ISMAP (イスマップ) とは？政府クラウドサービス制度のメリットと取得手順

ISMAP (Information System Security Management and Assessment Program) とは、政府が求めるセキュリティ基準を満たしているクラウドサービスを評価・登録する制度です。「イスマップ」と読み、政府情報システムのためのセキュリティ評価制度と訳されます。

政府機関がクラウドサービスを調達する際は、原則としてこの「ISMAPクラウドサービスリスト (※ 外部サイトへ遷移します。)」に登録されたサービスの中から選定することになります。これにより、政府は一定のセキュリティ水準が担保されたサービスを迅速かつ効率的に導入できます。

ISMAPが制定された直接のきっかけは、2018年に政府が打ち出した「クラウド・バイ・デフォルト原則」です。これにより、各府省庁でクラウドサービスの利用が第一候補となりましたが、同時にサービスごとに異なるセキュリティレベルを統一された基準で評価する必要性が生じました。

この課題を解決するため、政府が安全性を確認する共通の仕組みとして整備されたのがISMAPです。当初は政府調達のための制度としてスタートしましたが、現在ではその信頼性が広く認知され、民間企業がサービスを選定する際の客観的な指標としても活用されるなど、その位置づけは大きく変化しています。

このようにISMAPは単なる政府向けの基準ではなく、企業がリスクを管理し、ビジネスの信頼性を内外に示すための実践的な判断材料として不可欠な存在となっているのです。

ISMAPには、通常版の「ISMAP」のほかに「ISMAP-LIU (イスマップ・エルアイユー) 」という制度があります。ISMAP-LIUは「Low-Impact Use」の略で、セキュリティ上のリスクが比較的低い業務や、取り扱う情報が機密性の低いものに限定されるSaaSサービスを対象としています。

ISMAPがIaaSやPaaS、SaaSなど幅広いサービスを対象とするのに対し、ISMAP-LIUはリスクの低いSaaSに特化しており、審査基準も一部簡略化されています。これにより、小規模なSaaS事業者でもISMAP制度に登録しやすくなっています。

ISMAPとよく比較される制度に「ISMS (情報セキュリティマネジメントシステム) 認証」がありますが、両者はその目的と評価対象が根本的に異なります。

ISMS認証の目的は、企業や部署といった「組織」が情報セキュリティを適切に管理・運用するための「体制」を整えていることを証明することです。一方、ISMAPの目的は、IaaSやPaaS、SaaSといった「クラウドサービス」そのものが、政府の求める厳しいセキュリティ基準を満たしていることを証明することにあります。

つまり、ISMSが「会社 (組織) の仕組み」を評価するのに対し、ISMAPは「提供されているサービス」そのものを、より専門的かつ具体的に評価する制度なのです。ISMAPの基準はISMSを基礎としていますが、クラウドに特化した、より厳格な要件が追加されていると理解してください。

ISMAP認定は、クラウドサービスを提供する事業者側と、それを利用する政府機関や企業側の双方に大きなメリットをもたらします。ここではそれぞれの立場から具体的な利点を見ていきましょう。

利用者側のメリットは、クラウドサービス選定時のセキュリティ評価にかかる負担を軽減できる点にあります。通常、クラウドサービスを選定する際には各サービスのセキュリティ対策を個別に調査・評価する必要があり、多大な時間とコストがかかります。しかし、ISMAPに登録されたサービスを前提とすることで、この評価プロセスを大幅に削減することが可能です。組織内での承認手続きも円滑に進み、導入判断をスムーズに行えるようになります。

ISMAPの管理基準は、経営から現場まで一貫した体制を築くための3階層のピラミッド構造になっています。頂点に経営陣が主導する「ガバナンス基準」、中間に管理者が実践する「マネジメント基準」、そして土台として現場が遵守すべき具体的な「管理策基準」が位置します。

ガバナンス基準は、経営陣が情報セキュリティに対してどのように関与すべきかを定めたものです。具体的には、情報セキュリティに関する方針の策定、体制の構築、リスク管理への指示、そして活動全体の監督責任などが含まれます。

これは、情報セキュリティを単なる技術的な問題としてではなく、経営課題として捉え、トップダウンで推進することを要求するものです。経営陣の強いリーダーシップとコミットメントが、組織全体のセキュリティレベルを支える基盤となります。

マネジメント基準は、ガバナンス基準で示された方針に基づき、情報セキュリティマネジメントを確立・実施・維持するための具体的な要件を定めています。これは、情報システムを管理する責任者が中心となって実践するものです。

リスクアセスメントの実施、セキュリティ計画の策定、従業員への教育・訓練、インシデント発生時の対応手順の整備など、PDCAサイクルを通じて継続的にセキュリティレベルを向上させていく活動が求められます。

管理策基準は、情報システムを保護するために実施すべき具体的なセキュリティ対策をまとめたものです。約1,200項目の詳細な要求事項からなり、技術的な対策から物理的な対策、組織的な対策まで、幅広い領域をカバーしています。

国際的な情報セキュリティ規格であるISO/IEC 27017などを基に作成されており、14のカテゴリに分類されています。

ISMAPリストへの登録は、厳格な審査プロセスを経て行われます。多くの企業が取得までに1年以上を要しており、その道のりは決して容易ではありません。ここでは、クラウドサービス事業者がISMAPへの登録を完了するまでに必要となる、4つのステップについて解説します。

まず、自社のクラウドサービスがISMAPの管理基準を満たしているか、自己評価を行います。ISMAPが公表している管理基準の各項目に対し、自社のセキュリティ対策が適合しているかを一つひとつ確認し、文書化していく地道な作業です。この段階で、基準を満たしていない項目があれば、対策を講じる必要があります。

言明書の作成後、ISMAPが認定した監査機関に外部監査を依頼します。監査機関は、事業者から提出された言明書や関連文書をレビューし、実際にセキュリティ対策が有効に機能しているかを客観的に評価します。

監査の結果、ISMAPの基準を満たしていない不適合な点が発見された場合は、改善計画書を作成し、是正措置を講じる必要があります。すべての不適合が解消された後、監査機関から評価結果報告書が発行されます。

監査機関による適合評価を受けた後、いよいよISMAP運用支援機関への登録申請です。申請には、言明書や外部監査の評価結果報告書をはじめとする多数の書類が必要です。ISMAPポータルサイトで公開されている「提出書類チェックリスト」を活用し、不備のないように準備を進めましょう。

提出された書類はISMAP運用支援機関によって審査され、最終的にISMAP運営委員会で審議されます。審議の結果、問題がなければ「登録」、追加の説明や対応が必要な場合は「留保」、基準を満たさないと判断されれば「却下」となります。

本記事では、政府情報システムのためのセキュリティ評価制度「ISMAP」について、その概要からメリット、管理基準、取得手順までを解説しました。ISMAPは、政府が安全にクラウドサービスを調達するための重要な仕組みであり、事業者にとっては政府市場への参入や信頼性向上に、利用者にとっては安全なサービス選定の効率化につながる制度です。登録には厳格な基準とプロセスが求められますが、そのメリットは大きいといえるでしょう。クラウド活用が不可欠となった現代において、セキュリティ対策は重要な経営課題の一つです。信頼できるクラウド環境の構築や、自社サービスのセキュリティ強化についてお悩みの際は、専門家への相談も有効な選択肢です。