クラウドセキュリティ

ISMAP(イスマップ)とは?概要やISMSとの違い・登録の流れをわかりやすく解説

Written by 田村 彩乃

ITコンサルタントとして7年間システム提案に携わった後、フリーライターとして独立。IT、マーケティングに関するコラムを中心として、人材、ECなどにまつわる記事をWebをはじめとした多くのメディアで執筆。

ISMAP(イスマップ)とは?概要やISMSとの違い・登録の流れをわかりやすく解説

目 次

ISMAP(政府情報システムのためのセキュリティ評価制度)とは?
なぜ ISMAPが施行されたのか?(背景)
ISMAP for Low-Impact Use(ISMAP-LIU)とは?
ISMAPにおける「管理基準」とは?3つの構成要素
ISMAPが一般企業にもたらすメリットとは?(提供者・利用者)
ISMAPに登録する方法・流れ(クラウドサービス事業者向け)
貴社のクラウドサービスのセキュリティ強化なら、LANSCOPEプロフェッショナルサービスにお任せ
まとめ

ISMAPとは、政府が活用している「クラウドサービスのセキュリティレベルを評価」する制度のことです。

「クラウドサービス事業者」は、このISMAPに提供するクラウドサービスが登録されることで、セキュリティ基準を満たした信頼できるサービスであることを証明できます。

また「クラウドサービスを導入する側」も、公式サイトが提供する「ISMAPクラウドサービスリスト」を活用することで、良質なサービスを効率的に選定できるメリットがあります。

    ▼この記事を要約すると

  • ISMAPとは、一律の評価基準に則り「信用できるクラウドサービス」であることを政府が評価・認定する制度
  • ISMAPが試行された背景には、日本政府がクラウドサービスを導入する際、安全性を担保するための仕組みづくりが必要になったことが挙げられる
  • ISMAPに登録されるためには「管理策」と呼ばれる基準を満たす必要があり、管理策はガバナンス基準・マネジメント基準・管理策基準の3つで構成される
  • 「クラウドサービス事業者」がISMAPへ登録するメリットは「安全性を証明」できることで、顧客からの信頼を獲得しビジネスチャンスが広がること
  • 「クラウドサービス利用者」がISMAPを活用するメリットは「クラウドサービスの選定が楽になる」「政府基準で選ばれた信頼できるクラウドサービスを導入できる」こと
  • ISMAPに登録するには、あらかじめ言明書の作成や所定の監査機関による監査を受けてから、申請が必要。申請は、ISMAP公式サイトより行える。

本記事を通して、ISMAPの概要や申請の流れについて学ぶことができます。

  • ・これからISMAPに申請を検討している「クラウドサービス事業者」様
  • ・クラウドサービスについて「導入検討中の事業者」様
  • ・ISMAP制度について「理解を深めたい方」

上記に該当する方は、ぜひご一読ください。

また、当社では「昨今のクラウドサービスの普及」を受け「どれだけの企業がクラウドサービスを利用しているか」「どのような課題があるか」などを情シス1,000名に調査した、「クラウドサービスの利用実態調査」を行いました。

ぜひ本記事とあわせて、以下のレポートもご活用ください。

【情シス1,000名に調査】クラウドサービスにおけるセキュリティ対策の実態調査

従業員300名以下の中小企業を対象に「クラウドサービスのセキュリティ対策」における、導入事情や課題についてお聞きしました。

資料をダウンロードする

ISMAP(政府情報システムのためのセキュリティ評価制度)とは?

ISMAPとは、簡単にいうと「政府がクラウドサービスを利用する際、信頼できるサービスのみを導入するため、クラウドサービスに必要な要件を定めた評価制度」のことです。

「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)」とも言われます。

政府機関がクラウドサービスを調達する際、セキュリティ基準を満たした信頼できるサービスだけをスムーズに選定するための指針として、令和3年3月よりこの制度が開始されました。

ISMAPを通じて登録申請を受けたサービスが、政府が求める「セキュリティ要求」を満たしたクラウドサービスであるかを評価し、基準を満たしたサービスだけが「ISMAPクラウドサービスリスト」に登録されます。

この「ISMAPクラウドサービスリスト」は、政府以外の一般企業や組織も自由に閲覧できるため、国の基準を満たした安全性の高いクラウドサービスを、誰でも迷うことなく選定することが可能です。

ISMAPのクラウドサービスリストは、独立行政法人情報処理推進機構(IPA)ISMAP専用ポータルサイトで公開されており、定期的に内容が更新されます。

ISMAPの運営組織

ISMAPを運営する組織は「ISMAP運営委員会」と呼ばれ、以下4つの制度所管省庁で構成されています。

1.総務省
2.経済産業省
3.内閣サイバーセキュリティセンター
4.デジタル庁

この「ISMAP運営委員会」では、クラウドサービスリストの円滑な運用のため、主に以下3つの対応を行っています。

①クラウドサービス登録申請者への「要求事項」の制定
②情報セキュリティ管理・運用の基準となる「管理基準」の制定
③監査機関登録申請者への「要求事項」の制定

少しかみ砕いて説明すると、「ISMAPのリストに自社のクラウドサービスを登録したい」クラウドサービス事業者(①)は、ISMAPが認めた「監査機関(③)」に依頼し、管理基準に基づいた情報セキュリティ対策を行えているか?(②)の、監査を受ける必要があります。

クラウドサービス事業者に監査を行う「監査機関(③)」となるためには、ISMAP運営委員会の提唱する「要求事項」を満たし、「ISMAP監査機関リスト」に登録される必要があります。

▼「ISMAPクラウドサービスリスト」登録までの流れ

1.ISMAPが信頼できる「監査機関」を、「ISMAP監査機関リスト」へ登録
2.クラウドサービス事業者は「ISMAP監査機関リスト」へ登録されている機関に「監査」を依頼
3.監査が完了したクラウドサービス事業者は、ISMAP運営委員会へ「クラウドサービス登録申請」を依頼
4.申請を受けたISMAP運営委員会は、そのクラウドサービス事業者が「要求事項」を満たしているかを審査し、妥当であれば「ISMAPクラウドサービスリスト(もしくは ISMAP-LIU)」へと登録

また「ISMAP運営委員会」に加え、独立行政法人情報処理推進機構(IPA)も、ISMAPの「制度運用に係る実務」や「評価に係る技術的な支援」などを担っています。

▼ISMAPに関わる組織図

出典:ISMAP概要|ISMAP – 政府情報システムのためのセキュリティ評価制度

このようにISMAPは「ISMAP運営委員会」を中心に、IPAや監査機関等、複数の組織が連携して「質の高いクラウドサービスの選出」を実現しているのです。

なぜ ISMAPが施行されたのか?(背景)

ISMAPが試行された背景には、日本政府がクラウドサービスの導入を行う際、「セキュリティリスクを回避し、安全性を担保するための仕組みづくり」が必要になったことが、挙げられます。

2018年以前の日本政府では、オンプレミス型のシステムが普及しており、クラウドサービスの導入に積極的ではありませんでした。しかし、世間のクラウドサービス活用の流れを受けて、政府でも2018年6月より、「クラウド・バイ・デフォルト原則」が発表されました。

クラウド・バイ・デフォルト原則とは、政府にて情報システムを構築する際、オンプレミスではなく「第一候補として、クラウドサービスの利用を優先的に検討しよう」という方針のことです。

オンプレミス型のシステムに比べ、クラウド型には「導入コストの削減」「柔軟性」「使い勝手の良さ」など複数のメリットがあります。DX(デジタルトランスフォーメーション)推進の一環としても、システムのクラウド化は欠かせない要素と言えます。

このような背景から、経済産業省と総務省を事務局として「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」を策定。また、同書の「3 本制度の所管と運用体制 」記載に基づき、ISMAPを立ち上げ、安全なクラウドサービスの評価・登録管理を行う仕組みを開始しました。

【情シス1,000名に調査】クラウドサービスにおけるセキュリティ対策の実態調査

従業員300名以下の中小企業を対象に「クラウドサービスのセキュリティ対策」における、導入事情や課題についてお聞きしました。

資料をダウンロードする

ISMAP for Low-Impact Use(ISMAP-LIU)とは?

ISMAPの中には「セキュリティリスクが小さい業務」「重要度の低い情報処理」に用いるSaaSサービスを対象とする、「ISMAP for Low-Impact Use」という仕組みもあります。

ISMAP-LIU(イスマップ・エルアイユー)はISMAPに比べ、セキュリティ要求事項を限定的にすることで、クラウドサービス提供者の負担を軽減することを目的としています。

「ISMAP」と「ISMAP-LIU」の主な違いは、以下の通りです。

ISMAP ISMAP-LIU
対象サービス ・セキュリティリスクが高い業務向けのクラウドサービス
・情報の処理に用いるクラウドサービス全般(IaaS・PaaS・SaaS)が対象 		・セキュリティリスクの低い業務向けのクラウドサービス
SaaSサービスが対象
外部監査対象範囲 ISMAP管理基準で定めるすべての項目 クラウドサービスの基盤・構成に深刻な影響を与え、重大な事故につながるリスクに関連する管理策が中心

クラウドサービス、とりわけSaaS系のサービスの中には、機能や用途が限定的である、あるいは機密性の低い情報を取り扱うものも少なくありません。それらのサービスにとってISMAPのセキュリティ基準を満たすことはハードルが高く「品質は良いのに、ISMAPに登録が難しい」現象が生じていました。

そこで、2022年11月1日から開始されたのが「ISMAP-LIU」です。

ISMAPと異なり、登録のための事前申請が必要になりますが、外部監査の対象範囲がISMAPに比べて限定的になるため、登録のハードルが低くなるという特徴があります。

※2023年10月現時点では、公式サイトでの「ISMAP-LIUクラウドサービスリスト」は準備中となっています。

ISMAPにおける「管理基準」とは?3つの構成要素

ISMAPの管理基準とは、クラウドサービス事業者が「登録申請」を行う上で、実施すべき「情報セキュリティ対策の一覧」と「実施方法」を示すものです。

ISMAPの管理基準は、次の3つで構成されています。

1.ガバナンス基準
2.マネジメント基準
3.管理策基準

ガバナンス基準は「経営陣」、マネジメント基準は「管理者」、管理策基準は「業務実施者」がそれぞれ実施すべき事項であると定められています。

対象者 概要
ガバナンス基準 経営層 経営陣に対する「情報セキュリティ戦略方針の策定・実施」に関する基準
マネジメント基準 管理者 管理者に対する「情報セキュリティ戦略方針の策定・実施」に関する基準
管理策基準 業務実施者 業務実施者に対する「情報セキュリティ戦略方針の策定・実施」に関する基準

ISMAPの3つの管理基準は、国際規格や統一基準に照らし合わせて作成されているため、ISMAPに登録されているクラウドサービスは、必然的に「国際的に信頼性の高いサービス」であることを証明できます。

サービスとしての信頼性が増すことで、結果的に「市場における競合優位性」が高まり、ビジネスチャンスの拡大も期待できるでしょ。

さらに詳しい管理基準について知りたい方は、ISMAP運営委員会が公開する「ISMAP管理基準」の資料もご参照ください。

ISMAPが一般企業にもたらすメリットとは?(提供者・利用者)

ISMAP」を活用することは

  • ・クラウドサービスを提供する事業者
  • ・クラウドサービスを導入する利用者

両者にとって大きなメリットがあります。

元々は政府機関が質の良いクラウドサービスを効率よく導入するための規約でしたが、今後、企業・組織のクラウドサービス利用がますます高まる中、ISMAPの有効活用は多くの企業にとってポジティブな利益をもたらします。

「クラウドサービス事業者」がISMAPへ登録するメリット

クラウドサービスを提供する、「クラウドサービス事業者」がISMAPへ登録するメリットとして、以下の2点があります。

  • ・セキュリティにおける安全性が、公的に証明できる
  • ・(上記を受けて)ビジネスチャンスが広がる

「ISMAP」へ登録されているということは、政府の定めたセキュリティ基準を十分に満たし、政府機関が導入しても問題ないサービスであることの証明となります。

政府機関に安全性が認められているクラウドサービスであれば、一般企業からも信頼を獲得できるでしょう。

また、各企業が導入するクラウドサービスを選定する際、ISMAPのクラウドサービスリストを活用すれば、必然的に登録製品は導入候補にあがりやすくなります。製品の信頼性と認知度を上げ、ビジネスチャンスを拡大する意味合いでも、クラウドサービス事業者の「ISMAPへの登録」は、非常に大きなメリットがあると言えます。

「クラウドサービス利用者」がISMAPを活用するメリット

ISMAPの存在は、クラウドサービスの導入を検討する企業・組織にも大きなメリットをもたらします。ISMAPを活用するメリットは以下の3点です。

  • ・クラウドサービスの「選定」が楽になる
  • ・政府基準で選ばれた、「信頼できるクラウドサービス」を導入できる
  • ・セキュリティ基準をチェックする「手間」が省ける

企業・組織は「ISMAPクラウドサービスリスト」を活用することで、国の審査基準を満たしたクラウドサービスの中から選定が可能になります。そのため、悪徳なサービスに契約するリスクを回避しつつ、サービスを一から選ぶ手間を削減することが可能です。

ISMAPは政府関係者だけでなく、クラウドサービスの提供者側・利用側、双方にとってメリットがある制度といえます。

【情シス1,000名に調査】クラウドサービスにおけるセキュリティ対策の実態調査

従業員300名以下の中小企業を対象に「クラウドサービスのセキュリティ対策」における、導入事情や課題についてお聞きしました。

資料をダウンロードする

ISMAPに登録する方法・流れ(クラウドサービス事業者向け)


「これからISMAPを取得したい」というクラウドサービス事業者が知っておくべき、ISMAPのクラウドサービスに登録する流れは、主に次の通りです。

1.セキュリティの内部統制の整備・運用と言明書の作成
2.監査の依頼と実施結果報告書の受領
3.クラウドサービス登録申請~受理
4.クラウドサービス審査~登録

ここでは、上記の5つのステップについて詳しく解説します。

1.セキュリティの内部統制の整備・運用と言明書の作成

クラウドサービスの登録申請書類を作成する前に、まずはセキュリティの内部統制の整備・運用と言明書の作成を行います。

ISMAPに登録申請を行う際は、「ISMAPクラウドサービス登録規則第3章(申請者に対する要求事項)」に基づき、申請者のセキュリティ対策について、基本言明要件に沿った言明を行うことが定められています。

クラウドサービス事業者は、はじめにISMAPの登録申請を通過できるだけの内部統制の整備・運用を行った上で、ISMAP管理基準への適合状況を「言明書」として作成します。

参考:ISMAP|制度案内 – 【クラウドサービス事業者様向け】各種お手続きについて

2.監査の依頼と実施結果報告書の受領

セキュリティの内部統制の整備・運用と言明書の作成が完了したら、監査依頼を行います。

ISMAPクラウドサービスリストへの登録の申請を行う際は、政府が公開している「ISMAP監査機関リスト」に登録済みの監査機関に監査を依頼し、実施結果報告書を作成する必要があります。

ISMAPの監査機関リスト一覧(※2023年10月時点)

監査機関の名称 監査機関の所在地
EY新日本有限責任監査法人 東京都千代田区有楽町一丁目1番2号 東京ミッドタウン日比谷 日比谷三井タワー
有限責任監査法人トーマツ 東京都千代田区丸の内三丁目2番3号 丸の内二重橋ビルディング
有限責任あずさ監査法人 東京都新宿区津久戸町1番2号
PwCあらた有限責任監査法人 東京都千代田区大手町1-1-1 大手町パークビルディング
三優監査法人 東京都新宿区西新宿1丁目24番1号エステック

参考:ISMAP|監査機関リスト

上記のいずれかの機関に監査を依頼し、「実施結果報告書」を受領することで、クラウドサービス登録申請のスタートラインに立ったといえるでしょう。

3.クラウドサービス登録申請~受理

監査が完了し、実施結果報告書を受領したら、クラウドサービス登録申請に移ります。

申請については、ISMAP公式サイトが提供する「クラウドサービス登録申請の手引き」を参照し、必要書類を抜け漏れなく準備することが重要です。

なお、クラウドサービスの登録申請は「ISMAPポータルサイト」から行います。システムの操作マニュアルも下記に公開されているため、申請前に目を通しておくことをおすすめします。

4.クラウドサービス審査~登録

クラウドサービス登録申請が受理されたら、ISMAP運営委員会によって登録が妥当かどうか審査が行われます。

公式では「受理されて6か月以内に登録の判断を行う」と明言されており、実際のところ少なくとも3か月程度かかるケースが多いようです。

審査に問題がなければ、申請したクラウドサービスが無事登録され、ポータルサイトの「ISMAPクラウドサービスリスト」が更新されます。

クラウドサービス登録申請の準備で悩んだら?

クラウドサービス登録申請の手続きや書類作成で悩んだ場合は、ISMAP運用支援機関(IPA)へ相談することが可能です。

お問い合わせフォーム

相談できるお問い合わせ内容としては、以下のようなものがあります。

    【相談内容の例】

  • ISMAPの基準・規則や手引きに則り書類を作成したつもりだが、記載に不備がないか確認してほしい
  • 利用している「他のクラウドサービス」について言明書に記載したが、記載に不備がないか確認してほしい
  • 監査において発見事項があったが、改善計画書の記載に不備がないか確認してほしい

クラウドサービス登録申請にあたって、不備の不安や書類作成の疑問がある場合は、積極的に早いタイミングで相談を行いましょう。またISMAPポータルで公開される「クラウドサービス登録に関するFAQ」も参考になります。

その他、ISMAPについて「よくある質問」

最後に、「ISMAP登録」についてよくある質問と、その回答を記載します。これからISMAPへの登録申請を検討している方はぜひ参考にしてください。

Q.ISMAP登録に費用はいくら発生する?

ISMAP登録のためにかかる費用は、企業の規模や状況、どのコンサルティングや監査サービスを選択するかによって異なります。

ISMAP登録の際に発生する費用は、主に次の2種類です。

1.コンサルティング費用
2.監査費用

このうち、特に高額なのは「2.監査費用」であり、場合によっては1,000万円以上かかるケースもめずらしくありません。

ただし、ISMAP運用支援機関(IPA)として費用の支払いを求めているわけではなく、登録の申請に先立って監査が必要になる際に、監査機関への費用が発生する認識です。

Q.ISMAP登録にどのくらいの期間がかかる?

ISMAPの登録を判断する期間は、ISMAPクラウドサービス登録規則6.3によってISMAP運用支援機関がクラウドサービスの登録申請を受理した日から原則として6か月以内」と定められています。

実際には、クラウドサービスへ登録申請を行ってから登録が完了するまでに3か月以上かかるケースが多く、詳細な要件の確認を要する場合は、さらに長い期間がかかることも想定されます。登録完了を急ぎたい場合は、期間を要することをあらかじめ想定し、できるだけ早めの申請をおすすめします。

なお、登録の判断を行う「ISMAP運営委員会」は、3月、6月、9月、12月の年4回を基本に実施されます。

Q.ISMAPとよく比較される「ISMSクラウドセキュリティ認証」とは?違いを教えてください。

まず、ISMSクラウドセキュリティ認証とは、クラウドサービスにおいての情報セキュリティに関する第三者認証です。

この認証を受けることで、クラウドサービスのセキュリティ管理策が適切に実施されている組織であることを証明できます。

ISMAPとISMSクラウドセキュリティ認証の主な違いは、以下の通りです。

ISMAP ISMSクラウドセキュリティ認証
概要 政府機関がクラウドサービスの選定する際に用いる、セキュリティ評価制度 クラウドセキュリティに関する国際規格を満たしているか、第三者機関が評価する制度
運営母体となる組織 ISMAP運営委員会 ISMS-AC
登録の是非を判断する基準 ISMAP管理基準 JIS Q(ISO/IEC) 27001,27002,27017
有効期限 登録対象となった監査期間末日の「翌日から1年4カ月」 3年に1度、維持審査を実施

ISMAPとISMSクラウドセキュリティ認証は、運営母体となる組織や登録の是非を判断する基準などが異なります。また、前者が日本政府が定めた情報セキュリティ基準に則る制度であるのに対し、後者は「国際標準化機構(ISO)」の定めるセキュリティ事項を元に、審査が行われます。

両者はともにクラウドサービスの安全性を証明する制度であり、クラウドサービス事業者・利用者の双方にとって、有用な指針となります。

関連コラム

ISMSとは?基礎知識とISMS認証取得へ向けた流れを解説

貴社のクラウドサービスのセキュリティ強化なら、LANSCOPEプロフェッショナルサービスにお任せ

ここまで「クラウドサービスのセキュリティ評価基準」である、ISMAPについてご説明しました。

ISMAPの認証を受けたクラウドサービスであれば、一般の企業・組織も安心して導入できることは先述の通りです。

しかし、いくら「安全に考慮されたクラウドサービス」を導入しても、初期設定が不十分であったり、セキュリティ対策を行わず放置したりすれば

  • ・個人情報や機密データの漏洩
  • ・重要データの改ざん・消去
  • ・マルウェアへの感染

といったインシデントが発生する可能性があります。

CISベンチマークやJPCERT・IPAなどの発信する最新情報をもとに、セキュリティのスペシャリストが、高度で的確なクラウドサービスの診断を実施。「アクセス権限のミス」や「ログイン方法の厳重化」などの対策を行います。
そこで、ISMAPの活用とあわせて検討いただきたいのが、お使いのクラウドサービスのセキュリティリスクの有無を診断する「クラウドセキュリティ診断」の実施です。

クラウドセキュリティ診断では、豊富な知見をもつ当社の診断士が、お客様がご利用中のクラウドサービスにて「アクセス権限」や「ログインの認証方法」など、インシデントの根源となりうる要素確認・対策を実施。

クラウドサービス経由のセキュリティ事故を、未然に防ぐことが可能です。

対応可能なクラウドサービスは多岐にわたるため、幅広いお客様に「クラウドに関する情報漏洩防止」に、お力添えすることが可能です。

    ▼主要なサービス一覧

  • Microsoft 365 セキュリティ診断
  • Google Workspace セキュリティ診断
  • Salesforce セキュリティ診断
  • Amazon Web Services(AWS)セキュリティ診断
  • Microsoft Azure セキュリティ診断
  • Google Cloud Platfor (GCP)セキュリティ診断
  • Zoom セキュリティ診断
  • Box セキュリティ診断
  • Slack セキュリティ診断
関連ページ

LANSCOPE プロフェッショナルサービス│クラウドセキュリティ診断

また、昨今とくに需要の多い「Microsoft 365」に関しては、診断を重要度の高い項目西堀、より低価格で提供する「Microsoft 365 健康診断パッケージ」を提供しています。ぜひあわせてご覧ください。

関連ページ

低コスト・短期で診断を行う『セキュリティ健康診断パッケージ』

まとめ

日本政府が定めた「クラウドサービスのセキュリティ評価制度」である「ISMAP」についてご紹介しました。

提供事業者はISMAPに登録が認められることで、信頼性や市場での競争力の向上を図ることが期待できます。

    ▼この記事のまとめ

  • ポータルサイトで公開される「ISMAPクラウドサービスリスト」は、政府以外の一般企業や組織も自由に閲覧可能。そのため、国家基準を満たした安全性の高いクラウドサービスを、誰でも迷うことなく選定できる
  • 日本政府がクラウドサービスを導入する際、安全性を担保するための仕組みが必要となり「ISMAP」が制定・試行された
  • ISMAPにはガバナンス基準・マネジメント基準・管理策基準の3つの管理基準がある
  • ISMAPを取得する場合は、あらかじめ言明書の作成や所定の監査機関による監査が必要。ISMAP公式サイトより、手順や書類の確認・取得ができる
  • ISMAPの申請に悩んだときは、IPAに確認や助言を求められるため、積極的に利用する

「ISMAP」の活用は、サービス事業者・利用者ともにメリットがあり、活用することで「信頼できる良いサービスが国内で循環する」という、仕組みが生まれることとなります。

ぜひ積極的にISMAPを利用し、効率的にクラウドサービスの提供・導入を行いましょう。

また、LANSCOPE プロフェッショナルサービスでは、昨今のクラウドサービスの普及を受け「どれだけの企業がクラウドサービスを利用しているか」「どのような課題があるか」などを情シス1,000名に調査した、「クラウドサービスの利用実態調査」を行いました。

以下のダウンロードフォームより、ぜひあわせてご活用ください。

【情シス1,000名に調査】クラウドサービスにおけるセキュリティ対策の実態調査

従業員300名以下の中小企業を対象に「クラウドサービスのセキュリティ対策」における、導入事情や課題についてお聞きしました。

資料をダウンロードする

関連する記事