。

そのため、ISMAPに登録されることは信頼が向上するだけでなく、政府からのお墨付きを得られると言えるでしょう。そうすると、安心感が大きくなり、民間企業でもISMAPに登録されているクラウドサービスを選ぶ流れになる事も考えられます。ISMAP登録はガバメントクラウドの要件にもなっているので、登録を検討しましょう。

企業の情報システム担当者の負担軽減

クラウドサービスの導入検討の際、企業の情報システム担当者は自社のセキュリティ基準を満たす製品やサービスを選定する必要があります。しかし、チェックし、選定することは非常にISMAPを活用することで、一定のセキュリティ基準が満たされている為、担当者はサービスリストに登録されているサービスの中から自社が求めている要件にマッチしているか否かのみで選ぶことが可能です。そのため、業務の効率化にも役立つと言われています。

まとめ

ISMAPは、政府情報システムのためのセキュリティ評価制度で、ISMAP認定を民間企業が受けることで得られるメリットが理解できたのではないでしょうか。
セキュリティを強化し、認定を受けることが企業のビジネス機会を創出します。
プライバシーマークも評価認定を受ける制度です。取得することで個人情報管理が管理されていることを証明でき、信頼を得る事が出来ます。この機会にゼミプライバシーマーク取得、更新を検討してみてはいかがでしょうか。

株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク（Pマーク）教育のノウハウがございます。
教育実施でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。