ISMAPは2020年6月から運用がはじまりました。2021年3月にはじめてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。さくらインターネットのIaaS型クラウドサービス「さくらのクラウド」も、2021年12月にISMAPのクラウドサービスリストへ登録されました。
各政府機関は、ISMAPクラウドサービスリストに掲載されているクラウドサービスの中から調達することを原則としています。
ISMAPとは
ISMAPとは、政府情報システムのためのセキュリティ評価制度です。「Information system Security Management and Assessment Program」を略した言葉になります。読み方は「イスマップ」です。
通常、政府入札案件では仕様書によって調達するサービスに要求する安全性が問われます。しかし、入札に参加する企業のシステムが要求を満たしているかを都度評価をすることは、監督する省庁側にとっても負担となります。
そこで、政府が求めるセキュリティ要求を満たしているサービスをあらかじめ評価・登録し「ISMAPクラウドサービスリスト」という形でリストアップ。
「その中からの調達を原則とする」という形にすることでクラウドサービス調達におけるセキュリティ水準の確保を図りつつ、円滑な導入に役立てることを目的として誕生しました。
ISMAPの所管は次の通りです。
- 内閣官房:内閣サイバーセキュリティセンター(NISC)
- 内閣官房:IT総合戦略室
- 総務省
- 経済産業省
最高意思決定機関は、有識者と所管省庁で構成された制度運営委員会で、事務局をNISCに置いています。有識者委員の任期は2年以内で、氏名は非公表です。独立行政法人 情報処理推進機構(IPA)が制度運用実務と評価に関する技術支援を実施しています。
ISMAPの制度がはじまった経緯
米国防総省での超大型クラウド調達のニュースが話題になりました。柔軟なリソース拡張やコスト削減、効率性向上など、世界では当たり前のように重要なシステム基盤としてクラウドサービスが活用されるシーンが増えました。
以前の日本政府は、情報セキュリティへの不安などの理由から、クラウドサービスの活用に前向きではありませんでした。これは政府だけに限った話ではありません。2018年におこなわれた民間企業向け調査でも、「クラウドサービスの導入で最も不安なのはセキュリティ」という回答が20%を超えていました。
そんな中、2018年6月に「政府情報システムにおけるクラウドサービスの利用に係る基本方針」が、政府によって定められました。これにより、政府の情報システムにクラウドサービスの利用を第一候補とする「クラウド・バイ・デフォルト原則」が掲げられたのです。しかし当時の日本では、セキュリティ要件の統一基準が存在しませんでした。
サイバーセキュリティ戦略
そこで2018年7月「サイバーセキュリティ戦略」において「安全性評価など、適切なセキュリティ水準が確保された信頼できるクラウドの利用を促進する方策について検討し、対策を進める」と示されました。
これを受け、2018年8月以降「クラウドサービスの安全性評価に関する検討会」が9回に渡っておこなわれ、2020年1月にとりまとめられています。続いて「成長戦略2019(2019年6月)」「デジタル・ガバメント実行計画(2020年12月)」において、2020年度内の制度利用開始を決定しました。
2020年1月、サイバーセキュリティ戦略本部決定の「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」が出されました。この中でISMAPの基本的枠組み、各政府機関等における利用の考え方、所管と運用体制が決定しています。その後、2020年3月27日から4月26日の間に意見公募手続(パブリックコメント)をおこない、2020年6月にISMAPの制度がはじまったのです。
ISMAPが目指す姿
冒頭で少し記載しましたが、以前は調達の度に各政府機関がそれぞれにセキュリティ要件を満たせているか確認をしていました。
また、調達担当によって要件設定にばらつきが起こる可能性もあり、要件を設定する側にも多くのリテラシーを求められるため必要なセキュリティ基準を満たせていない可能性もあったのです。各省で同じ要件のものであっても、”個別”に ”都度” 確認をしており非効率的でした。
ISMAPによって各省横断の統一的なセキュリティ基準が明確化されれば、一定のセキュリティ基準を満たせているという証明が容易になり、個別に都度確認する必要もなくなります。
クラウドサービス事業者側としては、政府調達におけるベースラインが透明化したので、今までより一層提案しやすくなります。入札が活発になることで競争原理が働き、私たち国民にとってもプラスとなるのです。
ISMAP登録までの流れ
まずISMAP管理基準に従って、情報セキュリティの内部統制の整備と運用をおこないます。添付書類を含んだ言明書を作成し、「ISMAP監査機関リスト」に登録された監査機関に監査を依頼します。経営者確認書を監査機関に提出し、実施結果報告書を入手。そのうえで登録申請書を作成。必要書類を添付し、ISMAP運営支援機関のIPAに提出します。
要求事項への適合状況を審査し、登録が妥当と判断されたクラウドサービスをISMAPクラウドサービスリストに登録します。
ISMAPの評価項目はいくつある?
ISMAPには1,298項目の要件があり、それを評価していきます。要件はおもに3つの規格とルールを軸に作成しています。
- JIS Q規格
- 統一基準
- SP800-53
管理基準には、3桁管理策と4桁管理策があります。3桁管理策は統制目標で、それを達成するための手段となる詳細管理策が、4桁管理策です。原則として3桁管理策を必須、4桁管理策は選択制(一部必須)としています。
ISMAP登録までの期間
ISMAPポータルサイトによると、クラウドサービス事業者が登録申請をおこない、受理されてから6か月以内に登録の判断をするとされています。最短でも3か月程度はかかるようです。
ただし、登録申請までには基準に準じた方針や体制の確立、書類準備、指定監査機関による審査が必要です。申請するサービスのボリューム、各社での準備状況、監査法人側の対応スケジュール次第で登録までの期間は変わります。
登録後の有効期限
クラウドサービスリストに登録されてから、対象期間末日の翌日から1年4か月後までが登録機関となります。ほぼ毎年、更新が必要になるのでご注意ください。
ISMAPの登録にかかる費用
ISMAP運用支援機関への費用の支払いはありません。しかし、監査機関による監査費用が必要です。また登録支援コンサルティングを受ける場合は、その費用もかかります。これらは機関や会社によって費用が異なります。
こちらも登録までの期間と同様、申請するサービスのボリューム、各社での準備状況、監査法人側の対応スケジュール次第で変わります。
ISMAP登録のメリット2つ
ISMAPに登録されることで、事業者側にはどのようなメリットがあるのでしょうか。おもなメリットを2つご紹介します。
ISMAP登録のメリット1.信頼性が増す
ISMAPのクラウドサービスには、政府が求めるセキュリティ要求を満たしているものが登録されます。セキュリティの安全性が政府から認められているといえるので、信頼性が増します。
民間企業向け調査で「クラウドサービスの導入で最も不安なのはセキュリティ」という回答が20%を超えていたことからも、セキュリティの安全性は重要です。
ISMAP登録のメリット2.ビジネスにつながる
各政府機関は、ISMAPクラウドサービスリストに掲載されているクラウドサービスの中から調達することを原則としています。
そのため、ISMAPに登録されることは政府からのお墨付きを得られると言えます。そうなると安心感が広がり、民間企業でもISMAPに登録されているクラウドサービスを選ぶ流れになるかもしれません。ISMAPの登録はガバメントクラウドの要件にもなっています。ガバメントクラウドについては「ガバメントクラウドとは?意味や目的、先行事業の内容をわかりやすく解説」でくわしく解説しています。
まとめ
- ISMAPとは、政府情報システムのためのセキュリティ評価制度
- 各政府機関は、ISMAPクラウドサービスリストに掲載されているクラウドサービスの中から調達することを原則としている
- ISMAPによって統一的なセキュリティ基準が明確化。一定のセキュリティ基準を満たしていることの証になるため、個別に都度確認する必要がなくなる
さくらインターネットのIaaS型クラウドサービス「さくらのクラウド」は、ISMAPに登録されています。
※サードパーティ製品など一部対象外のものもあります。くわしくはお問い合わせください。
ISMAPに登録されたことにより、政府機関が情報システムのクラウド基盤として、さくらのクラウドを選定できるようになります。また、情報システム開発者などが政府機関向けに納入するシステムのクラウド基盤として、さくらのクラウドを採用することが可能となりました。
さくらインターネットは、これからもすべてのお客さまが安心してクラウドサービスを運営・提供できるよう、情報セキュリティやコンプライアンスに対する取り組みを続けてまいります。
≫ 【導入事例やサービス紹介も】さくらインターネット お役立ち資料ダウンロードページ