ISMAPとは？取得手順から費用まで徹底的に解説！

ISMAPについてご存じでしょうか？
クラウドサービスが全世界で広がる中で、日本初の情報セキュリティ評価制度として制定されたのがISMAPです。本記事ではISMAPの取得手順から費用まで徹底的に解説していきます。ISMAP取得をご検討されている企業様、担当者の方はもちろん、ISMAPへの理解を深めたい方にも有益な情報となりますのでぜひ、ご一読ください。

1.ISMAPとは

ISMAP（イスマップ）とは、「Information system Security Management and Assessment Program」の略称で、政府情報システムのためのセキュリティ評価制度です。
総務省・経済産業省・内閣サイバーセキュリティセンター・デジタル庁が2020年に立ち上げを行い、独立行政法人情報処理推進機構（IPA）が制度運用に係る実務と評価への技術的な支援を行っています。
政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ登録するしておくことによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入を可能にすることが目的です。政府はクラウドサービスの調達をISMAPに登録された中から行うのが原則となります。
また、政府だけでなく民間企業にもISMAP登録リストは幅広く公開されており、日本初の情報セキュリティ評価制度として注目を集めています。

2.ISMAPが施行される背景

現在はSaaSやIaaSのようなクラウドサービスが広がっていますが、当時日本はクラウドサービスの普及が他の国と比べ遅れていました。世界では当たり前のようにシステム基盤としてクラウドサービスが用いられている中、日本はセキュリティ面で大きな不安があったのです。こうした状況を改善するべく、2018年、政府はクラウドサービスの利用を促進するための方針である「クラウド・バイ・デフォルト原則」を示しました。政府はこれによって情報システムをクラウド環境に移行することで市場の変化に迅速に対応できるようにし、DX（デジタルトランスフォーメーション）の実現を図ろうと考えたのです。
しかしクラウドサービスに関する複数の方針やガイドラインが存在したため業務を行う上で非効率が生じていました。そうした中で日本国家として共通のガイドラインを求める声が高まり、2020年にISMAPが日本初の情報セキュリティ制度として施行されました。

3.ISMAP取得のメリット

ISMAP最大の特徴は政府だけに取得企業が公開されているだけでなく、民間企業にも公開されあらゆる人が活用できるシステムになっていることです。ISMAP導入には以下の3つのメリットが挙げられます。

1サービスを選定する際の負担低減

クラウドサービスの導入を考える際に、企業の情報システム担当者は自社のセキュリティ基準を満たす製品やサービスを選定しなければなりません。しかし、担当者がクラウドサービスのセキュリティ基準をチェックし、選定していくことは非常に手間がかかります。ISMAPでは一定の基準が満たされているクラウドサービスの一覧が一般に公開されているため、その中から自社に合うサービスを選ぶことができ作業時間の短縮につながります。

2サービスの信用性が高まる

この後手順ついては解説しますが、登録までには1000を超える管理策を満たす必要があり、内部監査の実施や外部監査の実施など、多くの時間と労力が必要です。逆に言えば、ISMAPに登録されたクラウドサービスはその安全性を国から認められていることになり、利用者に安全性を証明することができます。日本でクラウドサービスを導入する際の最大の懸念点が安全性についてです。この点においてISMAPを取得することでいかに大きなメリットがあるかが分かります。

3新たなビジネスチャンスの獲得

政府はISMAP登録企業からクラウドサービスの調達をすることを原則としています。ISMAPに登録されることで政府から正式に公認されたことになり、政府機関や地方自治体と仕事をすることができます。
最近の傾向として、多くの大手企業がクラウドサービスを導入する際にISMAPへの登録を前提条件としていることから民間企業とのビジネス拡大にもメリットがあります。クラウドサービスの普及がさらに加速する中、この波に乗り遅れないようISMAP取得を検討してみましょう。

4.ISMAP取得企業の特徴

ISMAPに登録されている企業はSaaS系サービスを提供している企業が多いです。
2023年2月時点で45サービスがISMAPを取得しています。
ISMAPに登録されている企業はかなり少ないというのが現状です。
だからこそISMAP登録に登録されることで差別化を図っていくことができます。

ISMAPに登録されている企業は　クラウドサービスリスト – ISMAPポータル　こちらのクラウドサービスリストから見ることができます。具体的にどんな企業が取得しているのか確認してみましょう。

5.ISMAP登録までの手順

基本方針の決定

ISMAPの制度を理解し、登録を目指すサービスの範囲を決定します。

リスク分析

ISMAP管理基準と照らし合わせ、管理基準の要件を満たせているかどうかの確認を行います。
洗い出された課題を元にどう解決していくのかを考えます。

書類の作成

言明書、登録申請書の作成を行います。

内部監査の実施

ISMAP監査機関による監査の実施の前に、クラウドサービス事業者やその支援サービス提供者による内部監査を行います。（内部監査の報告は任意です。）
支援サービス提供者の力を借りることによってISMAP基準と自社サービスのギャップの特定、分析をさらに高水準で行い、外部監査を円滑に行えることにつながります。

外部監査の実施

内部監査実施後は外部監査機関として公認された機関から外部監査を受ける必要があります。
監査を行った事を示す｢実施結果報告書｣はISMAPを登録する際に必要になります。
外部監査実施機関は次のような企業があります。(2022年8月時点)
・EY新日本有限責任監査法人
・有限責任監査法人トーマツ
・有限責任あずさ監査法人
・PwCあらた有限責任監査法人

申請書の作成・申請

登録申請書、言明書、実施結果報告書などの必要な文書を作成しISMAP運営委員会へ提出します。申し込み書類に不備が見当たらなければ｢ISMAPクラウドサービスリスト｣への登録が認められます。ISMAPに登録されたクラウドサービスはWebサイト上で確認することができ、クラウドサービス名、登録日、登録の有効期限が掲載されます。ここで注意しなければならないことがあります。登録を継続するには有効期限が切れる前に更新をする必要があります。登録の有効期限は監査対象期間の末日の翌日から1年4ヶ月です。つまり、毎年ISMAPの更新審査があるという認識を持っておくのが良いです。登録期限には注意しましょう。

6.ISMAP導入にかかる費用

ISMAP導入にはどれほどの費用がかかるのでしょうか。主な費用として挙げられるコンサルティング費用と外部監査費用について見ていきましょう。

コンサルティング費用

監査機関へ外部監査を依頼するまでにリスク分析や内部監査などを実施する必要があり、知見を持った企業にコンサルティングを依頼するのが一般的です。
その際にかかる費用は各クラウドサービスごとに異なりますがおおよその目安として300万円〜1000万円程度見積もっておくと良いでしょう。

外部監査費用

内部監査を終えたあとは外部の監査機関に監査の依頼を行う必要があります。ISMAP登録をする上で最難関でもある外部監査にはいくらかかるのでしょうか。
外部監査費用に関しても、コンサルティング費用と同様に各クラウドサービスごとに異なりますがおおよそ3000万〜4000万円程度見積もっておくと良いでしょう。
また、ISMAPの登録を継続する際の更新審査料も次年度以降かかるため長期的なサービスの運用計画が必要になります。

以上の取得にかかる費用はあくまで一例であり各クラウドサービスごとに異なります。
一度取得について相談してみましょう。

まとめ

本記事ではISMAPの概要や取得のメリット、登録にかかる費用を解説してきました。
ISMAPに登録されることでビジネスチャンスの拡大やサービスの向上など様々なメリットを得ることができることをお分かりいただけたでしょうか？
その一方でISMAPに登録されるまでには多くの準備や対策が必要です。

株式会社UPF（ユーピーエフ）では様々な規格の認証支援・構築支援を経て得たリスクマネジメントへの深い知見で、その企業に最もフィットする制度構築によりISMAP登録までを支援します。
ISMAP取得をご検討される企業様・ご担当者様は、Pマーク取得の実績No.1のコンサル会社UPFまでどうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。