「ISMAP（イスマップ）」とは？政府の新しいセキュリティー評価制度を解説

2018年6月、政府は「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を定め、今後、政府の情報システムにおいて、クラウドサービスを優先的に活用することを検討する方針（クラウド・バイ・デフォルト原則）を決定しました。しかし、他国と比べると日本はクラウドサービスのセキュリティーを評価する仕組は整っていなかったため、共通の評価制度に則ってクラウドサービスを評価する制度を検討することとなりました。
そして、サービスの継続的な監査や円滑な導入、一定以上のセキュリティー水準の確保を可能にすることを目的とした制度を整備、「クラウドサービスの安全性評価に関する検討会」によって意見公募も行い、その上で正式にISMAPの制度が発足される運びとなりました。

現在、様々な業界のトレンドとして、クラウドサービスの導入・活用が拡大していますが、日本にはこれまで、国としてクラウドサービスの安全性を評価・担保する仕組みが十分に整備されていませんでした。安全性評価の必要性から、クラウドサービスを評価する仕組みの構築が求められていたタイミングでISMAPが発足したことにより、行政機関のほか、多くの企業にとって注目に値する制度の運用が開始されたと言えるでしょう。

今後、政府が情報システム基板としてクラウドサービスを利用する際には、ISMAP運営委員会の審査において一定の基準を満たしたものが登録されている「ISMAPクラウドサービスリスト」と呼ばれる登録簿の中から選ぶことが原則になりました。

ISMAPクラウドサービスリストへは、以下の手続きをふむことで登録されます。

1. クラウドサービス事業者が、ISMAP監査機関リストに登録された監査機関へ監査を依頼
2. 監査機関は管理基準に基づいた情報セキュリティー対策の実施状況を、定められた基準などに基づいて監査、評価
3. ISMAP運営委員会は、監査されたクラウドサービス事業者からの申請を受けて、要求事項への適合状況を審査。登録が妥当と判断したクラウドサービスをISMAPクラウドサービスリストに登録

審査における評価基準は1,000以上の項目があるとされていますが、明確には公開されていません。しかし、セキュリティー管理基準は従来のセキュリティー規格や政府の統一基準が採用されているため、それらに対応したクラウドサービスが選定されることとなるでしょう。

ISMAPクラウドサービスリストは政府だけではなく、民間企業での参照や活用も想定されているため、ISMAPは日本国内におけるクラウドサービスのセキュリティー基準を判断する標準的な仕様になっていくと予想されます。
ISMAPの導入により、評価制度の基準をクリアした確かな品質のサービスのみが厳選されるため、政府はもちろんのこと、民間企業にとっても信頼できるクラウドサービスを判断しやすくなるでしょう。

ISMAPの大きな特長は、政府や行政機関だけではなく民間企業にも広く公開し、あらゆる人が活用できるシステムを目指していることです。民間企業にとってISMAPを活用するということは、具体的にどのようなメリットがあるのでしょうか。今回は3つのポイントに分けて解説します。

• 利用者側の情報システム担当者のサービス選定負荷軽減
クラウドサービスの導入を検討する場合、企業の情報システム担当者は自社のセキュリティー基準を満たす製品やサービスを選定しなければなりません。しかし、クラウドサービスのセキュリティー基準を個別にチェックし選定することは容易ではなく、担当者の大きな負担となります。
ISMAPを活用すれば一定のセキュリティー基準が満たされている為、担当者はサービスリストに登録されているサービスの中から自社が求める要件にマッチしているか否かだけで選ぶことができます。そのため、情報システム担当者がクラウドサービスを選定する際の工数も削減でき、業務効率化にも役立つと期待されています。

• クラウドサービス提供側はセキュリティー面での懸念を払拭できる
ISMAPはクラウドサービスを導入・利用する側の企業だけではなく、クラウドサービスを提供する側の企業においてもメリットがあります。
提供側の企業は、サービスを紹介するパンフレットやプレゼンテーションの中で安全性を謳っていても、他社と比較した場合のセキュリティーレベルを証明することは難しい部分です。
しかし、客観的に安全性が担保され、政府からのお墨付きを得たことを意味するISMAPという共通の基準ができたことによって、ISMAPの審査を経て登録されたクラウドサービスは信頼性を得やすくなるほか、認知および評価の高まりも得られるでしょう。

• クラウドサービス提供側はビジネスチャンスの拡大につなげられる
ISMAPは今後多くの民間企業においても、クラウドサービスを選定する際の基準になると予想されます。例えば、大企業がクラウドサービスの選定基準として「ISMAPに登録されているサービス」という要件を付加した場合、サプライチェーンとして連携している中小企業がそれに追随する可能性も考えられます。
そのため、サービス提供側の企業としてはISMAPの審査をクリアし登録されることは、これまで以上にビジネスチャンスが拡大していく可能性があることを意味しています。
また、新規でクラウド市場への参入を計画している企業にとっても、登録されることでアドバンテージを取ることができるでしょう。

政府はクラウドサービスを始めとしたデジタル化を積極的に推進しており、今後もこの流れは加速していくと考えられます。そのような流れのなかでスタートしたISMAP制度。クラウドサービス導入時の課題であった「セキュリティーの担保」という点が統一基準により払拭されることで、官民のクラウド利用が推進されることが期待されています。また、今後さらに激しくなるクラウドサービス市場の品質の底上げにも繋がるのではないでしょうか。
ISMAPに対する理解を深めることは、クラウドサービスを利用する側の企業だけでなくサービスを提供する側の企業にとってもメリットがあると言えます。
現時点での情報ですが、令和2年（2020年）10月1日からクラウドサービスの登録申請受付がスタートしており、ISMAPクラウドサービスリストは2020年度中に公開予定となっております。
今後も最新動向をウォッチするとともに、ISMAPを活用して、社内の環境改善に有効なサービスの導入をぜひご検討されてはいかがでしょうか。

IPA（情報処理推進機構）Webサイト：政府情報システムのためのセキュリティ評価制度（ISMAP）　ページ