ISMAP(イスマップ)とは?制定された背景や管理基準をわかりやすく解説
政府機関がクラウドサービスを調達する際、一定のセキュリティ水準を確保したクラウドサービスを円滑に導入することを目的として、2020年に運用が開始された「ISMAP(政府情報システムのためのセキュリティ評価制度)」。本記事では、ISMAPが制定された背景や管理基準、海外のクラウドサービス評価制度について詳しく解説します。
政府情報システムのためのセキュリティ評価制度として、クラウドサービスに求めるセキュリティ水準を定めた「ISMAP(読み方:イスマップ)」。要件を満たしたクラウドサービス事業者は「ISMAPクラウドサービスリスト」に登録されており、各府省庁等は調達時のセキュリティ監査を省略し、安全かつ効率的にクラウドサービスを導入することができます。
ISMAPとは
ISMAP(イスマップ:Information system Security Management and Assessment Program)は、日本語では「政府情報システムのためのセキュリティ評価制度」といい、日本政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録する制度です。内閣サイバーセキュリティセンター(NISC)、デジタル庁、総務省、経済産業省が運営し、独立行政法人情報処理推進機構(IPA)がISMAPの制度運用業務や評価に関する技術的な支援を行っています。
ISMAP運営委員会は、クラウドサービス登録申請者に対する要求事項への適合状況を審査し、妥当と判断したクラウドサービスを「ISMAPクラウドサービスリスト」に登録しています。これにより、府省庁等は「ISMAPクラウドサービスリスト」の中から適切なクラウドサービスを選択・調達し、一定のセキュリティ基準を満たしたサービスを安全かつ円滑に導入することができます。
ISMAPクラウドサービスリストに登録されるには、基本的に以下の条件を満たす必要があります。
情報セキュリティ管理・運用の基準(ISMAP管理基準)を満たしていること
各基準が適切に実施されているか第三者(ISMAP登録監査機関)から監査を受けていること
なお、ISMAPクラウドサービスリストは独立行政法人情報処理推進機構(IPA)が運用するISMAPポータルサイトで確認できます。
ISMAPが制定された背景
2018年6月7日、各省庁の情報化統括責任者(CIO)会議で「政府情報システムにおけるクラウドサービスの利用に係る基本方針」が決定されました。この方針では、各府省庁等がシステムを導入する際に、クラウドサービスの利用を第一候補にすることを示す「クラウド・バイ・デフォルト原則」に則ることが定められています。
一方、当時はクラウドサービスに対する統一的なセキュリティ要求基準が存在せず、各政府機関がクラウドサービスを調達する際には、個別にセキュリティ対策を確認する必要がありました。この状況を受けて、2019年12月20日に閣議決定された「デジタル・ガバメント実行計画」では、政府情報システムの安全性評価基準・監査方法を見直し、各府省庁等が安全で効率的にクラウドサービスを導入できる仕組みを構築することになりました。
そして、2020年6月、内閣サイバーセキュリティセンター(NISC)、デジタル庁、総務省、経済産業省が所管する「政府情報システムのためのセキュリティ評価制度」(ISMAP)の運用が開始されました。
ISMAPの管理基準
クラウドサービス事業者がISMAPクラウドサービスリストに登録申請する際に必要なセキュリティ要件を定めたISMAPの管理基準は、は、国際規格(JIS Q 27001、27002、27017)に準拠しており、政府の統一基準やSP800-53を参照しています。この管理基準は「ガバナンス基準」「マネジメント基準」および「管理策基準」の3つで構成されています。
基準 | 概要 |
ガバナンス基準 | 経営陣が実施すべき事項として、ガバナンスを維持するための評価、指示、モニタリング、コミュニケーションプロセスを定義 |
マネジメント基準 | 情報セキュリティマネジメントの計画、実行、点検、処置、リスクコミュニケーションに必要な実施事項を定義 |
管理策基準 | 情報セキュリティリスク対応のための具体的な管理策を示すもの。クラウドサービス特有の管理策も含む |
これらの3つの基準が相互に連携することで、より強固な情報セキュリティ体制を構築することが可能になります。
海外のクラウドサービス評価制度 ー FedRamp、C5など
海外の類似制度として、米国連邦政府の「FedRAMP(フェドランプ:Federal Risk and Authorization Management Program)」というプログラムがあります。FedRAMPには低、中、高の3つのセキュリティレベルがあり、サービスの機密性に応じて適切なレベルが選択されます。2024年12月現在、Docusign eSignature、Docusign CLMを含む、357のクラウドサービスがFedRAMPの認証を受けています。
その他に、ドイツのC5(Cloud Computing Compliance Controls Catalog)、イギリスのG-Cloudなどがあります。ドイツ連邦政府 情報セキュリティ庁(BSI)によって2016年に策定されたC5は、主にクラウドサービス事業者、監査人、ユーザーを対象としており、3者が情報セキュリティを確立・維持する責任を共有しているという特徴があります。
まとめ
本記事で紹介した評価制度は政府機関向けのものですが、民間企業がクラウドサービスを選定する際の指針にもなり、評価コストを抑えるとともに、サービス導入の早期化が期待できます。しかし、認証を取得しているサービスならどれでもよいというわけではありません。ユーザー企業も自社のセキュリティ基準を設定し、要件に合ったサービスを選択することが重要です。適切なサービスを利用してこそ、その効果が十分に発揮できるといえます。
