ISMAP管理基準とは？徹底的に解説！

日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか？
近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。
本記事ではISMAPの概要や管理基準、登録までの流れまで徹底的に解説していきます。ISMAP取得をご検討されている企業様、担当者の方はもちろん、ISMAPへの理解を深めたい方にも有益な情報となりますのでぜひ、ご一読ください。

1.ISMAPとは？

ISMAP（イスマップ）とは、「Information system Security Management and Assessment Program」の略称で、政府情報システムのための日本初のセキュリティ評価制度です。
総務省・経済産業省・内閣サイバーセキュリティセンター・デジタル庁が2020年に立ち上げを行い、独立行政法人情報処理推進機構（IPA）が制度運用に係る実務と評価への技術的な支援を行っています。
政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ登録するしておくことによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入を可能にすることが目的です。政府はクラウドサービスの調達をISMAPに登録された中から行うのが原則となります。
また政府だけでなく民間企業にもISMAP登録リストは公開されており、民間企業も閲覧できるようになっています。

2.ISMAP施行の背景

当時世界では当たり前のようにクラウドサービスが導入されていた中で日本は遅れを取っていました。そこで政府は｢クラウド・バイ・デフォルト原則｣を示し、クラウドサービスの利用を促進させようと考えます。しかし当時の日本は共通のガイドラインや基準はなく各政府機関がそれぞれに独自の基準やガイドラインを設け安全性を確保していました。これは国全体で業務を行う上で非常に非効率です。こうした状況を受けて国として共通のガイドラインを求める声が高まり、日本初の情報セキュリティ評価制度としてISMAPが施行されました。

3.ISMAP管理基準

ISMAPの管理基準にはガバナンス基準、マネジメント基準、管理策基準の3つで構成されており経営陣、管理者、実務実行者でこれらに対応していくことが求められます。
ISMAPはISO27000シリーズや政府機関等の情報セキュリティ対策のための統一基準群（平成30年度版）など、いくつかのガイドラインを参照、組み合わせて構成されています。
また管理基準には、3桁管理策と4桁管理策があります。3桁管理策は達成すべき統制目標であり、4桁管理策とは、それを達成するための手段となる詳細管理策のことです。
それでは具体的にそれぞれの管理基準について見ていきましょう。

3.1.ガバナンス基準

経営陣が満たすべき管理策が示されているのがガバナンス基準です。
セキュリティに関する意思決定や継続的に指示等を行うための事項が記されており、主に組織における方針の承認などに関する基準が定められています。
4桁管理基準（詳細管理策）が18項目存在しており、原則すべて実施する必要があります。

3.2.マネジメント基準

管理者が満たすべき管理策が示されているのがマネジメント基準です。
的確なマネジメントを実施するため、リスク管理に関する基準などが定められています。
3桁管理基準（統制目標）が21項目、4桁管理基準が６４項目存在しており、原則すべて実施する必要があります。

3.3.管理策基準

業務実務者が満たすべき管理策が示されているのが管理策基準です。
媒体の取扱いに関する基準など、実際にセキュリティ対策を実行していることを確認するための事項が定められています。
3桁管理基準が21項目、4桁管理策が1074項目ありますが、すべての項目が実施対象ではなく一部の管理策は必要な事項のみ選択することができます。

4.ISMAP登録のメリット

ISMAP登録には以下のようなメリットが考えられます。それぞれ具体的に見ていきましょう。

4.1.サービスを選定する際の負担低減

クラウドサービスの導入を考える際に、企業の情報システム担当者は自社のセキュリティ基準を満たす製品やサービスを選定しなければなりません。しかし、担当者がクラウドサービスのセキュリティ基準をチェックし、選定していくことは非常に手間がかかります。ISMAPでは一定の基準が満たされているクラウドサービスの一覧が一般に公開されているため、その中から自社に合うサービスを選ぶことができ作業時間の短縮につながります。

4.2.サービスの信用性が高まる

クラウドサービスを提供する企業はISMAPへの登録に向けて自社サービスの向上に努めるようになります。登録されるまでには1000を超える管理基準を満たさなければならず、そのために多くの時間と労力を要します。逆に言えば、ISMAPに取得されることで国からお墨付きをもらえることになり、自信を持って自社のサービスの安定性を主張することができます。こうして高い水準でサービスの安全性の強化に取り組むことで、サービスの信用性を得ることができます。

4.3.新たなビジネスチャンスの獲得

政府はISMAP登録企業からクラウドサービスの調達をすることを原則としています。そのため政府機関と仕事をするためにISMAP登録を考える企業が非常に多いです。
また最近ではクラウドサービスを導入する際にISMAPへの登録を前提条件としている大手企業が多くなってきていることから、民間企業とのビジネス拡大にもつながります。

5.ISMAP登録企業の特徴

ISMAPに登録されている企業はISMAPクラウドサービスリストというIPAが提供しているポータルサイトで確認することができます。
リンクはこちらです。クラウドサービスリスト – ISMAPポータル

クラウドサービスリストはクラウドサービス名や事業名、有効期限などが掲載され、民間企業にも幅広く提供されていることが特徴です。特にSaaS系のクラウドサービスを登録している企業が多く、中には2つ以上のサービスを登録している企業もあります。ISMAPに現在登録されている企業は合計45サービスに至ります。

6.ISMAP登録までの手順

6.1. 基本方針の決定

ISMAPの制度を理解し、登録を目指すサービスの範囲を決定します。

6.2.リスク分析

ISMAP管理基準と照らし合わせ、管理基準の要件を満たせているかどうかの確認を行います。
洗い出された課題を元にどう解決していくのかを考えます。

6.3.書類の作成

言明書、登録申請書の作成を行います。

6.4.内部監査の実施

ISMAP監査機関による監査の実施の前に、クラウドサービス事業者やその支援サービス提供者による内部監査を行います。（内部監査の報告は任意です。）
支援サービス提供者の力を借りることによってISMAP基準と自社サービスのギャップの特定、分析をさらに高水準で行い、外部監査を円滑に行えることにつながります。

6.5.外部監査の実施

内部監査実施後は外部監査機関として公認された機関から外部監査を受ける必要があります。
監査を行った事を示す｢実施結果報告書｣はISMAPを登録する際に必要になります。
外部監査実施機関は次のような企業があります。(2022年8月時点)
・EY新日本有限責任監査法人
・有限責任監査法人トーマツ
・有限責任あずさ監査法人
・PwCあらた有限責任監査法人

6.6.申請書の作成・申請

登録申請書、言明書、実施結果報告書などの必要な文書を作成しISMAP運営委員会へ提出します。申し込み書類に不備が見当たらなければ｢ISMAPクラウドサービスリスト｣への登録が認められます。ここで注意が必要です。ISMAP登録には有効期限があり、有効期限が切れる前に更新しなければなりません。有効期限は監査対象期間の末日の翌日から1年4ヶ月です。つまり、毎年ISMAPの更新審査があるという認識を持っておくのが良いです。登録期限には注意しましょう。

7.まとめ

いかがだったでしょうか？
本記事ではISMAPの概要やメリット、管理基準について徹底的に解説していきました。
ISMAP登録には多くのメリットがあることをご確認いただけたかと思います。
同時に登録に至るまでには3つの管理基準を満たしていかなければならないこともお伝えしました。

株式会社UPFでは,、様々な規格の認証支援・構築支援を経て得たリスクマネジメントへの深い知見でその企業に最もフィットする制度構築によりISMAP登録までをご支援します。
ISMAP取得をご検討される企業様・ご担当者様は、Pマーク取得の実績No.1のコンサル会社UPFまでどうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。