ISMAP（イスマップ）とは？政府機関のセキュリティ評価制度の概要を解説

INDEX

現代はSaaSやIaaSなどのクラウドサービスが数多く存在します。今やクラウドサービスの利用は企業にとっても政府にとってもなくてはならない時代となりました。

しかし日本ではもともとクラウドサービスは『セキュリティ面が心配』という声が多く、導入に躊躇する企業も数多くありました。

そんな中2018年6月に政府情報システムを整備する際にクラウドサービスを第1候補とする『クラウド・バイ・デフォルト原則』が示され、クラウドサービスは政府機関のシステムとしても優先して選ばれる重要なポジションになりました。

そんなクラウドサービスですが、実はクラウド・バイ・デフォルト原則が示された後も日本は国家としてクラウドサービスの安全性を評価・認定する仕組みが存在しておらず、評価・認定制度を検討する必要性がありました。

そこで満を持して作られたのが政府情報システムのためのセキュリティ評価制度である『ISMAP』です。

本記事では、ISMAPの特徴や登録する方法を分かりやすく解説するとともに、ISMAPが作られた経緯についても紹介していますので、ぜひ最後までご覧ください。

ISMAP(イスマップ)とは？わかりやすく紹介

ISMAPとは内閣サイバーセキュリティセンター・情報通信技術（IT）総合戦略室・総務省・経済産業省が運営する『政府情報システムのためのセキュリティ評価制度（Information system Security Management and Assessment Program）』の通称です。

2018年6月にクラウド・バイ・デフォルト原則が示された後に、クラウドサービスの安全性を評価・認定する仕組みとして作られました。

ISMAPは政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスを円滑に導入することを目的としています。

つまりISMAPに登録されたクラウドサービスは国が定めたセキュリティ基準を満たしていることの証明となり、政府は原則ISMAPに登録されているクラウドサービスの中から選ぶことによって、安全なサービスを効率よく調達することが出来るようになったのです。

ISMAP（イスマップ）がつくられた経緯

ISMAPがつくられた経緯は、日本のこれまで行ってきた政府による非効率的なクラウドサービス選定の歴史が関係しています。ISMAPという統一基準ができる前は、システムの調達のたびに政府機関がそれぞれにセキュリティ要件を満たせているか確認をしていました。

そのため調達を担当する人によってばらつきが生じる可能性がありました。また要件を設定する側にも多くのリテラシーを求められるため、必要なセキュリティ基準を満たせていない可能性もあったのです。こういった不安材料がある＆手間のかかる方法で、同じ要件のものであっても各省が『個別』に 『都度』 確認をすることは非常に非効率的なやり方でした。

そこでISMAPという統一基準がつくられました。このことによって今までの非効率的な作業を減らし、クラウドサービスを提供する側にとっても要件を満たしやすくなりました。

ISMAP（イスマップ）の特徴

ここからはISMAPの全貌について、詳しく見ていきたいと思います。

順に紹介します。

特徴①評価項目

ISMAPには1298項目もの要件があり、それらがクリアされているか評価していきます。これらの要件は主に下記規格を元に作られています。

また管理基準には、下記の2種類があります。

3桁管理策については統制目標であり必須項目とされていて、4桁管理策の方はそれらを達成するためのより詳細な管理策となっています。そのため4桁管理策については一部の必須項目を除き、選択制をとっています。

特徴②登録方法

クラウドサービス事業者が登録申請をおこない、受理されてから最短で3カ月、最長で6か月以内に登録の判断をするとされています。

単純に登録申請すればよいというわけではなく、申請前に基準に準じた方針や体制の確立、書類準備、指定監査機関による審査が必要です。また登録されてからも毎年の更新が必要になります。

登録にかかる費用はISMAP運用支援機関への支払いはありませんが、事前の監査にかかる監査費用や登録支援コンサルティングを利用する場合はその利用料が必要です。

詳しい登録方法に関しては本記事の5章にて解説していますので、参考にしてください

ISMAP（イスマップ）に登録するメリット

ISMAPがつくられたことによって政府にとっては多くのメリットがあります。

しかし、登録に様々なコストがかかる中クラウドサービスの事業者側にとってはISMAPに登録するメリットがあるのでしょうか？

実はクラウドサービス事業者側にも、政府のシステムに選ばれる可能性があること以外にもメリットがありますので紹介していきます。

それぞれ紹介します。

メリット①クラウドサービス自体の信頼性が増す

ISMAPに登録されたということは『政府が求めるセキュリティ要求を満たしていること』の証明になります。つまり、「このクラウドサービスは政府が認めるほど安全！」というお墨付きを頂いた状態です。

そのため民間企業もクラウドサービスを検討する際にISMAPに登録しているサービスから選ぶ可能性が高いです。

民間企業向けの調査では『クラウドサービスの導入で最も不安なのはセキュリティ』という回答が20％以上にもなるので、セキュリティ面での安全性を証明するためにISMAPに登録するメリットは大きいといえます。

メリット②新たなビジネスにつながる

現在クラウドサービスの数は非常に多く、民間の企業にとっても導入するクラウドサービスの検討には多くのコストがかかっていると考えられます。

そのため、セキュリティ面での安全性が証明されているISMAPに登録されたクラウドサービスの中から選ぶことで、安全なクラウドサービスをより簡単に選ぶ流れができてくると考えられます。

政府のみならず民間企業にとっても『ISMAPに登録されているかどうか』がクラウドサービスを導入する際の重要な指標になり、登録していることによって新たなビジネスチャンスにつながる可能性があるのです。

ISMAP（イスマップ）に登録する方法とは

本章では、クラウドサービス事業者が知っておくべき、ISMAPのクラウドサービスに登録する流れは、主に下記の通りです。

1. セキュリティの整備・運用と言明書を作成する 2. 監査の依頼と実施結果報告書を受領する 3. クラウドサービス登録申請から受理まで行う 4. クラウドサービス審査から登録を行う

上記の4つのステップについて詳しく解説します。

STEP1.セキュリティの整備・運用と言明書を作成する

まず、セキュリティの内部統制の整備・運用の言明書の作成を行いましょう。

ISMAPに登録申請を行う際は、「ISMAPクラウドサービス登録規則」の第3章（申請者に対する要求事項）に基づき、申請者のセキュリティ対策について基本言明要件に沿った言明が定められています。

よって、クラウドサービス事業者は、クラウドサービスの登録申請書類を作成する前に、ISMAPの登録申請を通過できるくらいのセキュリティの整備・運用を行った上で、ISMAP管理基準への適合状況を「言明書」として作成してください。

STEP2.監査の依頼と実施結果報告書を受領する

次に、監査の依頼と実施結果報告書の受領を行います。

ISMAPクラウドサービスリストへの登録申請を行う際は、政府が公開している「ISMAP監査機関リスト」に登録されている監査機関に監査を依頼し、実施結果報告書を作成してください。

ISMAPの監査機関は下記の通りです。

監査機関名監査機関所在地ＥＹ新日本有限責任監査法人東京都千代田区有楽町一丁目１番２号 東京ミッドタウン日比谷 日比谷三井タワー有限責任監査法人トーマツ東京都千代田区丸の内三丁目2番3号 丸の内二重橋ビルディング有限責任あずさ監査法人東京都新宿区津久戸町1番2号PwCあらた有限責任監査法人東京都千代田区大手町1-1-1 大手町パークビルディング三優監査法人東京都新宿区西新宿1丁目24番1号エステック

参考：ISMAP｜監査機関リスト（※2023年12月25日更新）

上記のいずれかの機関に監査を依頼し、「実施結果報告書」を受領することで、クラウドサービス登録申請のスタートラインに立ったといえるでしょう。

STEP3.クラウドサービス登録申請から受理まで行う

監査が完了し、実施結果報告書を受領したら、クラウドサービス登録申請と受理に移ります。

申請に関しては、ISMAPの公式サイトが提供している「クラウドサービス登録申請の手引き（令和5年11月10日改定）」を参照し、下記のような必要書類を抜け漏れなく準備することが重要です。

上記書類の準備を終えたら、「ISMAPポータルサイト」からクラウドサービスの登録申請を行ってください。

必要書類に不明点・不備等がなければ受理されますが、ISMAP 運用支援機関(IPA)からのお問い合わせや追加の資料提出の要請を受けた場合には、1ヶ月以内に対応してください。

STEP4.クラウドサービスの審査及び登録を行う

クラウドサービス登録申請が受理されると、ISMAP運営委員会によってその登録が妥当かどうかの審査が行われます。ISMAPの公式サイトによると「受理されて6か月以内に登録の判断を行う」と明言され、早くても3か月程度かかるケースが多いです。

約3ヶ月〜6ヶ月の審査に問題がなければ、申請したクラウドサービスが登録され、ポータルサイトの「ISMAPクラウドサービスリスト」が更新されます。

以上の4ステップでISMAPのクラウドサービスリストに登録ができますが、書類の準備や書類・登録の審査という工数がかかるので、すぐに登録はできないと押さえておきましょう。

ISMAP（イスマップ）がもたらすクラウドサービスへの影響

ISMAPという統一基準がつくられたことによって政府も民間企業もクラウドサービスの選定がより行いやすくなりました。

またクラウドサービスの事業者側からしても、セキュリティ面で満たすべき要件が明確になり自社サービスの安全性を証明することが出来るため、大きなメリットがあります。

こういったことから今後はクラウドサービスの利用や競争が活発になり、クラウドサービス事業全体が発展していくと予想されます。

ISMAP（イスマップ）のクラウドサービスリストとは？

クラウドサービスリストとは、ISAMPに登録されている企業を確認できるWebサイトを指します。

本章では上記2点を解説します。

クラウドサービスリストの確認方法

クラウドサービスリストは、ISMAP運用支援機関の独立行政法人情報処理推進機構（IPA）が運営しているISMAPポータルサイトで確認できます。

リストの各行をクリックすることで、クラウドサービスの詳細情報が表示されますが、次章にてクラウドサービスリストに登録しているサービス・企業をまとめていますので、確認してみてください。

ISMAP/クラウドサービスリストに登録しているサービス・企業一覧

以下は2023年12月時点でISMAPに登録されているクラウドサービスの一覧です。どういった企業のどういったクラウドサービスが登録されているのか、是非参考にしてみてください。

サービス名称事業者名URLOpenCanvas(IaaS)株式会社エヌ・ティ・ティ・データFUJITSU Hybrid IT Service FJcloud富士通株式会社Apigee EdgeGoogle LLCGoogle Cloud PlatformGoogle LLCGoogle WorkspaceGoogle LLCmSalesforce Services株式会社セールスフォース・ジャパンHeroku Services株式会社セールスフォース・ジャパンAmazon Web ServicesAmazon Web Services,Inc.NEC Cloud laaS日本電気株式会社https://jpn.nec.com/cloud/service/platform_service/iaas.htmlKDDIクラウドプラットフォームサービスKDDI株式会社Oracle Cloud InfrastructureOracle CorporationMicrosoft Azure, Dynamics 365,
and Other Online Services日本マイクロソフト株式会社 Microsoft Office 365日本マイクロソフト株式会社エンタープライズクラウドサービス／
エンタープライズクラウドサービ ス Ｇ２／
フェデレーテッドポータルサービス株式会社日立製作所 クラウドサービス運用基盤cybozu.com
並びにcybozu.com 上で提供するGaroon及びkintoneサイボウズ株式会社BoxBox, Inc.Smart Data Platform サービスエヌ・ティ・ティ・コミュニケーションズ株式会社Cybereason EDR / MDRサービスサイバーリーズン・ジャパン株式会社 IIJ GIOインフラストラクチャーP2、
IIJ GIOインフラストラクチャーP2 Gen.2、
IIJ GIOコンポーネントサービス株式会社インターネットイニシアティブ
DigitalArts@Cloudデジタルアーツ株式会社AppSheetGoogle LLCBare Metal SolutionGoogle LLCさくらのクラウドさくらインターネット株式会社SlackSlack Technologies LLCカオナビ株式会社カオナビクラウドサイン弁護士ドットコム株式会社ウイングアーク１stクラウドサービスウイングアーク１ｓｔ株式会社Now PlatformServiceNow, Inc.Salesforce Services on Hyperforce株式会社セールスフォース・ジャパンKnowledgeC@fe サービス株式会社富士通ラーニングメディアホワイトクラウド ASPIRE株式会社富士通ラーニングメディアビジネス・コンシェル デバイスマネジメントソフトバンク株式会社PrimeDriveソフトバンク株式会社FirebaseGoogle LLCVMware Cloud on AWSVMware, Inc.e-TUMO株式会社エヌ・ティ・ティ・データ関西NRIクラウド インフラサービス株式会社野村総合研究所https://atlax.nri.co.jp/nri_cloud_infra_service/マイナンバー管理プラットフォーム利用サービス株式会社Works Human IntelligenceCOMPANY Core クラウドサービス株式会社Works Human IntelligencePrisma Access、Cortex Data Lake、
Cortex XDR及びWildFirePalo Alto Networks, Inc.


IBM Cloud IaaS およびPaaSInternational Business Machines CorporationWebex SuiteCisco Systems, Inc.1)Trend Micro Cloud App Security,
2)Trend Micro Apex One SaaS,
3)Trend Micro Email Security,
4)Trend Micro Web Security as a Service,
5)Trend Vision One, 6)Trend Cloud Oneトレンドマイクロ株式会社https://www.trendmicro.com/ja_jp/business/products.htmlFujitsu Translation Service富士通株式会社Menlo Cloud Security Platform with
Isolation CoreMenlo Security, Inc.Google Cloud VMware EngineGoogle LLCFortiCloudサービス(FortiGate Cloud /
FortiManager Cloud / FortiAnalyzer Cloud /
FortiMail Cloud / FortiAP Cloud)Fortinet,Inc.

参考：ISMAPポータルサイト｜クラウドサービスリスト

まとめ

日本はこれまでクラウドサービスの認定制度がなく、諸外国と比べて遅れをとっている状況でした。しかし2020年からISMAPがつくられたことによって、これまでの政府による非効率的なクラウドサービスの選定は大きく変わりました。

今後この流れが民間の企業にも及び、日本におけるクラウドサービス業界はより発展していくことが期待されています。今後どういったクラウドサービスがISMAPに登録されていくのか、また業界全体の流れがどうなっていくのか注目です。