ISMAPとは？メリットや登録企業について徹底的に解説！

国が定める初のセキュリティ評価制度ISMAPについてご存じでしょうか？
ISMAPにはどんな企業が登録されているんだろうと疑問に思ったことはありませんか？
本記事ではISMAPの概要やメリット、登録企業などを徹底的に解説していきます。
ISMAP取得をご検討されている企業様、担当者の方はもちろん、ISMAPへの理解を深めたい方にも有益な情報となりますのでぜひ、ご一読ください。

1.ISMAPとは？

ISMAP（イスマップ）とは、「Information system Security Management and Assessment Program」の略称で、政府情報システムのための日本初のセキュリティ評価制度です。
総務省・経済産業省・内閣サイバーセキュリティセンター・デジタル庁が2020年に立ち上げを行い、独立行政法人情報処理推進機構（IPA）が制度運用に係る実務と評価への技術的な支援を行っています。
政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ登録するしておくことによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入を可能にすることが目的です。政府はクラウドサービスの調達をISMAPに登録された中から行うのが原則となります。
また政府だけでなく民間企業にもISMAP登録リストは公開されており、民間企業も閲覧できるようになっています。

2.ISMAP施行の背景

当時日本はクラウドサービスの普及が他の国と比べ遅れていました。世界では当たり前のようにシステム基盤としてクラウドサービスが用いられている中、日本はセキュリティ面で大きな不安があったのです。こうした状況を改善するべく、2018年、政府はクラウドサービスの利用を促進するための方針である「クラウド・バイ・デフォルト原則」を示しました。政府はこれによって情報システムをクラウド環境に移行することで市場の変化に迅速に対応できるようにし、DX（デジタルトランスフォーメーション）の実現を目指したのです。
しかしクラウドサービスに関する複数の方針やガイドラインが存在したため業務を行う上で非効率が生じていました。そうした中で日本国家として共通のガイドラインを求める声が高まり、2020年にISMAPが日本初の情報セキュリティ制度として施行されました。

3.ISMAP導入のメリット

ISMAP導入には以下のような3つのメリットが考えられます。それぞれ具体的に見ていきましょう。

3.1.企業の情報システム担当者の負担低減

企業のシステム担当者がクラウドサービスの導入を考える際には、自社のセキュリティ基準を満たす製品やサービスを選定しなければなりません。しかし、担当者自身がクラウドサービスのセキュリティ基準をチェックし、選定していくことは非常に手間がかかります。ISMAPでは一定の基準が満たされているクラウドサービスの一覧が一般に公開されているため、その中から自社に合うサービスを選ぶことができ作業時間の短縮につながります。

3.2.サービスの信用性の向上

クラウドサービスを提供する企業はISMAPへの登録に向けて自社サービスの向上に努めるようになります。登録されるまでには1000を超える管理基準を満たさなければならず、そのために多くの時間と労力を要します。逆に言えば、ISMAPに取得されることで国からお墨付きをもらえることになり、自信を持って自社のサービスの安定性を主張することができます。こうして高い水準でサービスの安全性の強化に取り組むことで、サービスの信用性を得ることができます。

3.3.ビジネスチャンスの拡大

ISMAP取得企業の主な目的は政府機関と仕事をするためです。政府機関はISMAPに登録されている企業からクラウドサービスの調達を行うことを原則にしているため、政府機関と仕事をするためにはISMAPに登録されなければなりません。
また最近ではクラウドサービスを導入する際にISMAPへの登録を前提条件としている大手企業が多くなってきていることから、民間企業とのビジネス拡大にもつながります。

4.クラウドサービスリストとは？

クラウドサービスリストとはISAMPに登録されている企業を確認することができるWebサイトのことです。クラウドサービス名、事業名、有効期限などが記載され、民間企業にも幅広く公開されています。
クラウドサービスリストは　クラウドサービスリスト – ISMAPポータル　こちらのリンクから確認する事ができます。

4.ISMAP登録企業一覧

ISMAPには現在2023年2月17日時点で45のサービスが登録されています。
主にSaaS系サービスを提供している企業が多く、中には複数のサービスを登録している企業もあります。現在はまだ登録されているサービスが少ない分、他企業のサービスとの差別化を図っていくことができます。ここでは10サービスほどを見ていきましょう。

5.ISMAP登録までの手順

基本方針の決定

ISMAPの制度を理解し、登録を目指すサービスの範囲を決定します。

リスク分析

ISMAP管理基準と照らし合わせ、管理基準の要件を満たせているかどうかの確認を行います。
洗い出された課題を元にどう解決していくのかを考えます。

書類の作成

言明書、登録申請書の作成を行います。

内部監査の実施

ISMAP監査機関による監査の実施の前に、クラウドサービス事業者やその支援サービス提供者による内部監査を行います。（内部監査の報告は任意です。）
支援サービス提供者の力を借りることによってISMAP基準と自社サービスのギャップの特定、分析をさらに高水準で行い、外部監査を円滑に行えることにつながります。

外部監査の実施

内部監査実施後は外部監査機関として公認された機関から外部監査を受ける必要があります。
監査を行った事を示す｢実施結果報告書｣はISMAPを登録する際に必要になります。
外部監査実施機関は次のような企業があります。(2022年8月時点)
・EY新日本有限責任監査法人
・有限責任監査法人トーマツ
・有限責任あずさ監査法人
・PwCあらた有限責任監査法人

申請書の作成・申請

登録申請書、言明書、実施結果報告書などの必要な文書を作成しISMAP運営委員会へ提出します。申し込み書類に不備が見当たらなければ｢ISMAPクラウドサービスリスト｣への登録が認められます。ここで注意が必要です。ISMAP登録には有効期限があり、有効期限が切れる前に更新しなければなりません。有効期限は監査対象期間の末日の翌日から1年4ヶ月です。つまり、毎年ISMAPの更新審査があるという認識を持っておくのが良いです。登録期限には注意しましょう。

6.まとめ

いかがだったでしょうか？
本記事ではISMAPの概要やメリット、登録企業について解説してきました。
ISMAP登録にはたくさんのメリットがあると同時に登録までには多くの準備を要することをお分かりいただけたと思います。
株式会社UPFでは、様々な規格の認証支援・構築支援を経て得たリスクマネジメントへの深い知見で、その企業に最もフィットする制度構築によりISMAP登録までを支援します。
ISMAP取得をご検討される企業様・ご担当者様は、Pマーク取得の実績No.1のコンサル会社UPFまでどうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。