ISMSクラウドセキュリティ認証とISMAPはなにがどう違うか<ISMSクラウドセキュリティ認証とISMAP 3>
本連載では、ISMSクラウドセキュリティ認証とISMAPについて説明をしてきました。
簡単におさらいをしておきますと、
ISMSクラウドセキュリティ認証とは、クラウドサービスに関する情報セキュリティを適切に管理している組織だと証明するための第三者認証のこと
ISMAPとは、「Information system Security Management and Assessment Program(政府情報システムのためのセキュリティ評価制度)」の略称で、政府機関が利用するクラウドサービスをあらかじめ評価や登録をしておくことで、政府機関が高セキュリティ水準の確保と円滑なクラウド導入を目指す制度のこと
となります。
では実際に自社でどちらかの制度を取得しようと考えたときに、セキュリティ担当者は何を基準に選ぶのがよいのでしょうか。
そこで今回は、“ISMSクラウドセキュリティ認証”と“ISMAP”の違い、及びどちらを取得するべきかについて書いていきたいと思います。今回は「認証の目的」、「監査・審査の制度や費用」、「有効期限」、「適用される管理策」といったところを比較していきます。
目次
認証の目的について
まずは、認証の目的に違いがあります。さきほど記載した内容と重複しますが、“ISMSクラウドセキュリティ認証”は、クラウドサービスの提供や利用に関して、適用されるクラウドセキュリティについての第三者認証で、それに対して、“ISMAP”はクラウドサービスの選定に関して、政府が求める統一的なセキュリティの基準をつくり、クラウドサービスの円滑な導入のために作られた制度になります。
監査・審査の制度や費用について
次に審査制度にも違いがあります。
ISMSクラウドセキュリティ認証については、日本では「ISMS-AC」(昔は「JIPDEC」でしたが、一部の組織が独立して「ISMS-AC」とよばれるようになっています)という認定機関が審査機関の監督を行っており、その下で審査機関が審査しています。
一方、ISMAPは監査法人が監査を実施します。監査実施が可能な機関は「ISMAP監査機関リスト」に登録されています。
ISMSクラウドセキュリティ認証とISMAPでは、認定機関や審査機関の両者について、機関が異なることとなります。
費用については、取得のために監査やコンサルティングなど様々な費用がかかり、企業によって大きく変動する要素があるため、明確には言えませんが、ISMSクラウドセキュリティ認証の登録には数十万~数百万と言われており、ISMAPの登録には数千万~かかると言われています。
※費用についてはあくまで一般的に言われている金額なので、実際の費用は各監査法人やコンサルティング会社にお尋ねください。
有効期限について
ISMSクラウドセキュリティ認証は、ISMSのアドオン認証ですので、ISMSの審査と合わせて実施されます。ISMSの審査では再認証審査が3年に1度、維持審査が毎年行われます。そのため毎年仕組みの見直しを実施する必要があるということになります。
ISMAPのクラウドサービスリストの登録有効期限は、登録の対象となった監査の対象期間の末日の翌日から1年4ヶ月後までとなります。クラウドサービス事業者は有効期限までに、登録の更新を申請する必要があります。
ISMAPの審査を受けるためには、「申請書」をISMAP運用支援機関(IPA)に提出する必要があります。
参考:ISMAP – 政府情報システムのためのセキュリティ評価制度 各種手続きの方法
適用される管理策について
ISMSクラウドセキュリティ認証は「ISO/IEC 27001」という国際規格が基準となっています。「ISO/IEC 27001」では、情報セキュリティの3つの要素(機密性・完全性・可用性)が管理されており、利害関係者に対して信頼を与えるための枠組みが提示されています。
ISMAPについての評価項目は、国際標準化機構(ISO)策定の情報セキュリティの国際規格であるISO 27001/27002/27014/27017をベースにしつつ、NISTや政府統一基準を組み合わせてつくられています。ISO/IEC 27017は、クラウドサービスにおけるセキュリティマネジメントについての要求事項を定めていて、ISMAPの管理策の主な部分を担っています。
どちらを選ぶべきか
どちらを取得するのがいいのか、どちらを優先するべきなのかについては企業によって異なります。
“ISMSクラウドセキュリティ認証”は、情報技術系の業種を中心に、多くの企業で幅広く取得されているようです。クラウドサービス事業者を問わず、自社の情報セキュリティを向上させて、社外に安全性をアピールすることもできるので、そのような目的であれば、ISMSクラウドセキュリティ認証の取得を検討するのがよいでしょう。
一方でISMAPは地方自治体や政府向けのサービスを開発、運用を行っている事業者が向いていると言われており、自社のクラウドサービスを政府機関に利用してもらいたいと考えているクラウドサービス事業者であれば、こちらのISMAPの登録を検討するのがよいと思います。政府向けの認証制度ということで、取得すれば取引先や顧客からも高い信用を得られると考えられます。
まとめ
ISMSクラウドセキュリティ認証とISMAPの違いについて見てきました。どちらもクラウドサービスが普及してきた現代において重要な役割を持っており、高い信頼を得るために必要な制度だと思います。両者の違いを知ることで、自社にとってどちらを取得するべきか、優先度の高いものはどちらか、を判断していただければと思います。
※本記事の正確性については最善を尽くしますが、これらについて何ら保証するものではありません。本記事の情報は執筆時点(2024年9月)における情報であり、掲載情報が実際と一致しなくなる場合があります。必ず最新情報をご確認ください。
筆者プロフィール
- 家電量販店でウィンドウショッピングするのが好きです。
【オンラインセミナー定期開催中】法改正、IT導入補助金、内部統制、業務の効率化など
いま解決したい課題のヒントになるかもしれません。ぜひお気軽ご参加ください!