ISMAPとは
ISMAP(Information system Security Management and Assessment Program:イスマップ)は、政府が求めるセキュリティ要件を満たすクラウドサービスを事前に評価し、「ISMAPクラウドサービスリスト」に登録する制度です。2020年に制度が開始され、デジタル庁・総務省・経済産業省が共同で運営しています。
政府機関がクラウドサービスを調達する際は、原則としてISMAPクラウドサービスリストに登録されたサービスから選定することが求められます。これにより、政府全体のクラウドセキュリティの底上げと、調達プロセスの効率化を同時に実現しています。
ISMAPが生まれた背景
「クラウド・バイ・デフォルト」原則
政府のIT調達方針として2018年に「クラウド・バイ・デフォルト原則」が定められました。これは政府情報システムの構築にあたり、クラウドサービスの利用を第一候補として検討するという方針です。
しかし、クラウドサービスのセキュリティ評価を各府省庁が個別に行うのは非効率であり、評価基準もバラバラになるリスクがありました。そこで、政府共通のセキュリティ評価制度としてISMAPが創設されました。
海外の先行事例
ISMAPの設計にあたっては、米国のFedRAMP(Federal Risk and Authorization Management Program)が参考にされています。FedRAMPは米国政府向けクラウドサービスのセキュリティ認証プログラムであり、ISMAPはその日本版とも位置づけられます。
制度の仕組みと登場人物
| 登場人物 | 役割 |
|---|---|
| ISMAP運営委員会 | 制度全体の方針決定・運営(デジタル庁・総務省・経産省) |
| クラウドサービス事業者(CSP) | 自社のクラウドサービスをISMAPに登録申請する |
| 監査法人(ISMAP監査機関) | CSPのセキュリティ対策を第三者として監査・評価する |
| 利用者(政府機関・自治体) | ISMAPリストからクラウドサービスを選定して調達する |
登録の流れは「CSPが自社のセキュリティ管理策を整備 → 監査法人が評価 → ISMAP運営委員会がリストに登録 → 政府機関が調達時に参照」というサイクルです。
評価基準の詳細
ベースとなる国際規格
ISMAPの管理基準は、以下の国際規格をベースに、日本政府固有の要件を加えて構成されています。
| 規格 | 内容 | ISMAPでの位置づけ |
|---|---|---|
| ISO/IEC 27001 | 情報セキュリティマネジメントシステム(ISMS) | 管理体制・PDCAの基盤 |
| ISO/IEC 27002 | 情報セキュリティ管理策の実践規範 | 具体的な管理策のベース |
| ISO/IEC 27017 | クラウドサービスのセキュリティ管理策 | クラウド固有のリスクへの対応 |
| ISO/IEC 27018 | クラウド上の個人情報保護 | 個人情報の取扱いに関する要件 |
管理策の評価領域
ISMAPでは約1,000項目以上の管理策を評価します。主要な領域は以下の通りです。
- ガバナンス:経営陣のセキュリティへの関与、組織体制、リスク管理方針
- アクセス制御:利用者認証、権限管理、特権IDの管理、ログの取得
- 暗号化:データの暗号化(保存時・転送時)、鍵管理
- ネットワークセキュリティ:ネットワーク分離、侵入検知・防止、DDoS対策
- インシデント管理:検知・報告・対応体制、フォレンジック能力
- 事業継続管理:災害復旧(DR)体制、バックアップ、SLA
- 物理セキュリティ:データセンターの入退管理、冗長構成
- サプライチェーン管理:委託先・再委託先の管理
登録プロセスとスケジュール
| Phase | 内容 | 期間目安 |
|---|---|---|
| 1. 管理策の整備 | ISMAPの管理基準に基づき、自社のセキュリティ管理策を整備・文書化 | 3〜6ヶ月 |
| 2. 内部評価 | 整備した管理策の運用状況を自己評価し、ギャップを改善 | 1〜2ヶ月 |
| 3. 外部監査 | ISMAP監査機関(監査法人)による第三者監査の実施 | 2〜3ヶ月 |
| 4. 申請・審査 | 監査報告書をISMAP運営委員会に提出、審査を受ける | 1〜2ヶ月 |
| 5. 登録・公開 | 審査通過後、ISMAPクラウドサービスリストに登録・公開 | — |
初回登録には準備期間を含めて6ヶ月〜1年程度を見込む必要があります。登録後は年1回の更新監査が必要です。
ISMAP-LIU(簡易評価)とは
ISMAP-LIU(ISMAP for Low-Impact Use)は、セキュリティ上の影響が比較的小さい業務で利用するSaaS型クラウドサービスを対象とした簡易版のISMAPです。
| 項目 | ISMAP(通常) | ISMAP-LIU |
|---|---|---|
| 対象サービス | IaaS / PaaS / SaaS(すべて) | SaaSのみ |
| 想定する情報 | 機密性の高い情報を含む | 機密性の高い情報を含まない業務 |
| 管理策の数 | 約1,000項目以上 | 大幅に絞り込み |
| 監査の負荷 | 大(外部監査法人による詳細監査) | 小(簡易評価+自己評価) |
| コスト | 監査費用 数百万〜1,000万円程度 | 通常ISMAPより大幅に低コスト |
| 登録期間 | 6ヶ月〜1年 | 3〜6ヶ月 |
社内のコミュニケーションツール、ファイル共有、プロジェクト管理など、機密性の高いデータを直接扱わないSaaSの調達にはISMAP-LIUが適しています。一方、基幹業務システムや個人情報を扱うシステムにはISMAP(通常)の登録が求められます。
ISMAPクラウドサービスリストの活用
リストの公開状況
ISMAPクラウドサービスリストはISMAPポータルサイト(ismap.go.jp)で公開されています。AWS、Azure、Google Cloud、OCI、Salesforceなどの主要クラウドサービスが登録されています。
政府機関の調達における位置づけ
政府機関がクラウドサービスを調達する際は、原則としてISMAPリスト登録サービスから選定します。リスト外のサービスを利用する場合は、当該サービスがISMAP相当のセキュリティ水準を満たしていることを自ら評価・証明する必要があります。
民間企業での活用
ISMAPは政府向けの制度ですが、民間企業がクラウドサービスを選定する際のセキュリティ評価の参考情報としても活用できます。ISMAP登録サービスは一定のセキュリティ水準を満たしていることが第三者によって確認されているため、自社での評価コストを削減できます。
クラウド事業者が準備すべきこと
ISMAP登録を検討すべき事業者
- 政府・自治体向けにSaaS / PaaS / IaaSを提供している、または提供を計画している事業者
- ガバメントクラウド上でアプリケーションを提供する事業者
- 大企業・官公庁の調達要件でISMAP登録を求められている事業者
準備のステップ
- Step 1:ISMAP管理基準の入手と現状ギャップの把握
- Step 2:管理策の整備と文書化(セキュリティポリシー、運用手順書、記録の整備)
- Step 3:技術的対策の実装(暗号化、ログ管理、MFA、脆弱性管理等)
- Step 4:内部評価の実施と改善
- Step 5:ISMAP監査機関の選定と外部監査の受審
利用者側(政府・自治体・民間)の活用法
調達時のチェックポイント
- 利用予定のクラウドサービスがISMAPリストに登録されているか確認
- リスト登録の有効期限と更新状況を確認
- 利用する業務の情報の機密性に応じてISMAP / ISMAP-LIUのどちらが適切か判断
- ISMAPリスト登録はセキュリティの最低水準であり、自組織固有の追加要件は別途評価が必要
BTNコンサルティングの支援
クラウド環境のセキュリティ設計
AWS、Azure、Google CloudなどのISMAP登録クラウド上で、セキュリティ設計(IAM、暗号化、ログ管理、ネットワーク分離等)を実装します。
まとめ
ISMAPは政府のクラウド調達における必須のセキュリティ評価制度です。ISO 27001/27017/27018をベースに約1,000項目以上の管理策を評価し、第三者監査を経てクラウドサービスリストに登録されます。SaaS事業者には簡易版のISMAP-LIUも用意されています。