見出し画像

ISMAP概要(制度編)。クラウドサービスの安全性を評価する制度ISMAPの制度内容を中心に紹介します。

サイボウズのセキュリティ室

各政府機関がクラウドサービスを調達する際の基準として、2020年6月に運用を開始した「政府情報システムのためのセキュリティ評価制度(通称:ISMAP(イスマップと読みます))」を紹介します。DX推進のため、クラウドサービスを検討しておられる方に、わかりやすく制度概要をお伝えすることで、クラウドサービスを調達する際にISMAPクラウドサービスリストから選定することの有効性をお伝えします。また、ISMAPクラウドサービスリストへの登録を目指すクラウドサービス事業者様にも、ISMAP登録の検討材料になるように解説したいと思います。後編はこちらです。

「クラウド・バイ・デフォルト原則」とは?

各政府機関が情報システムを新規に導入するときには、まずはクラウドサービスの利用を検討しましょう!という方針のことです。

クラウドサービスを利用するメリットは

効率性
多くのユーザーがコンピューターのリソースを共有する形で運用されているため、経済効率が高く、コストが低く抑えられます。

セキュリティ水準の向上
共有システムなので、脆弱性対応においても効率よく対応できるため、オンプレよりもセキュリティ水準は高くなるのが一般的です。

技術革新対応力の向上
多数のクラウドサービスがリリースされ、クラウドサービス間の競争も激化。クラウドサービス事業者は機能改善、使い勝手向上、新技術の採用など積極的に取り組んでいます。

柔軟性の向上
利用が減少した場合に契約を見直したり、利用の増減に応じた金額設定をしているサービスなどがあり、利用状況に応じて柔軟にコストを見直せます。

可用性の向上
共有システムであることの効率性から、オンプレミスのシステムに比べて、少ないコストで災害時の対策を打つことができます。

※あくまで一般的に言われていることであり、クラウドサービスを利用しているからといって、すべてのメリットを享受できるわけではありません。

「ISMAP(Information system Security Management and Assessment Program)」とは?

「クラウド・バイ・デフォルト原則」を推進するにおいて、調達で一定のセキュリティ対策を実施しているサービスを選定しないと、いざというときに利用できない・セキュリティ侵害があり重要な情報が漏えいしたなどのセキュリティインシデントに巻き込まれる可能性があります。また事業者のセキュリティ対策は、目で確認することは困難で、監査には一定のスキルも必要になります。

そこで、アメリカの「FedRAMP」を参考に日本でも同様の仕組みを作ることが検討されました。

参考
【総務省】「クラウドサービスの安全性評価に関する検討会とりまとめ

監査に合格したクラウドサービスは情報公開され、一般の民間企業も参照できるようになっています。
ISMAPクラウドサービスリスト

※監査の単位は、サービス単位に行われます。同じ企業のサービスであってもサービスごとにセキュリティ水準が異なる可能性もあるため、サービス単位となっています。

[PR]
サイボウズ株式会社が提供する cybozu.com運用基盤およびキントーン、ガルーンはISMAPクラウドサービスリストに掲載されています。
※サイボウズ Office および メールワイズは対象外となっております。ご注意ください。

また、リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とした「ISMAP-LIU」が2022年11月に運用開始されました。
ISMAPの監査対応は、事業者のコストで対応しています。事業者に必要以上の高い監査要求を課すと利用コストも上がってしまいますので、リスクの小さな情報に関しては、「ISMAP-LIU」から利用するSaaSを選定することも可能となっています。

ISMAPに登録されていないサービスは利用できないのか?

ISMAP管理基準に合致していることを確認することで、選定することが可能となっています。

参考資料
ISMAP概要 KB0010265 P.13

「統一基準群に基づく選定の流れ」より抜粋

ISMAPクラウドサービスリストに掲載されているものを利用する場合には、ISMAP管理基準に合致していることの 確認は不要 となる、という選定の流れになっています。ISMAPは、調達を実施する各政府機関が行うべきセキュリティ要求事項の確認を省略できるよう設計された制度と、ご理解ください。

制度の概要を紹介した動画が IPA さんより公開されています。


まとめ

  • クラウドサービスを利用することで得られるメリットがあるため、各政府機関はクラウドサービスを第一候補として調達をすることになっている。

  • ISMAPはクラウドサービスの安全性を評価する制度であり、ISMAPクラウドサービスリストに掲載されているサービスは調達時に、個別の確認は不要となる。

  • リストが公開されており、民間企業の活用も想定されている制度となっている。

ISMAPというクラウドセキュリティの評価の制度があり、サービスリストが公開されている、ということをご理解いただけたでしょうか?
次回の記事では、クラウド事業者がどのような監査に取り組んでいるか解説することで、ISMAP掲載サービスがどのぐらいのセキュリティ対策を実施しているのかをざっくりと理解し、またISMAP掲載を目指すクラウド事業者様に検討材料となる情報を解説できればと思います。

人材マネジメントサービスを提供されているカオナビさんもISMAP制度について紹介しているページを作成されております。こちらもお読みいただければと思います。

監査編はこちら。


この記事が気に入ったらサポートをしてみませんか?