ホームITクラウドサービスの安全性を評価する「ISMAP」 制度の概要やポータルサイトの使い方を解説

IT Insight

クラウドサービスの安全性を評価する「ISMAP」 制度の概要やポータルサイトの使い方を解説

レンテックインサイト編集部

クラウドサービスの安全性を評価する「ISMAP」 制度の概要やポータルサイトの使い方を解説

ユーザー企業がクラウドサービスのセキュリティに関する基準を審査するにあたって、信頼できる参照元はないか。

そんなニーズに合致すると考えられるのが、内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省が所管となる「ISMAP」という制度です。ISMAPとは何なのか、どのように利用すればよいのか。

クラウドユーザー企業・選定中の企業が知っておきたいポイントについて、詳しく見ていきましょう。

「ISMAP」は“政府が求めるセキュリティ基準を満たしたクラウドサービスを評価する制度”「ISMAP-LIU」とは?

ISMAP(イスマップ)とは、政府が求めるセキュリティ要求を満たしたクラウドサービスを評価する制度で、正式名を「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)」といいます。

ISMAPのサイトでは、その基準に照らして認定・登録されたクラウドサービスのリストが掲載されており、「リスク評価を行うために必要な情報」「ペネトレーションテストや脆弱性診断等の第三者による検査の実施状況と受入に関する情報」「言明の対象範囲」などの内容も付記されています。

また、ISMAPの管理基準は、経営陣が満たすべき「ガバナンス基準」、管理者が満たすべき「マネジメント基準」、業務実施者が満たすべき「管理策基準」の三つで構成されています。ISMAPの運用がスタートしたのは2020年6月のこと。2023年10月時点で51サービスが登録されており、各政府機関は原則として「ISMAP」あるいは「ISMAP-LIU」に登録されたクラウドサービスの中から調達を行うこととなります。

「ISMAP-LIU(イスマップ-エルアイユー)」とは、セキュリティ上の重要度の低い情報を扱うクラウドサービスについてリスト化した、いわばISMAPのライト版です。LIUは「Low-Impact Use(影響の小さな利用)」を意味します。ISMAPと同等のセキュリティ基準を求めるのは過大と思われるSaaSに対し、影響度評価を行った上でよりゆるやかな設計で監査を行うことがISMAP-LIUの目的とされています。

「ISMAP」に期待される効果とは?

ISMAPは、2018年6月に政府調達において採用された「クラウド・バイ・デフォルト原則」に応じて、クラウドサービスの利用を促進する中で、一定の基準に即して安全基準を審査する制度というニーズが生まれ、構築されることとなりました。

もちろん、追加的な要件は各用途に応じて発生するため、実際の利用にあたってはISMAPやISMAP-LIUでリスト化されたクラウドサービスをさらに追加的な要件で審査することが想定されています。

ISMAPは政府機関のみならず、一般企業がクラウドサービスを利用するにあたってセキュリティ上の審査を行う手間も大きく減らしてくれる効果が期待されています。

ご存じの通りクラウドサービスの利用は当たり前となりつつあります。その一方で、令和4年の調査(※)では、クラウドサービスを「利用していないが、今後利用する予定がある」企業は9.6%、「利用していないし、今後利用する予定もない」企業は12.6%と、合計すると全体の5分の1以上(22.2%)クラウドサービスを利用していない企業が存在するのです。

その理由として「必要がない(42.0%)」に次いで挙げられているのが、「情報漏えいなどセキュリティに不安がある(31.2%)」です。ISMAPやISMAP-LIUはその不安を解消するにあたって有益なツールとなるでしょう。

また、クラウド利用企業の32.6%が「非常に効果があった」、53.3%が「ある程度効果があった」と回答しています。政府システムのクラウド化も進む中で、今まで「必要ない」と考えていた企業もクラウドサービスの導入を迫られる場面が訪れるかもしれません。その際、やはりISMAPやISMAP-LIUが検討のスムーズ化を大いに促進してくれるはずです。

※…出典:通信利用動向調査(企業編)第3章 クラウドコンピューティング┃総務省

ISMAPポータルサイトの使い方

ISMAPポータルサイトの使い方は簡単です。トップページから、「システム調達者の皆さま」タブより「ISMAPクラウドサービスリスト」あるいは「ISMAP-LIUクラウドサービスリスト」にアクセスするだけです。

ただし、以下の機能を利用するためにはアカウントを発行してもらい、サイトにログインする必要があります。

  • 監査機関向け各種申請
  • クラウドサービス事業者向け各種申請
  • 政府機関向けコンテンツ参照

ISMAPポータルサイトのURL: https://www.ismap.go.jp/csm?id=csm_ismap_index

原則、法人・個人事業主向け共通認証システム「GビズID」を使ってアカウントを作成しますが、法人番号を有していないなど事情がある場合は、メールアドレスに送信されたアカウント登録の案内より情報を提出し、アカウント登録を申請することになります。

「ISMAP」「ISMAP-LIU」の利用は今後増加していく見込み

政府機関によって活用されることを前提にクラウドサービスを評価する「ISMAP」「ISMAP-LIU」について、ご紹介しました。今後、両者のサービスリストにおけるサービス登録数が増えるにつれて、ISMAPやISMAP-LIUが参照される機会も増加するはずです。クラウドサービスをこれから導入しようという企業は、まずISMAPポータルサイトをご覧になってみてください。

IT Insightの他記事もご覧ください

Prev

Next