ISMAPとは?制度の概要やクラウドサービスリストへの登録方法についてわかりやすく解説 | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > セキュリティ認証取得 > ISMAPとは?制度の概要やクラウドサービスリストへの登録方法についてわかりやすく解説

ISMAPとは?制度の概要やクラウドサービスリストへの登録方法についてわかりやすく解説

ISMAP(イスマップ/政府情報システムのためのセキュリティ評価制度)とは、政府機関等が、情報セキュリティ上安全であると認められたクラウドサービスを効率的かつスピーディーに選定・調達できるようにすることを目指して作られた制度です。本記事では、ISMAPという制度全体の概要やISMAPの管理策、クラウドサービス登録の流れなどについて解説します。また、2022年11月より新たに始まった「ISMAP-LIU(イスマップ・エルアイユー)」についても概要を紹介しています。

ISMAP(政府情報システムのためのセキュリティ評価制度)とは

ISMAP(イスマップ)は「Information system Security Management and Assessment Program(※)」の略称で、日本語では「政府情報システムのためのセキュリティ評価制度」と呼ばれています。制度名には記載がないものの、本制度が対象とするのはクラウドサービスであり、簡単に言うと、「審査によって情報セキュリティ上の安全性が認められたクラウドサービスを登録・リスト化し、政府機関は今後、原則としてこのリストの中からクラウドサービスの選定・調達を行うようにする」というのがISMAPの基本的な枠組みです。

 

2022年11月1日からは、リスクの小さな業務や情報処理に用いられるSaaSを対象とした「ISMAP-LIU(イスマップ・エルアイユー)」(詳しくは後述)の運用も始まりました。

 

※英語の名称がつけられているものの、実際には日本政府が用いる情報システムのための、国内でのみ導入されている制度です。

 

ISMAP制定の背景と目的

ISMAP制定の背景

日本政府はもともと、政府機関等で利用するクラウドサービスに対し、統一的なセキュリティ要求基準を設けていませんでした。このため、各政府機関等は、新たにクラウドサービスを調達する際、個別に候補となるクラウドサービスのセキュリティ対策を確認し、選定・調達を行っていました。

 

そんな中、政府は2018年6月、「政府情報システムを整備する際はクラウドサービスの利用を第一候補にする」という方針(クラウド・バイ・デフォルト原則)を掲げます。この方針を守るにあたり、統一的な安全性評価基準や安全性評価の監査の仕組みを設け、これに基づいて安全なクラウドサービスを調達・利用できるような枠組みが必要となり、そのための環境整備等を進めることが決定されました。

 

このような背景から、2020年6月、内閣サイバーセキュリティセンター(NISC)、デジタル庁、総務省、経済産業省を所管省庁とするISMAPが立ち上がり、2020年9月にはクラウドサービスの申請・登録が開始されました。そして、翌年の3月にはISMAPクラウドサービスリストが一般公開され、政府機関によるISMAP制度の利用が始まりました。

 

<ISMAPをめぐる政府の動き>

年・月ISMAPをめぐる動き
2018年6月政府、「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を定め、クラウド・バイ・デフォルト原則を掲げる。
2018年7月「サイバーセキュリティ戦略」(7月27日閣議決定)において、「クラウド化の推進に当たっては、安全性評価など、適切なセキュリティ水準が確保された信頼できるクラウドの利用を促進する方策について検討し、対策を進める」ことが位置付けられる。
2019年12月「デジタル・ガバメント実行計画」(12月20日閣議決定)において、クラウド・バイ・デフォルト原則を踏まえた政府情報システムの整備がされること及び安全性評価基準、安全性評価の監査の仕組みを活用して安全性が評価されたクラウドサービスの利用を開始できるよう環境整備等について検討を進めることが位置付けられる。
2020年6月NISC・デジタル庁・総務省・経済産業省を所管省庁とするISMAPが立ち上がる。
2020年9月クラウドサービスの申請・審査が開始。
2021年3月ISMAPクラウドサービスリストが初めて登録・公開され、政府機関による本制度の利用が開始。
2022年11月「ISMAP-LIU」(イスマップ・エルアイユー:ISMAP for Low-Impact Use)の運用が開始。

NISCのページを参考に作成)

ISMAP制定の目的

先ほども少し触れたように、ISMAP制定の目的は、政府機関等でのクラウドサービス導入にあたり、統一的な安全評価基準(※)に基づいて情報セキュリティ対策が十分に実施されているサービスを調達できるようにすることです。

 

また、一定の情報セキュリティ対策の実施が確認されたクラウドサービスを、効率的かつスピーディに調達できるようにするのも目的の1つです。本制度制定前までは、個々のクラウドサービスのセキュリティ対策実施状況を調達者が直接確認する必要がありましたが、ISMAPを利用することで、この直接確認を省略できるようになります。

 

※クラウドサービスのセキュリティを評価する国際的な基準としては、「ISMSクラウドセキュリティ認証(ISO/IEC 27017)」というものもありますが、国内向けの統一的な安全評価基準はISMAPが初となります。ISMSクラウドセキュリティ認証について詳しくは、こちらの記事「ISMSクラウドセキュリティ認証とは?認証基準や要求事項について解説」をご覧ください。

ISMAPにおける「クラウドサービス」の定義

ISMAPの基本規程では、「クラウドサービス」を以下のように定義しています。

 

「事業者によって定義されたインタフェースを用いた、拡張性、柔軟性を持つ共用可能な物理的又は仮想的リソースにネットワーク経由でアクセスするモデルを通じて提供され、利用者によって自由にリソースの設定・管理が可能なサービスであって、情報セキュリティに関する十分な条件設定の余地があるもの」

 

なお、クラウドサービスの中でも機密性2情報を扱うサービスが、ISMAPの対象となります。機密性2情報の定義については、サイバーセキュリティ戦略本部の資料「政府機関等のサイバーセキュリティ対策のための統一基準(令和3年度版)」をご確認ください。

ISMAPクラウドサービスリストの概要

ISMAP制度を利用して登録されたクラウドサービスのリストは、「ISMAPクラウドサービスリスト」と呼ばれ、誰もが閲覧することができます。2022年12月時点では、38のサービスが登録されています。

 

同リストには、クラウドサービスの名称やクラウドサービス事業者の名称、登録日のほか、登録の更新期限などが記載されています。また、リストの各行をクリックすると、各クラウドサービスの詳細情報を確認することが可能です。

 

ISMAPクラウドサービスリストの登録・公開は、大まかに言うと以下のような流れで行われています。

 

①政府機関等が、クラウドサービスに対して要求するべき基本的な情報セキュリティ管理・運用の基準を定める

②申請のあったクラウドサービスについて、要求される基準に基づいたセキュリティ対策を実施しているかどうかを、ISMAPが定める評価プロセスに基づいて審査

③審査に通過したクラウドサービスを、ISMAPクラウドサービスリストに登録・一般公開

 

ISMAPとガバメントクラウド

ISMAPに関連して、「ガバメントクラウド」という言葉を耳にしたことがあるという方も多いと思います。このガバメントクラウドとは、一体どんなものなのでしょうか?

ガバメントクラウドとは?

ガバメントクラウド(Gov-Cloud)とは、地方自治体をはじめとする政府機関等が、サーバーやOS、アプリを共同で利用できるようにするための利用環境のことをいいます。「クラウド」の名の通り、ガバメントクラウドは共通的な基盤・機能を提供する複数のクラウドサービスで構成されます。デジタル庁は、地方自治体における情報システムを、2025年度までにガバメントクラウドを活用したシステムへ移行することを目指しています。

 

ガバメントクラウド活用のメリットとしては、各政府機関等がアプリなどを共同で利用することによりコストの削減につながる、セキュリティ対策や運用監視などをガバメントクラウドがまとめて行うことで各組織がこういった対策を個別に行う必要がなくなる、といったものが挙げられます。

 

<参考:ガバメントクラウドのイメージ図>

ガバメントクラウドのイメージ図

(内閣官房情報通信技術(IT)総合戦略室「地方自治体によるガバメントクラウドの活用について(案)令和3年6月」を参考に作成)

ISMAPとガバメントクラウドの関係性

ガバメントクラウドにおいては、複数のクラウドサービス事業者が提供する複数のサービスモデルを組み合わせ、それらを相互に接続して利用することが予定されています。こういったサービスには、ISMAPに登録されていて、かつその他の諸要件を満たしているクラウドサービスが活用されることになっています。つまり、ガバメントクラウドの実現にISMAPという制度は不可欠であるということです。

「ISMAP-LIU」とは?

先ほども少し触れたように、2022年11月1日からは、「ISMAP-LIU」(イスマップ・エルアイユー:ISMAP for Low-Impact Use)という制度の運用も始まっています。ISMAP-LIUとは、ISMAPの枠組みのうち、リスクの小さな業務・情報の処理に用いるSaaSサービスを対象にした仕組みのことをいいます。

ISMAP-LIU検討の背景

ISMAP-LIUでは、外部監査の対象範囲を縮小することにより、監査や登録の負担を軽減しています。ではなぜ、このようなISMAPの「簡易版」とも言える制度が新たに設けられたのでしょうか?

 

クラウドサービスの中でもSaaSについては、そのサービス幅が広く、用途や機能が極めて限定的なサービスや、機密性2情報の中でも比較的重要度が低い情報のみを取り扱うサービス等があります。こういったサービスについても現行のISMAPと一律に扱ってしまうと、セキュリティ要求が過剰なものになってしまうことが考えられます。こうなると、サービスの登録が進まず、政府機関の調達に支障が出てしまうかもしれません。そこで、リスクの小さいSaaSに関しては、登録のハードルを少し下げた「ISMAP-LIU」を新たに設け、クラウド・バイ・デフォルトのさらなる推進を目指すことが決定されました。

ISMAPとISMAP-LIUの比較

以下に、ISMAPとISMAP-LIUの違いを簡単にまとめました。

ISMAPISMAP-LIU
対象IaaS、PaaS、SaaSSaaSのみ
対象サービスが扱う情報のリスク比較的高い比較的低い
事前申請なしあり(必要書類等の提出により、ISMAP-LIU該当性が認められれば監査に進むことが可能)

(NISC、デジタル庁、総務省、経済産業省「【参考】ISMAP-LIUについて(案)」を参考に作成)

 

<参考:クラウドサービスの種類(SaaS、PaaS、IaaS)>

クラウドサービスの種類(SaaS、PaaS、IaaS)

ISMAPに関わる主な文書・規程類

ISMAPに関わる文書・規程類は複数存在していますが、その中でも今後ISMAPへの登録を目指すクラウドサービス事業者にとって特に重要な以下の3つについて、概要を紹介します。

 

・ISMAPの基本規程「政府情報システムのためのセキュリティ評価制度 (ISMAP) 基本規程 」

・クラウドサービス登録に関する規則が記載された「政府情報システムのためのセキュリティ評価制度(ISMAP)クラウドサービス登録規則」

・ISMAPの管理策が記載された「政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準」

 

※上記以外の規程や文書については、ISMAPのポータルサイトをご覧ください。

「政府情報システムのためのセキュリティ評価制度 (ISMAP) 基本規程 」

ISMAPやISMAP-LIUに関して、クラウドサービス事業者、監査機関、制度所管省庁、ISMAP運営委員会、調達府省庁等が遵守しなければならない基本的事項を定めた文書です。この基本規程には、制度全体の基本的なルールのほか、本制度に関わる用語の定義などが記載されています。

 

<基本規程に規定されるその他の主な事項>

・制度の基本的枠組み

・クラウドサービスの登録に関する基本的事項

・監査機関の登録に関する基本的事項

・登録されたクラウドサービス事業者の権利

・ISMAP運営委員会が行う業務 

など

 

※基本規程は、こちらのURLからダウンロードすることが可能です。

「政府情報システムのためのセキュリティ評価制度(ISMAP)クラウドサービス登録規則」

上記の基本規程に基づき、クラウドサービスの登録に関する事項を定めた文書です。登録申請者への要求事項や、登録申請書の提出方法などが記載されています。なお、ISMAP-LIUへの登録に関する事項については別途、「ISMAP-LIUクラウドサービス登録規則」という文書で規定されています。

 

<登録規則に規定されるその他の主な事項>

・審査の内容

・クラウドサービス登録の有効期間

・情報セキュリティインシデント発生時の報告に関する事項

・登録の削除に関する事項

など

 

※ISMAPの登録規則についてはこちらのURLから、ISMAP-LIUの登録規則についてはこちらのURLからダウンロードすることが可能です。

「政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準」

クラウドサービス事業者が、ISMAPやISMAP-LIUへの登録申請を行う上で実施すべきセキュリティ対策の一覧、およびその活用方法を示すことを目的とした文書です。「ガバナンス基準」、「マネジメント基準」、「管理策基準」の3種の基準(詳しくは後述)から構成されています。

 

※ISMAP管理基準は、こちらのページから一部をダウンロードすることが可能です。JIS Q 27014:2015 (ISO/IEC 27014:2013)およびJIS Q 27017:2016 (ISO/IEC 27017:2015)の2つのJIS規格を購入している場合のみ、管理基準の完全版を閲覧することができます。

ISMAPの管理策

ISMAPへの登録を目指すクラウドサービス事業者は、ガバナンス基準、マネジメント基準、管理策基準の定める事項を「管理策」として実施しなければなりません。

ガバナンス基準

JIS Q 27014 (ISO/IEC 27014、情報技術−セキュリティ技術− 情報セキュリティガバナンス)を参考に、経営陣が実施すべき事項が定められています。ここに記載されている事項は、原則としてすべて実施する必要があります。

ガバナンス基準で要求される主な事項

・情報セキュリティを統治するための、評価、指示、モニタおよびコミュニケーションの各プロセスの実行。

マネジメント基準

管理者が実施すべき事項として、情報セキュリティマネジメントの計画、実行、点検、処置、およびリスクコミュニケーションに必要な実施事項が定められています。ここに記載されている事項は、原則としてすべて実施する必要があります。

マネジメント基準で要求される主な事項

・情報セキュリティマネジメントの確立、運用、監視およびレビュー、維持および改善

・文書化した情報の管理、情報セキュリティリスクコミュニケーションなど

管理策基準

組織における情報セキュリティマネジメントの確立段階において、リスク対応方針に従って管理策を選択する際の選択肢となる事項が示されています。それぞれの事項は、「管理目的」と「詳細管理策」で構成されます。管理策には、実施が原則として必須なものと、選択して実施するものがあります。

管理策基準で要求される主な事項

・人的資源のセキュリティ、資産の管理、情報分類、アクセス制御、暗号、マルウェアからの保護といったさまざまなテーマに関するセキュリティ確保のための要求事項

3桁管理策と4桁管理策

管理策基準は、「統制目標」とされる3桁管理策と、それを達成するための手段となる「詳細管理策」である4桁管理策で構成されます。原則として3桁管理策は実施が必須で、4桁管理策は選択制です。そのほか、「一部の重要な管理策」は実施が必須とされています。

管理策の種別

管理策の中には、番号単体で示されるものと、番号+英字で示されるものがあります。番号+英字で示されるものには、以下の3種類があります。

 

・管理策番号.P:クラウドサービスに特有のものとして、クラウドサービス事業者が特に考慮すべき管理策

・管理策番号. B:管理策を実施するための単なる選択肢ではなく、それ自体が基本言明要件である管理策で、原則必須

・管理策番号. PB:PとBの両方を示す管理策で、原則必須

管理策種別の例

説明のみではわかりにくいため、参考として、以下に実際の管理策の例を記載しました。

管理策種別の例
9. 4 システム及びアプリケーションのアクセス制御
管理目的:システム及びアプリケーションへの、認可されていないアクセスを防止するため。
9. 4. 1(3桁管理策) 情報及びアプリケーションシステム機能へのアクセスは、アクセス制御方針に従って、制限する。
9. 4.1. 8. PB(4桁管理策) クラウドサービス事業者は、クラウドサービスへのアクセス、クラウドサービス機能へのアクセス、及びサービスにて保持されるクラウドサービス利用者のデータへのアクセスを、クラウドサービス利用者が制限できるよう、アクセス制御を提供する。
9. 4. 2(3桁管理策) アクセス制御方針で求められている場合には、システム及びアプリケーションへのアクセスは、セキュリティに配慮したログオン手順によって制御する。
9. 4. 2. 2. B(4桁管理策) 強い認証及び識別情報の検証が必要な場合には、パスワードに代えて、暗号による手段、スマートカード、トークン、生体認証などの認証方法を用いる。
9. 5. P 共有化された仮想環境におけるクラウドサービス利用者のデータのアクセス制御
管理目的:共有化されたクラウドコンピューティング上の仮想環境における情報セキュリティを確実にするため。
9. 5. 2. P(3桁管理策) クラウドコンピューティング環境における仮想マシンは、事業場のニーズを満たすため、要塞化する。
9. 5. 2. 1. PB(4桁管理策) クラウドサービス事業者は、仮想マシンを設定する際には、適切に要塞化し(例えば、クラウドサービスを実行するのに必要なポート、プロトコル及びサービスのみを有効とする)、利用する各仮想マシンに適切な技術的管理策(例えば、マルウェア対策、ログ取得)を実施する。

(「政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準」より引用、()内の「3桁管理策」および「4桁管理策」は筆者が追記)

ISMAP登録までの流れ

では、実際にクラウドサービスをISMAPに登録するためにはどんな段階を経る必要があるのでしょうか?以下に、ISMAP登録に至るまでの大まかな流れをまとめました。

なお、ISMAP-LIUに関しては、前述の通り、該当性を判断するための事前申請というプロセスも必要になります。

①準備・管理策の実施

・制度に関わる規程等を確認するなど、制度自体を理解する

・「ISMAP管理基準マニュアル」(※)を参考に、自社が満たすべき管理策を選択・設計・実施する

 

※ISMAP管理基準マニュアルは、こちらのページから一部をダウンロードすることが可能です。JIS Q 27014:2015 (ISO/IEC 27014:2013)およびJIS Q 27017:2016 (ISO/IEC 27017:2015)の2つのJIS規格を購入している場合のみ、完全版を閲覧することができます。

②監査の受審・改善

・指定の監査機関による監査を受審し、指摘事項があれば改善する

 

※指定監査機関のリストは、こちらのページに掲載されています。

③登録申請

・登録規則の第3章に規定される要求事項が満たされていることを確認する

・「クラウドサービス登録申請の手引き」(こちらのURLからダウンロード可能)を確認の上、申請文書を作成し、手引きに記載された方法で提出する

・提出された申請文書に不足や不備等がある場合は、必要な書類の提出等が依頼されるので、速やかに対応する

④ISMAP運用支援機関による申請書の審査・登録

・ISMAP運営委員会による審査で認められ、登録が決定すると、ISMAP運⽤⽀援機関から申請者に登録の通知が⾏われるとともに、ISMAPクラウドサービスリストに登録される

登録の有効期限と更新申請

クラウドサービスリストへの登録の有効期限は、「登録の対象となった監査の対象期間の末日の翌日から1年4か月後まで」です。クラウドサービス事業者は、登録の有効期限までに、登録の更新を申請する必要があります。なお、登録の更新の申請が行われた日から、ISMAP運営委員会によって更新審査(申請に対する登録の更新の判断)が行われるまでの間は、有効期限以降も引き続き登録は有効とみなされます。

ISMAP登録のメリット・デメリット

民間企業が自社クラウドをISMAPに登録するメリット

クラウドサービスがISMAPクラウドサービスリストに登録されるということは、客観的な監査・審査によってそのサービスの安全性が認められた、ということを意味します。このため、顧客や取引先をはじめとする対外的な信頼性が高まることが期待できます。そのほかのメリットとしては、以下のようなものが挙げられます。

 

・他社との差別化が図れる

・認知度が向上する

・ビジネスチャンスが拡大する

 

ISMAPに登録するデメリット

上記のようなメリットがある一方で、ISMAP登録に至るまでにはかなりの労力が必要となるほか、金銭的にも出費(監査費用、セキュリティコンサル利用料など)は避けられません。また、登録後の維持にも労力やコストがかかります。

まとめ

まとめると、以下がISMAPのポイントとなります。

 

✔️ISMAPとは、政府情報システムのためのセキュリティ評価制度のこと。

✔️ISMAPの対象となるのはクラウドサービス。

✔️ISMAPにより、統一的な安全性評価基準や安全性評価の監査の仕組みが設けられた。

✔️政府機関は今後、原則としてISMAPクラウドサービスリストの中からクラウドサービスの選定・調達を行う。これにより、効率的かつスピーディにサービスを調達できるようになる。

✔️リスクの小さいSaaSを対象とするISMAP-LIUの運用も始まっている。

 

政府機関等でのクラウドサービス調達を目的とした制度であるとはいえ、ISMAPに登録することで、一般の消費者や民間企業からの信頼も高まるという効果が期待できます。ISMAPはまだ始まったばかりの新しい制度ですが、今後知名度や重要性が上がっていけば、この効果はますます大きくなることが予想されます。「自社のクラウドの安全性を証明し、対外的にアピールしたい」、「他社との差別化を図りたい」といった目標のあるクラウドサービス事業者にとっては、目標達成のための手段として、ISMAP登録を検討してみるのも1つの手かもしれません。

情報源

https://www.ismap.go.jp/csm/ja?id=csm_ismap_index(ISMAPポータルサイト)

https://www.nisc.go.jp/policy/group/general/ismap.html(NISC)

https://cio.go.jp/sites/default/files/uploads/documents/cloud_policy_20210330.pdf(政府情報システムにおけるクラウドサービスの利用に係る基本方針)

https://www.ismap.go.jp/sys_attachment.do?sys_id=fed8403cdb71c9906e6cb915f396194f(※ダウンロードリンク、【参考】ISMAPクラウドサービスリストについて)

https://www.soumu.go.jp/main_content/000731217.pdf(地方自治体によるガバメントクラウドの活用について(案)令和3年2月)

https://www.soumu.go.jp/main_content/000757994.pdf(地方自治体によるガバメントクラウドの活用について(案)令和3年6⽉)

https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/c58162cb-92e5-4a43-9ad5-095b7c45100c/dac15f8f/20221007_policies_local_governments_outline_01.pdf(地方公共団体情報システム標準化基本方針の概要)

https://www.soumu.go.jp/main_content/000819998.pdf(【参考】ISMAP-LIUについて(案))

file:///Users/yamaguchi/Downloads/ISMAP-LIU%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6%20(1).pdf(※ダウンロードリンク、ISMAP-LIUについて)

file:///Users/yamaguchi/Downloads/000082669.pdf(※ダウンロードリンク、政府情報システムのためのセキュリティ評価制度(ISMAP)について)

筆者プロフィール

山口あさ子

2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。