fbpx

情報セキュリティにまつわる
お役立ち情報を発信

ISMAPクラウドサービスリストとは?徹底的に解説!

日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか?
まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていくでしょう。
本記事ではISMAPについての概要やメリット、登録されているクラウドサービス等について解説していきます。ISMAP取得をご検討されている企業様、担当者の方はもちろん、ISMAPへの理解を深めたい方にも有益な情報となりますのでぜひ、ご一読ください。

1.ISMAPとは?

ISMAP(イスマップ)とは、「Information system Security Management and Assessment Program」の略称で、政府情報システムのためのセキュリティ評価制度です。
総務省・経済産業省・内閣サイバーセキュリティセンター・デジタル庁が2020年に立ち上げを行い、独立行政法人情報処理推進機構(IPA)が制度運用に係る実務と評価への技術的な支援を行っています。
政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ登録するしておくことによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入を可能にすることが目的です。政府はクラウドサービスの調達をISMAPに登録された中から行うのが原則となります。
また政府だけでなく民間企業にもISMAP登録リストは公開されており、日本初の情報セキュリティ評価制度として注目を集めています。

2.ISMAPが施行された背景

当時世界では当たり前のようにクラウドサービスが導入されていた中で日本は遅れを取っていました。そのような状況を受けて政府は「クラウド・バイ・デフォルト原則」を示し、クラウドサービスの利用を促進させようと考えてます。しかしこれはサービス運用の非効率性という面で問題が生じていました。政府機関には機密情報がたくさんあり極めて安全なクラウドサービスが求められます。そのためそれぞれの政府機関で個別の基準を設けその基準を満たすクラウドサービスが用いられるという方法で安全性を担保していました。その結果複数のガイドラインが存在し国として業務を行う上では非効率でした。こうした状況を受けて国として共通のガイドラインを求める声が高まり、日本初の情報セキュリティ評価制度としてISMAPが施行されました。

3.ISMAP取得のメリット

ISMAP登録には以下の3つのメリットが考えられます。それぞれ具体的に見ていきましょう。

3.1 サービスを選定する際の負担低減

クラウドサービスの導入を検討する際に、企業の情報システム担当者は自社のセキュリティー基準を満たすクラウドサービスを選定しなければなりません。しかし、クラウドサービスのセキュリティー基準を企業のシステム担当者自身で個別に確認し、選定することは容易ではなく、担当者の大きな負担となります。
ISMAPがあることにより一定のセキュリティー基準が満たされている為、担当者はサービスリストに登録されているサービスの中から自社が求める条件を満たしているかどうかで選ぶことができます。そのため、情報システム担当者の負担は減り、業務を短縮することができます。

3.2 サービスの信用が高まる

ISMAPに登録されるためには多くの管理基準を満たす必要があります。逆に言えばISAMPに登録されていることで自社のサービスは安全性が高く信用できるものであるということを伝えることができます。ホームページやチラシ等で主観的に安全性を謳うよりも、政府公認の制度をもとに客観性を持って安全性を主張できる方がそのクラウドサービスの信用性は増すでしょう。

3.3 ビジネスチャンスの拡大

ISMAP取得企業の主な目的は政府機関と仕事をするためです。政府機関はISMAPに登録されている企業からクラウドサービスの調達を行うことを原則にしているため、政府機関と仕事をするためにはISMAPに登録されなければなりません。
また最近ではクラウドサービスを導入する際にISMAPへの登録を前提条件としている大手企業が多くなってきていることから、民間企業とのビジネス拡大にもつながります。

4.ISMAPクラウドサービスリストとは?

クラウドサービスリストとはISAMPに登録されている企業を確認することができるWebサイトのことです。クラウドサービス名、事業名、有効期限などが記載され、民間企業にも幅広く公開されています。
クラウドサービスは クラウドサービスリスト – ISMAPポータル

こちらのリンクから確認する事ができます。
ここでは世界的な大企業である、Google、Amazon、Microsoft が提供しているクラウドサービスを具体的に見ていきましょう。

4.1.Google cloud platform

まず始めにGoogleが提供しているGoogle cloud platformについて紹介していきます。
2021年3月12日にクラウドサービスリストに登録されISMAPの中でも最初期に登録されたクラウドサービスです。
特徴としてはGoogleの最先端のテクノロジーによって企業のDXをありとあらゆる分野まで支援し促進してくれることがあげられます。
小売りや金融業、ヘルスケアなど幅広い分野から150以上のプロダクトを選択し利用することができます。
セブンイレブンジャパンやアサヒグループなどがこのGoogle cloud platformを利用しDX化を実現させています。

クラウド コンピューティング サービス | Google Cloud

4.2.Amazon Web Service

次にご紹介するのがAmazonが提供しているAmazon Web Serviceです。
こちらもGoogle cloud platformと同様に2021年3月12日にISMAPに登録されISMAPの最古参の1つになっています。
特徴としては世界で包括的に幅広く提供されておりインフラストラクチャーや機械学習、AI分析など200以上のサービスが提供されていることがあげられます。
世界中の大規模なコミュニティと安全なセキュリティサービスにより企業にイノベーションをもたらしています。
Netflixやコカコーラ等の会社はAmazon Web Service を利用することでイノベーションを実現しました。

AWS (アマゾン ウェブ サービス) とは?【AWS公式】 (amazon.com)

4.3.Microsoft office 365

最後にMicrosoftが提供する Microsoft office 365 について紹介します。
2021年6月22日にISMAPに登録されました。
こちらはみなさん馴染みがあるであろうExcelやWord、PowerPointを使った作成、共有、共同作業を1カ所で行うことを可能にしているプラットフォームです。
家庭向けや企業向け、教育向けなどありとあらゆるペルソナへ向けてサービスを提供していることが特徴です。
Microsoft office 365を利用することでより効率的にMicrosoftアプリを利用していくことができます。
またMicrosoftはMicro office 365 に加えてMicrosoft Azure、 Dynamics 365などの他のサービスもISMAPに登録しています。
このように企業によっては2つ以上のサービスをISMAPに登録していることもあります。

Microsoft office 365 ログイン |Microsoft 365 
Microsoft Azure クラウド コンピューティング サービス |
Dynamics 365 Microsoft Azure Business Applications | Microsoft Dynamics 365

5.ISMAP登録までの手順

基本方針の決定

ISMAPの制度を理解し、登録を目指すサービスの範囲を決定します。

リスク分析

ISMAP管理基準と照らし合わせ、管理基準の要件を満たせているかどうかの確認を行います。
洗い出された課題を元にどう解決していくのかを考えます。

書類の作成

言明書、登録申請書の作成を行います。

内部監査の実施

ISMAP監査機関による監査の実施の前に、クラウドサービス事業者やその支援サービス提供者による内部監査を行います。(内部監査の報告は任意です。)
支援サービス提供者の力を借りることによってISMAP基準と自社サービスのギャップの特定、分析をさらに高水準で行い、外部監査を円滑に行えることにつながります。

外部監査の実施

内部監査実施後は外部監査機関として公認された機関から外部監査を受ける必要があります。
監査を行った事を示す「実施結果報告書」はISMAPを登録する際に必要になります。
外部監査実施機関は次のような企業があります。(2022年8月時点)
・EY新日本有限責任監査法人
・有限責任監査法人トーマツ
・有限責任あずさ監査法人
・PwCあらた有限責任監査法人

申請書の作成・申請

登録申請書、言明書、実施結果報告書などの必要な文書を作成しISMAP運営委員会へ提出します。申し込み書類に不備が見当たらなければ「ISMAPクラウドサービスリスト」への登録が認められます。ここで注意が必要です。ISMAP登録には有効期限があり、有効期限が切れる前に更新しなければなりません。有効期限は監査対象期間の末日の翌日から1年4ヶ月です。つまり、毎年ISMAPの更新審査があるという認識を持っておくのが良いです。登録期限には注意しましょう。

6.まとめ

いかがだったでしょうか?
本記事ではISMAPの概要やメリット、クラウドサービスリストについて徹底的に解説してきました。どんな企業のサービスがISMAPに登録されているのかお分かりいただけましたでしょうか?

株式会社UPFでは、様々な規格の認証支援・構築支援を経て得たリスクマネジメントへの深い知見でその企業に最もフィットする制度構築によりISMAP登録までをご支援します。
ISMAP取得をご検討される企業様・ご担当者様は、Pマーク取得の実績No.1のコンサル会社UPFまでどうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る