ISMAPとは<ISMSクラウドセキュリティ認証とISMAP 2>
前回記事では、ISMSクラウドセキュリティ認証について、説明をしました。今回は、ISMSと比較されることの多い、ISMAPについてお話します。
目次
ISMAPとは
ISMAPとは、正式には「Information system Security Management and Assessment Program(政府情報システムのためのセキュリティ評価制度)」となります。
政府機関が利用するクラウドサービスをあらかじめ評価・登録しておくことで、各政府機関が高いセキュリティ水準の確保と円滑なクラウド導入を目指す制度のことで、簡単に言うと、「政府が活用している『クラウドサービスのセキュリティレベルを評価』する制度」となります。
ISMAP登録により、「クラウドサービス事業者」は自社クラウドサービスがセキュリティ基準を満たした信頼できるサービスであることを証明できますし、「クラウドサービスを導入する側」は、良いサービスを効率的に選定できるメリットがあります。
ISMAPは2020年6月に内閣官房(内閣サイバーセキュリティセンター・IT総合戦略室)、総務省、経済産業省によって発足・施行されました。政府機関が共通で求めるセキュリティ要求事項を満たしているとみなされたクラウドサービスが、「ISMAPクラウドサービスリスト」に登録されることとなります。ISMAPの評価項目は、国際標準化機構(ISO)が策定した情報セキュリティの国際規格であるISO 27001/27002/27014/27017をベースにしつつ、NISTや政府統一基準を組み合わせて作成されました。
ISMAPに関するより詳しい情報は以下をご覧ください。
ISMAPが制定された背景
クラウドサービスは便利で効率的なデータの共有や処理ができ、ITを活用するうえで、クラウドサービスは必要不可欠なものになっていると言えるでしょう。政府機関においても、クラウドサービスの恩恵を受けており、政府情報システムの調達においても、クラウドサービスの利用を第一候補として検討を行うようになっているようです。
ただ、クラウドサービスは便利な一方で、セキュリティの不安がついてきます。そこで、クラウドサービスの安全性の評価に関する検討の必要性が位置付けられ、政府機関が利用するクラウドサービスのセキュリティレベルを向上させつつ、円滑な導入を行うことを目的として、統一的な評価基準としてISMAPを制定しました。
ISMAPの活用が求められる主な組織は、国の行政機関、独立行政法人、指定法人、となりますが、地方公共団体などがクラウドサービス利用において参照すべき認証・制度としてISMAPが紹介されているので、ISMAPは上記3つの組織以外でも活用されるべきとの意見もあります。
ISMAPの管理基準について
ISMAPの管理基準は大きく、ガバナンス基準、マネジメント基準、管理策基準の3つに分けられます。
・ガバナンス基準
経営陣が実施すべき事項として、JIS Q 27014(ISO/IEC 27014) の内容を精査し、監査の実施可能性の観点からJIS Qの実施の手引きのような具体的な実施タスクに再構成したものを指します。
・マネジメント基準
情報セキュリティマネジメントの計画、実行、点検、処置、及び、リスクコミュニケーションに実施事項を定めたものを指します。
・管理策基準
組織における情報セキュリティマネジメントの確立段階において、リスク対応方針に従って管理策を決定する際の選択肢を与えるものを指します。
ISMAPのクラウドサービスリストに掲載されるメリットとは
政府がISMAPの要件を満たしていると認定されたクラウドサービスは、“クラウドサービスリスト”に、クラウドサービスの名称、クラウドサービス事業者の名称、法人番号、クラウドサービス事業者の所在地、登録日、登録の有効期限といった項目が掲載されます。
クラウドサービスリスト登録のためにやるべきこと
自分たちが提供しているサービスをクラウドサービスリストに登録するためには、以下のようなことが必要です。
・内部統制の整備・運用
まずサービスの内容やセキュリティリスク分析を実施しそれに基づき統制目標の策定と管理策の整備・運用を行います。また、ISMAP管理基準に則って、言明書や経営者確認書を作成することになります。
・必要書類の提出
つぎに必要な書類をISMAP監査機関リストに登録されている監査機関に、言明書や経営者確認書を提出し、監査を依頼します。
・監査結果への対応
監査機関から実施結果報告書を受領し、監査の指摘事項に対応します。「重大な発見事項なし」という監査結果を得ることで、ISMAPに登録の申請ができるようになります。
・登録申請の提出
申請に必要な書類を用意し、ISMAP運用支援機関にクラウドサービス登録の申請を行います。提出後に運用支援機関から問い合わせがあったり、追加の資料提出の要請があった場合は、1カ月以内に対応が必要です。
・リストへの登録
ISMAP運営委員会は、運用支援機関からの報告などを踏まえて審査します。その結果、適切と判断されると、クラウドサービスリストに登録されます。クラウドサービスリストはウェブサイトに公開され、申請者はISMAP運用支援機関から登録の通知を受けます。
参考
ISMAP管理基準マニュアル
クラウドサービス登録申請の手引き
民間企業でもISMAPの活用が進む?
先ほど、ISMAPの活用が求められる主な組織は、国の行政機関、独立行政法人、指定法人、と記載しましたが、政府機関だけでなく、民間企業にもメリットがあると言われています。実際に政府も民間企業で利用されることを目指す方針で制度を進めているようです。
例えばクラウドサービスの提供企業から見ると、ISMAPに登録された場合、第三者の審査をクリアしたことが証明されますし、サービスを利用する企業にとってはISMAPクラウドサービスリストからクラウドサービスの選定を行うことで、その評価コストを大幅に省略することができるでしょう。
このように、民間企業にとってもISMAPの活用は大きなメリットになるのはないでしょうか。
まとめ
クラウドサービスの普及が急速に進むなか、セキュリティへの不安は増す一方でしょう。だからこそ、クラウドサービスのセキュリティ面での安全性を証明できるISMAPのような認証制度は、クラウドサービスを選定する側においても、販売する側においても、非常に重要なものとなってきています。
是非皆さんも、クラウドサービスを選定する際には、ISMSやISMAPを取得しているか、というところにも意識を向けてみてはいかがでしょうか。
ISMSとISMAPの違いについては、次回の記事にてお話致します。
※本記事の正確性については最善を尽くしますが、これらについて何ら保証するものではありません。本記事の情報は執筆時点(2024年8月)における情報であり、掲載情報が実際と一致しなくなる場合があります。必ず最新情報をご確認ください。
筆者プロフィール
- 家電量販店でウィンドウショッピングするのが好きです。
最新記事一覧
【オンラインセミナー定期開催中】法改正、IT導入補助金、内部統制、業務の効率化など
いま解決したい課題のヒントになるかもしれません。ぜひお気軽ご参加ください!