ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか?
まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていくでしょう。
本記事ではISMAPについての概要やメリット、登録されているクラウドサービス等について解説していきます。ISMAP取得をご検討されている企業様、担当者の方はもちろん、ISMAPへの理解を深めたい方にも有益な情報となりますのでぜひ、ご一読ください。
目次
1.ISMAPとは?
ISMAP(イスマップ)とは、「Information system Security Management and Assessment Program」の略称で、政府情報システムのためのセキュリティ評価制度です。
総務省・経済産業省・内閣サイバーセキュリティセンター・デジタル庁が2020年に立ち上げを行い、独立行政法人情報処理推進機構(IPA)が制度運用に係る実務と評価への技術的な支援を行っています。
政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ登録するしておくことによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入を可能にすることが目的です。政府はクラウドサービスの調達をISMAPに登録された中から行うのが原則となります。
また政府だけでなく民間企業にもISMAP登録リストは公開されており、日本初の情報セキュリティ評価制度として注目を集めています。
2.ISMAPが施行された背景
当時世界では当たり前のようにクラウドサービスが導入されていた中で日本は遅れを取っていました。そのような状況を受けて政府は「クラウド・バイ・デフォルト原則」を示し、クラウドサービスの利用を促進させようと考えてます。しかしこれはサービス運用の非効率性という面で問題が生じていました。政府機関には機密情報がたくさんあり極めて安全なクラウドサービスが求められます。そのためそれぞれの政府機関で個別の基準を設けその基準を満たすクラウドサービスが用いられるという方法で安全性を担保していました。その結果複数のガイドラインが存在し国として業務を行う上では非効率でした。こうした状況を受けて国として共通のガイドラインを求める声が高まり、日本初の情報セキュリティ評価制度としてISMAPが施行されました。
3.ISMAP取得のメリット
ISMAP登録には以下の3つのメリットが考えられます。それぞれ具体的に見ていきましょう。
3.1 サービスを選定する際の負担低減
クラウドサービスの導入を検討する際に、企業の情報システム担当者は自社のセキュリティー基準を満たすクラウドサービスを選定しなければなりません。しかし、クラウドサービスのセキュリティー基準を企業のシステム担当者自身で個別に確認し、選定することは容易ではなく、担当者の大きな負担となります。
ISMAPがあることにより一定のセキュリティー基準が満たされている為、担当者はサービスリストに登録されているサービスの中から自社が求める条件を満たしているかどうかで選ぶことができます。そのため、情報システム担当者の負担は減り、業務を短縮することができます。
3.2 サービスの信用が高まる
ISMAPに登録されるためには多くの管理基準を満たす必要があります。逆に言えばISAMPに登録されていることで自社のサービスは安全性が高く信用できるものであるということを伝えることができます。ホームページやチラシ等で主観的に安全性を謳うよりも、政府公認の制度をもとに客観性を持って安全性を主張できる方がそのクラウドサービスの信用性は増すでしょう。
3.3 ビジネスチャンスの拡大
ISMAP取得企業の主な目的は政府機関と仕事をするためです。政府機関はISMAPに登録されている企業からクラウドサービスの調達を行うことを原則にしているため、政府機関と仕事をするためにはISMAPに登録されなければなりません。
また最近ではクラウドサービスを導入する際にISMAPへの登録を前提条件としている大手企業が多くなってきていることから、民間企業とのビジネス拡大にもつながります。
4.ISMAPクラウドサービスリストとは?
クラウドサービスリストとはISAMPに登録されている企業を確認することができるWebサイトのことです。クラウドサービス名、事業名、有効期限などが記載され、民間企業にも幅広く公開されています。
クラウドサービスは クラウドサービスリスト – ISMAPポータル
こちらのリンクから確認する事ができます。
ここでは世界的な大企業である、Google、Amazon、Microsoft が提供しているクラウドサービスを具体的に見ていきましょう。
4.1.Google cloud platform
まず始めにGoogleが提供しているGoogle cloud platformについて紹介していきます。
2021年3月12日にクラウドサービスリストに登録されISMAPの中でも最初期に登録されたクラウドサービスです。
特徴としてはGoogleの最先端のテクノロジーによって企業のDXをありとあらゆる分野まで支援し促進してくれることがあげられます。
小売りや金融業、ヘルスケアなど幅広い分野から150以上のプロダクトを選択し利用することができます。
セブンイレブンジャパンやアサヒグループなどがこのGoogle cloud platformを利用しDX化を実現させています。
クラウド コンピューティング サービス | Google Cloud
4.2.Amazon Web Service
次にご紹介するのがAmazonが提供しているAmazon Web Serviceです。
こちらもGoogle cloud platformと同様に2021年3月12日にISMAPに登録されISMAPの最古参の1つになっています。
特徴としては世界で包括的に幅広く提供されておりインフラストラクチャーや機械学習、AI分析など200以上のサービスが提供されていることがあげられます。
世界中の大規模なコミュニティと安全なセキュリティサービスにより企業にイノベーションをもたらしています。
Netflixやコカコーラ等の会社はAmazon Web Service を利用することでイノベーションを実現しました。
AWS (アマゾン ウェブ サービス) とは?【AWS公式】 (amazon.com)
4.3.Microsoft office 365
最後にMicrosoftが提供する Microsoft office 365 について紹介します。
2021年6月22日にISMAPに登録されました。
こちらはみなさん馴染みがあるであろうExcelやWord、PowerPointを使った作成、共有、共同作業を1カ所で行うことを可能にしているプラットフォームです。
家庭向けや企業向け、教育向けなどありとあらゆるペルソナへ向けてサービスを提供していることが特徴です。
Microsoft office 365を利用することでより効率的にMicrosoftアプリを利用していくことができます。
またMicrosoftはMicro office 365 に加えてMicrosoft Azure、 Dynamics 365などの他のサービスもISMAPに登録しています。
このように企業によっては2つ以上のサービスをISMAPに登録していることもあります。
Microsoft office 365 ログイン |Microsoft 365
Microsoft Azure クラウド コンピューティング サービス |
Dynamics 365 Microsoft Azure Business Applications | Microsoft Dynamics 365
5.ISMAP登録までの手順
基本方針の決定
ISMAPの制度を理解し、登録を目指すサービスの範囲を決定します。
リスク分析
ISMAP管理基準と照らし合わせ、管理基準の要件を満たせているかどうかの確認を行います。
洗い出された課題を元にどう解決していくのかを考えます。
書類の作成
言明書、登録申請書の作成を行います。
内部監査の実施
ISMAP監査機関による監査の実施の前に、クラウドサービス事業者やその支援サービス提供者による内部監査を行います。(内部監査の報告は任意です。)
支援サービス提供者の力を借りることによってISMAP基準と自社サービスのギャップの特定、分析をさらに高水準で行い、外部監査を円滑に行えることにつながります。
外部監査の実施
内部監査実施後は外部監査機関として公認された機関から外部監査を受ける必要があります。
監査を行った事を示す「実施結果報告書」はISMAPを登録する際に必要になります。
外部監査実施機関は次のような企業があります。(2022年8月時点)
・EY新日本有限責任監査法人
・有限責任監査法人トーマツ
・有限責任あずさ監査法人
・PwCあらた有限責任監査法人
申請書の作成・申請
登録申請書、言明書、実施結果報告書などの必要な文書を作成しISMAP運営委員会へ提出します。申し込み書類に不備が見当たらなければ「ISMAPクラウドサービスリスト」への登録が認められます。ここで注意が必要です。ISMAP登録には有効期限があり、有効期限が切れる前に更新しなければなりません。有効期限は監査対象期間の末日の翌日から1年4ヶ月です。つまり、毎年ISMAPの更新審査があるという認識を持っておくのが良いです。登録期限には注意しましょう。
6.まとめ
いかがだったでしょうか?
本記事ではISMAPの概要やメリット、クラウドサービスリストについて徹底的に解説してきました。どんな企業のサービスがISMAPに登録されているのかお分かりいただけましたでしょうか?
株式会社UPFでは、様々な規格の認証支援・構築支援を経て得たリスクマネジメントへの深い知見でその企業に最もフィットする制度構築によりISMAP登録までをご支援します。
ISMAP取得をご検討される企業様・ご担当者様は、Pマーク取得の実績No.1のコンサル会社UPFまでどうぞお気軽にお問い合わせください。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]