近年、多くの企業や組織でクラウドサービスの利用が広がっています。これは政府機関も例外ではありません。しかし、政府が扱う情報には機密性の高いものが多く含まれるため、利用するクラウドサービスには高いセキュリティ水準が求められます。そこで登場したのが「ISMAP」という制度です。
このブログ記事では、IT初心者の方にも分かりやすく、ISMAPとは何か、なぜ必要なのか、どのような仕組みなのかを解説します。
ISMAPとは?
ISMAP(イスマップ)は、「Information system Security Management and Assessment Program」の略称で、日本語では「政府情報システムのためのセキュリティ評価制度」と呼ばれます。
簡単に言うと、政府が安心して利用できるセキュリティレベルの高いクラウドサービスを事前に評価・登録しておく制度のことです。政府機関は、原則としてこのISMAPに登録されたクラウドサービス(ISMAPクラウドサービスリストに掲載されたサービス)の中から調達を行うことになります。
この制度は、内閣サイバーセキュリティセンター(NISC)、デジタル庁、総務省、経済産業省が共同で運営しており、2020年6月から運用が開始されました。独立行政法人情報処理推進機構(IPA)が、制度運用に係る実務や技術的な支援を行っています。
ISMAPが生まれた背景
ISMAPが作られた背景には、政府におけるクラウドサービス利用の方針転換があります。
2018年6月、政府は「クラウド・バイ・デフォルト原則」を打ち出しました。これは、政府が情報システムを導入する際、クラウドサービスの利用を第一候補として検討するという方針です。これにより、政府機関でもクラウドサービスの導入が進むことになりました。
しかし、当時はクラウドサービスに求められる統一的なセキュリティ基準が存在せず、各政府機関が個別にサービスの安全性を確認する必要があり、手間と時間がかかっていました。また、セキュリティレベルのばらつきも懸念されていました。
そこで、安全なクラウドサービスを効率的に調達し、政府全体のセキュリティ水準を確保するために、統一的な評価制度としてISMAPが創設されました。
ISMAPの仕組み
ISMAPは、クラウドサービス事業者が自社のサービスを登録申請し、それをISMAP運営委員会が審査・登録するという流れで進められます。
- 監査機関による監査: クラウドサービス事業者は、まずISMAPが認定した監査機関(ISMAP監査機関リストに登録されている機関)に監査を依頼します。
- 監査の実施: 監査機関は、「ISMAP管理基準」と呼ばれるセキュリティ基準に基づいて、事業者の情報セキュリティ対策の実施状況を監査します。
- 登録申請: 監査を受けたクラウドサービス事業者は、監査結果報告書など必要書類を添えて、ISMAP運営委員会にクラウドサービスの登録を申請します。
- 審査・登録: ISMAP運営委員会は、申請内容を審査し、基準を満たしていると判断されれば、「ISMAPクラウドサービスリスト」にサービスを登録します。
政府機関は、このリストに登録されたサービスの中から、原則として利用するクラウドサービスを選定します。
ISMAP管理基準とは?
- ガバナンス基準: 組織統治に関する基準。経営層が情報セキュリティに責任を持ち、方針を定め、体制を整備することなどを求めます。
- マネジメント基準: 情報セキュリティマネジメントに関する基準。リスク評価、対策の計画・導入・運用・監視・改善といったPDCAサイクルを回すことを求めます。
- 管理策基準: 具体的な情報セキュリティ対策に関する基準。アクセス管理、暗号化、物理セキュリティ、インシデント対応など、1000項目以上の詳細な管理策が定められています。
ISMAP-LIU(イスマップ エルアイユー)とは?
ISMAPには、「ISMAP-LIU(ISMAP for Low-Impact Use)」という、よりリスクの低いSaaSサービス向けの仕組みもあります。これは2022年11月から運用が開始されました。
通常のISMAPは、IaaS、PaaS、SaaSといった幅広いクラウドサービスを対象とし、厳格なセキュリティ基準が求められます。一方、ISMAP-LIUは、機密性はそれほど高くない情報(機密性2情報の一部)を扱い、業務への影響度が比較的小さいSaaSサービスを対象としています。
ISMAP-LIUでは、ISMAPと比較して外部監査の対象となる管理策の範囲が限定されており、事業者の負担が軽減されています。これにより、多様なSaaSサービスの登録を促進し、政府機関が利用できるサービスの選択肢を広げることを目的としています。ただし、外部監査の対象外となった管理策については、事業者自身による内部監査の実施が求められます。
| ISMAP | ISMAP-LIU | |
|---|---|---|
| 対象サービス | IaaS, PaaS, SaaS全般 | リスクの低い業務・情報処理に用いるSaaSサービス |
| 外部監査の対象範囲 | ISMAP管理基準の全項目が対象(段階的な監査も可能) | ガバナンス基準、マネジメント基準は全項目対象。 管理策基準は、重要な管理策を中心に数年に分けて実施。 |
| 内部監査 | 必須ではないが推奨 | 外部監査対象外の管理策について実施が必要 |
ISMAPのメリット
ISMAP制度は、クラウドサービスを利用する政府機関と、サービスを提供する事業者の双方にメリットがあります。
政府機関(利用者)のメリット
- セキュリティ水準の確保: ISMAPに登録されたサービスは、政府が求めるセキュリティ基準を満たしているため、安心して利用できます。
- 調達の効率化: 個別にセキュリティを確認する手間が省け、リストから効率的にサービスを選定できます。
- 統一基準による比較検討: 同じ基準で評価されたサービス同士を比較検討しやすくなります。
クラウドサービス事業者(提供者)のメリット
- 信頼性の証明: 政府の厳しいセキュリティ基準をクリアしていることの証明となり、サービスの信頼性が向上します。
- ビジネスチャンスの拡大: 政府機関への導入可能性が高まるほか、セキュリティを重視する民間企業に対してもアピールできます。
- 競争力の強化: ISMAP登録が他社サービスとの差別化につながります。
なお、ISMAPクラウドサービスリストは一般にも公開されているため、民間企業や地方公共団体などがクラウドサービスを選定する際の参考としても活用できます。
まとめ
ISMAPは、政府が安全かつ円滑にクラウドサービスを利用するための重要な制度です。「クラウド・バイ・デフォルト原則」のもと、今後ますます政府機関でのクラウド利用が進む中で、ISMAPの役割はさらに大きくなるでしょう。
クラウドサービス事業者にとっては、ISMAP登録は信頼性の証となり、ビジネスチャンスを広げる鍵となります。また、サービスを利用する側にとっても、安全なサービスを選ぶための重要な指標となります。
ISMAP制度は、社会全体のクラウド利用におけるセキュリティ意識の向上にも貢献することが期待されています。