ISMAPとは?【わかりやすく】クラウドサービスリスト、管理基準

ISMAP(イスマップ)とは、日本政府が運営するクラウドサービスのセキュリティ評価制度のこと。今回はISMAPが施行された背景やメリット、評価基準について解説します。

1.ISMAP(政府情報システムのためのセキュリティ評価制度)とは?

ISMAP(イスマップ)とは、政府が活用するクラウドサービスのセキュリティを評価する制度のこと。「Information system Security Management and Assessment Program」の略称です。2020年6月、以下の政府機関により開設されました。

  • 内閣官房(内閣サイバーセキュリティセンター・IT総合戦略室)
  • 総務省
  • 経済産業省

また政府が情報システム基盤として利用するものは、一定のセキュリティ基準をクリアした「ISMAPクラウドサービスリスト」のなかから選ぶことを原則としたのです。

部下を育成し、目標を達成させる「1on1」とは?

・1on1の進め方がわかる
・部下と何を話せばいいのかわかる
・質の高いフィードバックのコツがわかる

効果的に行うための1on1シート付き解説資料をダウンロード⇒こちらから


【評価業務の「めんどうくさい」「時間がかかる」を一気に解決!】

評価システム「カオナビ」を使って評価業務の時間を1/10以下にした実績多数!!

●評価シートが自在につくれる
●相手によって見えてはいけないところは隠せる
●誰がどこまで進んだか一覧で見れる
●一度流れをつくれば半自動で運用できる
●全体のバランスを見て甘辛調整も可能

カオナビの資料を見てみたい

2.ISMAPが施行される背景

「クラウドファースト」という考えの広まりが背景にある、とされています。

2006年以降、ITシステムの基盤としてクラウドが世界中で認知され、2010年ごろのアメリカではクラウドファーストを提唱。それにより「ITシステムの構築ではクラウドを最優先とする」という考え方が浸透したのです。

日本政府も2018年に「クラウド・バイ・デフォルト原則」を発表して「政府の情報システムにはクラウドサービスを利用する」という方針を明確にしました。

そして一定のセキュリティ基準を満たすクラウドサービスのリストアップを目的に、2020年にISMAPを発足したのです。

クラウド・バイ・デフォルト原則とは?

「政府が情報システムを構築する際、クラウドサービスの利用を第一候補とする」という原則のこと。この原則は、2018年に発表された「政府情報システムにおけるクラウドサービスの利用に係る基本方針」にまとめられています。

内閣官房IT戦略室が、セキュリティの不安からクラウドサービスの利用を控えていた政府に向けて提言しました。この原則は政府機関だけでなく、民間企業が情報システムを導入する際の指標にもなっています。

Excel、紙の評価シートを豊富なテンプレートで楽々クラウド化。
人事評価システム「カオナビ」で時間が掛かっていた人事業務を解決!
【公式】https://www.kaonavi.jp にアクセスしてPDFを無料ダウンロード

3.ISMAPのメリット

ISMAPは、サービスを利用する側と登録する企業側の双方にメリットがあります。ここではサービス利用者と登録企業の観点から説明しましょう。

サービス利用者

民間企業がISMAPを利用するメリットは3点です。

  1. 一定水準以上のサービスを導入できる
  2. サービス選定の負担が軽減
  3. セキュリティ基準を個別にチェックする手間が省ける

民間企業がクラウドサービスを導入する際、セキュリティ基準や内容を自社でチェックしなければなりません。一方でISMAPに登録されているサービスは、すでに第三者専門機関のチェックを通過しているため、自社が求めるサービスを安心して探せるのです。

登録企業

クラウドサービスを提供する企業がISMAPに登録されるメリットは以下の2点です。

  1. セキュリティレベルを客観的に証明できる・企業の信頼性を高める
  2. ビジネスチャンスが広がる可能性もある

提供するクラウドサービスが自社のセキュリティ基準を超えていても、利用側は基準が一定レベルに達しているかどうかわかりません。ISMAPへリストアップされれば政府からのお墨付きを得たことになるため、客観的に安全性を証明できるのです。

中小企業や新規参入企業でも「ISMAPに登録されているサービス」であれば信頼度は増し、ビジネスチャンスの拡大が期待できます。

部下を育成し、目標を達成させる「1on1」とは? 効果的に行うための1on1シート付き解説資料をプレゼント⇒こちらから

4.ISMAPの管理基準

ISMAPに登録されるために、クラウドサービスを提供する事業者は「管理策」と呼ばれる基準を満たさなければなりません。管理策は以下の3つで構成されています。それぞれについて解説しましょう。

  1. ガバナンス基準
  2. マネジメント基準
  3. 管理策基準
参考 ISMAP 管理基準総務省

①ガバナンス基準

「JIS Q27014」をもとに再整理して作成された基準のこと。会社のセキュリティに関する意思決定や、指示を継続して実施するための項目となっています。そのため経営者が実施すべき項目とされており、原則すべて実施し、基準を満たさなければなりません。

なおガバナンス基準には、18項目の4桁管理策(詳細管理策)が設けられています。

ISMAPの管理基準では「統制目標」を「3桁管理策」と、「詳細管理策」を「4桁管理策」と表記。つまり「統制目標」を達成する手段として「詳細管理策」を実施するのです。

②マネジメント基準

情報セキュリティマネジメントシステムにおいて、「確立」「導入」「運用」「監視」「維持・改善」を実現する基準のこと。そのため現場の管理者が実施するものとされています。

目的は組織全体で体系的に情報セキュリティマネジメントを実践し、情報の安全性を確保して漏洩や改ざんを防ぐことです。情報のリスク管理を的確にマネジメントするための事項で、4桁管理策は全部で64項目。こちらもすべてに対応しなければなりません。

③管理策基準

実務実施者がセキュリティ対策を実践していると確認する基準のこと。管理策基準の項目は合計1,000以上あり、すべてを実施するのは困難です。

そこですべての3桁管理策と、「B」「PB」と表記された4桁管理策の実施は必須、そのほかは必要な項目を選択して実施するように定めました。

管理策基準の内容によって番号の末尾に「P」「B」「PB」が付加されており、それぞれの意味は以下のようになっています。

  • 「管理策番号.P」とくに考慮すべき項目
  • 「管理策番号.B」それ自体が基本言明要件である項目
  • 「管理策番号.PB」両方を含む項目

部下を育成し、目標を達成させる「1on1」とは? 効果的に行うための1on1シート付き解説資料をプレゼント⇒こちらから

5.ISMAP登録までの流れ

ISMAPへ登録したいときはどうすればよいのでしょう。ここではクラウドサービス事業者が実際に登録されるまでの手順を説明します。

ISMAP管理基準に則したルールで運用

情報セキュリティの内部統制を整備します。具体的にはISMAP管理基準の各項目を満たすルールを作成しましょう。作成したルールに則って実際に運用しながら実態を精査し、管理基準を満たしていない点があればさらに改善を重ねていきます。

外部監査を依頼

管理基準に則した内部統制が整ったらISMAPに登録されている監査機関に「言明書」を添えて監査を依頼。監査実施後に「経営者確認書」を提出して「実施結果報告書」を受け取れば、外部監査は終了です。

なお2021年6月まで監査内容は「整備状況評価」のみでしたが、現在は「運用状況評価」も対象になっています。

申請

外部監査を終えて「実施結果報告書」を受け取ったら、報告日から1か月以内に申請を行います。

指定の様式で「登記事項証明書」「言明書」「監査報告書」などの必要書類をそろえたのち、ISMAP運用支援機関を通じてISMAP運営委員会へ提出し、登録申請を実施。審査に問題がなければISMAPへ登録されます。

「GビズIDアカウント」を取得していれば、ISMAPポータルサイトから様式のDLやISMAP事業者の登録申請が行えるのです。審査終了して登録申請が受理されてから「ISMAPクラウドサービスリスト」に登録されるまでには3か月から6か月ほどとなっています。

Excel、紙の評価シートを豊富なテンプレートで楽々クラウド化。
人事評価システム「カオナビ」で時間が掛かっていた人事業務を解決!
【公式】https://www.kaonavi.jp にアクセスしてPDFを無料ダウンロード

6.ISMAP登録にかかる費用

登録申請にあたり、ISMAP運営支援機関への料金はかかりません。ただし運営外部監査を受ける監査機関への支払いが必要です。また登録支援コンサルサービスを受ける場合はその費用もかかります。具体的な費用については、それぞれ問い合わせてみるのが確実です。

部下を育成し、目標を達成させる「1on1」とは? 効果的に行うための1on1シート付き解説資料をプレゼント⇒こちらから

7.ISMAPクラウドサービスリストとは?

政府が「ISMAPの要件を満たす」と認定したクラウドサービスを提供している業者のリストです。ISMAPクラウドサービスリストの概要と、登録されているクラウドサービスの確認方法を説明します。

概要

ISMAPポータルサイトにて公開されており、以下の項目が記載されています。

  • クラウドサービス名
  • クラウドサービス事業者の名称
  • 法人番号
  • クラウドサービス事業者の所在地
  • 登録日
  • 登録の有効期限

項目にもあるとおり、登録では有効期限が設けられています。監査の対象期間の末日の翌日から1年4か月となっており、期限内に登録の更新をしなければなりません。

確認方法

ISMAP運用支援期間の独立行政法人情報処理推進機構(IPA)が運営する、ISMAPポータルサイトで公開されています。リストの各行をクリックすると、クラウドサービスの詳細情報が表示されます。

ただしリストの内容が、登録者からの申請を受けて変更されることもあるようです。

参考 ISMAPクラウドサービスリスト独立行政法人情報処理推進機構

ISMAPクラウドサービスリスト登録企業例

どのような企業のサービスが実際に登録されているのでしょうか。ここでは4社のクラウドサービスをご紹介します。

カオナビ

「カオナビ」は人材管理や評価管理を行えるタレントマネジメントシステム。2021年12月20日に登録完了し、タレントマネジメントシステムとしては第一号となりました。

登録したきっかけは、地方自治体からの問い合わせが増加したこと。行政機関が安心して導入できるようにISMAPへ申請しました。

長野県塩尻市をはじめ、多数の地方自治体からデータ管理から人事評価業務の運用、配置検討やデータ分析などに活用されています。

サイボウズ

サイボウズは今後も地方公共団体や民間でクラウドファーストが進むと予測。そこで2021年9月13日、クラウドサービスの運用基盤「cybozu.com」と提供サービスの「Garoon(ガルーン)」「kintone(キントーン)」の登録を完了しました。

Garoonはシンプルで誰にでも使いやすいグループウェア、kintoonは開発の知識がなくても、最短3分で業務アプリが作成できる業務用アプリ開発プラットホームです。

富士通

2021年3月12日に「FUJITSU Hybrid IT Service FJcloud」に含まれる「FJcloud-O」と「FJcloud-ベアメタル」の2サービスが登録されました。

FJcloud-Oは、富士通の基幹システム運用ノウハウと利用者の声を反映して構築した国産のクラウドサービス、FJcloud-ベアメタルは、顧客に専有の物理サーバーやベアメタルサーバーに接続できるストレージを提供するサービスです。

さくらインターネット

2021年12月20日に「さくらクラウド」が登録されました。さくらクラウドは、多彩なサービスが利用できるlaaS型(インフラ環境を提供する)クラウドサービスです。

サーバー構築のすべてがオンラインで完結でき、直感的でわかりやすいコントロールパネルにて操作できます。

また東京と石狩の複数拠点に、国内トップクラスの大容量高速ネットワーク環境構築しており、災害や障害で起きる損害を最小限に抑えられるのです。そのため大手企業のほか、国立遺伝学研究所や国立情報学研究所など学術機関も利用しています。