ISMAPとは？管理基準や登録のメリット・手順をわかりやすく解説

最終更新日:2024/01/25

ISMAP（イスマップ）とは？

政府情報システムのためのセキュリティ評価制度として、ISMAP（イスマップ）という制度があります。この制度は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入に資することを目的としています。

この記事ではISMAPとは何か、管理基準や登録するメリット、デメリットなどについて解説します。

ISMPとは

ISMAP（イスマップ）とは、政府情報システムのためのセキュリティ評価制度のことです。ISMAPは、Information system Security Management and Assessment Programの頭文字を取っています。内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省が運営しており、独立行政法人情報処理推進機構（IPA）が制度運用に係る実務及び評価に係る技術的な支援を行っています。

ISMAPの目的は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することです。クラウドサービス事業者が、ISMAP監査機関リストに登録された監査機関に監査を依頼し、管理基準に基づいた情報セキュリティ対策の実施状況について監査を受けます。

ISMAP運営委員会は、監査されたクラウドサービス事業者からの申請を受けて、クラウドサービス登録申請者に対する要求事項への適合状況を審査した上で、登録が妥当と判断したクラウドサービスをISMAPクラウドサービスリストに登録します。

調達府省庁等は、ISMAPクラウドサービスリストに掲載されているクラウドサービスの中から調達を行うことを原則としています。

ISMAP-LIUとの違い

ISMAP-LIUとは、ISMAPのうち、リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とする仕組みのことです。ISMAP-LIUは、ISMAP for Low-Impact Useの頭文字を取っています。

ISMAP-LIUでは、ISMAPと同様に、クラウドサービス事業者が、ISMAP監査機関リストに登録された監査機関に監査を依頼し、管理基準に基づいた情報セキュリティ対策の実施状況について監査を受けます。

ISMAP-LIUとISMAPの違いは、以下のようになります。

ISMAPが施行された背景

ISMAPは、サイバーセキュリティの脅威が増大し、情報セキュリティ管理の重要性が高まる中で施行されました。企業や組織が自らのセキュリティ管理体制を評価し、その結果を公表することで、利害関係者への透明性を提供し、信頼構築を目指しています。

ISMAPの管理基準

ISMAPに登録するためには、以下の管理基準を満たす必要があります。

• ガバナンス基準
• マネジメント基準
• 管理策基準

ガバナンス基準

ガバナンス基準とは、クラウドサービス事業者が、情報セキュリティに関する組織体制や方針、責任者、監査などを整備することを要求する基準です。ガバナンス基準を満たすためには、以下のようなことをする必要があります。

・情報セキュリティ方針の策定
情報セキュリティに関する方針を策定し、経営層が承認し、全従業員に周知することが必要です。情報セキュリティ方針には、情報セキュリティの目的や目標、情報セキュリティ管理体制の構築や維持、情報セキュリティに関する法令や契約の遵守、情報セキュリティに関する継続的な改善などが明記されるべきです。

・情報セキュリティ責任者の設置
情報セキュリティに関する責任者を設置し、その役割や権限を明確にすることが必要です。情報セキュリティ責任者には、情報セキュリティ方針の策定や実施、情報セキュリティ管理体制の監督や評価、情報セキュリティに関する教育訓練や啓発活動などの責務があります。

・情報セキュリティ監査の実施
情報セキュリティ管理体制の有効性や適合性を確認するために、定期的に情報セキュリティ監査を実施することが必要です。情報セキュリティ監査には、自己監査や第三者監査などの種類があります。情報セキュリティ監査の結果は、情報セキュリティ責任者や経営層に報告し、必要に応じて改善策を実行することが必要です。

ガバナンス基準を満たすことで、クラウドサービス事業者は、情報セキュリティに関する組織的な取り組みを強化することができます。次に、マネジメント基準について説明します。

マネジメント基準

マネジメント基準とは、クラウドサービス事業者が、情報セキュリティに関するリスク分析や対策計画、教育訓練、事故対応などを実施することを要求する基準です。マネジメント基準を満たすためには、以下のようなことをする必要があります。

・情報セキュリティリスク分析の実施
クラウドサービス事業者は、情報セキュリティに関するリスクを定期的に分析し、その結果を文書化することが必要です。情報セキュリティリスク分析には、リスクの特定、評価、優先順位付けなどのプロセスが含まれます。

情報セキュリティリスク分析の結果は、情報セキュリティ対策計画の策定や実施の基礎となります。

・情報セキュリティ対策計画の策定・実施
クラウドサービス事業者は、情報セキュリティリスク分析の結果に基づいて、情報セキュリティ対策計画を策定し、実施することが必要です。情報セキュリティ対策計画には、リスクの低減や回避、転嫁や受容などの対策方法や手順、責任者や期限、予算などが明記されるべきです。

情報セキュリティ対策計画の実施状況は、定期的に監視し、必要に応じて見直しや改善を行うことが必要です。

・情報セキュリティ教育訓練の策定・実施
クラウドサービス事業者は、情報セキュリティに関する教育訓練を定期的に実施することが必要です。情報セキュリティ教育訓練には、情報セキュリティ方針や管理基準の周知、情報セキュリティに関する知識やスキルの向上、情報セキュリティに関する意識や行動の改善などの目的があります。

情報セキュリティ教育訓練の対象者は、全従業員や協力会社などの関係者に及びます。情報セキュリティ教育訓練の効果は、定期的に評価し、必要に応じて見直しや改善を行うことが必要です。

・情報セキュリティ事故対応の策定・実施
クラウドサービス事業者は、情報セキュリティ事故が発生した場合に、迅速かつ適切に対応することが必要です。情報セキュリティ事故対応には、事故の発見や報告、事故の分析や原因究明、事故の影響の抑制や復旧、事故の再発防止などのプロセスが含まれます。情報セキュリティ事故対応の責任者や体制、手順、連絡先などは、事前に明確にすることが必要です。情報セキュリティ事故対応の結果は、文書化し、関係者や調達府省庁等に報告することが必要です 。

マネジメント基準を満たすことで、クラウドサービス事業者は、情報セキュリティに関する計画的な取り組みを強化することができます。次に、管理策基準について説明します。

管理策基準

管理策基準とは、ISMAPに登録されたクラウドサービス事業者が提供するクラウドサービスに適用される情報セキュリティ対策の基準です。管理策基準には、アクセス制御や暗号化、バックアップ、ログ管理、インシデント対応などの項目があります。

管理策基準を満たすためには、クラウドサービス事業者が自己評価を行い、その結果をISMAP運営委員会に報告する必要があります。

ISMAPに登録するメリット

ISMAPに登録するメリットは、主に以下の2点です。

・政府調達のスタートラインに立てる
ISMAPに登録されたクラウドサービスは、政府の情報セキュリティ基準を満たしていることが認められます。そのため、政府のクラウドサービス調達において、優先的に選定される可能性が高まります。

・市場競争力が向上する
ISMAPに登録されたクラウドサービスは、ISMAPクラウドサービスリストに掲載されます。これにより、クラウドサービスの品質や信頼性をアピールできます。また、ISMAPの基準は国際的な水準に準拠しているため、海外市場への展開にも有利になります。

ISMAPに登録するデメリット

ISMAPに登録するデメリットは、主に以下の2点です。

・登録に手間がかかる
ISMAPに登録するためには、マネジメント基準と管理策基準の2つの基準を満たす必要があります。マネジメント基準は、ISMAP監査機関による定期的な監査を受ける必要があります。管理策基準は、クラウドサービス事業者が自己評価を行い、その結果をISMAP運営委員会に報告する必要があります。これらのプロセスは、時間やコストがかかります。

・更新の必要がある
ISMAPに登録されたクラウドサービスは、登録後も継続的に基準を満たしていることを証明する必要があります。そのため、クラウドサービスの変更や改善に伴って、監査や自己評価を更新する必要があります。また、ISMAPの基準自体も、時代の変化に合わせて改定される可能性があります。

ISMAPクラウドサービスリストの掲載項目

ISMAPクラウドサービスリストに掲載される項目は、以下のとおりです。リストに掲載されることで、サービスのセキュリティが高い水準で認められたことになります。

• クラウドサービス事業者名
• クラウドサービスの種類（IaaS、PaaS、SaaS）
• クラウドサービスの概要
• クラウドサービスのURL
• ISMAP登録日
• ISMAP登録番号
• ISMAP監査機関名

ISMAPの取得にかかる費用

ISMAPの運営支援機関には費用を支払う必要はありませんが、登録準備で発生する費用はあります。ISMAPの取得でどのような費用が発生するのか、以下に説明します。

・監査費用
ISMAP監査機関に依頼する監査には費用がかかります。監査費用は、監査機関や監査対象の規模や内容によって異なりますが、一般的には数百万円から数千万円程度です。

・整備費用
ISMAPの基準を満たすために、内部統制や情報セキュリティ対策の整備には費用がかかります。整備費用は、整備対象の範囲や内容によって異なりますが、一般的には数十万円から数百万円程度です。

ISMAPに登録する方法

ISMAPに登録する方法について、説明します。ISMAPに登録するには、以下の4つの手順を踏む必要があります。

1. 内部統制を整備する
2. 監査を依頼する
3. 申請書を作成する
4. 審査を受ける

1.内部統制を整備する

内部統制を整備する必要があるのは、ISMAPの基準を満たすためです。内部統制とは、組織の目的や方針に沿って、業務を効率的かつ適正に行うための仕組みやルールのことです。整備時のポイントや注意点は、以下のとおりです。

• ISMAPのマネジメント基準と管理策基準を確認し、自分のクラウドサービスに適用できるかどうかを検討する。
• ISMAPの基準に沿って、情報セキュリティ管理体制や情報セキュリティ対策を計画・実施・評価・改善する。
• ISMAPの基準に関する文書や証拠を整理し、監査に備える。

2.監査を依頼する

監査に依頼する必要があるのは、ISMAPのマネジメント基準を満たしていることを証明するためです。監査とは、ISMAP監査機関が、クラウドサービス事業者の情報セキュリティ管理・運用の状況を客観的に検証することです。監査で確認されるポイントは、以下のとおりです。

・組織体制
情報セキュリティに関する役割や責任、教育や訓練、人事管理などが適切に行われているかどうか。

・リスク管理
情報セキュリティに関するリスクの特定・分析・評価・対応などが適切に行われているかどうか。

・セキュリティ対策
情報セキュリティに関する方針や目標、計画や実施、評価や改善などが適切に行われているかどうか。

注意点やポイントは、以下のとおりです。

• 監査を依頼する前に、ISMAP監査機関の資格や実績、費用などを比較検討する。
• 監査を依頼する際に、監査の範囲や期間、方法などを明確に確認する。
• 監査を受ける際に、文書や証拠を提供し、説明や質問に応じる。

3.申請書を作成する

申請書は、ISMAPの公式ウェブサイトからダウンロードし、必要事項を記入して提出します。申請書には、以下の内容が含まれます。

• クラウドサービスの概要や特徴
• クラウドサービスの種類や分類
• クラウドサービスの情報セキュリティ対策の自己評価結果
• ISMAP監査機関の監査報告書のコピー

申請書の提出方法について、以下に簡潔に説明します。申請書の提出方法は、以下のとおりです。

4.審査を受ける

審査にかかる機関は、規模や内容により異なりますが、一般的には数週間から数か月です。追加の資料提出や問い合わせがあった場合、迅速な対応が求められます。

審査とは、ISMAP運営委員会が、申請書と添付書類をもとに、クラウドサービスの情報セキュリティ対策の適合性を判断することです。審査にかかる期間は、申請書の内容や審査の状況によって異なりますが、一般的には2か月から3か月程度です。

申請書を提出した後に問い合わせや追加の資料提出の要請を受けた場合には、1か月以内に対応する必要があることを説明します。問い合わせや追加の資料提出の要請とは、ISMAP運営委員会が、申請書や添付書類に不備や疑問がある場合に、クラウドサービス事業者に連絡することです。

問い合わせや追加の資料提出の要請には、1か月以内に回答や資料を提供する必要があります。回答や資料の提供が遅れると、審査の期間が延びる可能性があります。 その他の注意点やポイントは、以下のとおりです。

• 審査の結果は、ISMAPポータルサイトに掲載されます。審査の結果には、登録可否や登録番号、登録日などが含まれます。
• 審査の結果に不服がある場合は、ISMAP運営委員会に対して、再審査の申し立てをすることができます。

まとめ

この記事では、ISMAPについて概要、に登録するメリットやデメリット、クラウドサービスリストの掲載項目の取得にかかる費用や取得の方法について紹介しました。ISMAPが利用されることで、サービス事業者は、政府の調達に優位になり、 利用者は、信頼できるサービスを選ぶことが出来るようなります。

国内のクラウドサービスの品質向上にもつながるため、ISMAPを利用して、クラウドサービスの提供・導入を効率化しましょう。

クラウドAIに関連する記事を見る

AIsmiley編集部

株式会社アイスマイリーが運営するAIポータルメディア「AIsmiley」は、AIの専門家によるコンテンツ配信とプロダクト紹介を行うWebメディアです。AI資格を保有した編集部がDX推進の事例や人工知能ソリューションの活用方法、ニュース、トレンド情報を発信しています。

・Facebookでも発信しています
@AIsmiley.inc
・Xもフォローください
@AIsmiley_inc