政府機関も利用するクラウドサービスの安全性確保のための制度~ISMAPの概要~
セキュリティを知りたい
先生、「ISMAP」って最近よく聞くんですけど、これは何のためにあるんですか?
セキュリティ研究家
良い質問ですね。「ISMAP」は、簡単に言うと、政府が使うクラウドサービスの安全性をきちんと確かめるための仕組みですよ。
セキュリティを知りたい
なるほど。でも、どうしてそんな仕組みが必要なんですか?
セキュリティ研究家
昔は、それぞれの役所がバラバラにクラウドサービスの安全性を確かめていたんだけど、それだと大変だし、安全基準もバラバラになってしまうよね? そこで、政府が安全性を保証したクラウドサービスだけを使う仕組みにしたんだよ。
ISMAPとは。
国の機関が安全なクラウドサービスを簡単に使えるように、「ISMAP」という制度があります。「ISMAP」は「InformationsystemSecurityManagementandAssessmentProgram」の略で、「イスマップ」と読みます。これは、国が定めた安全基準を満たすクラウドサービスをあらかじめ評価して登録し、国の機関は原則として、その登録されたサービスの中から選ぶことで、安全性を確保しようというものです。
なぜこの制度ができたかというと、以前はクラウドサービスを提供する会社によって安全対策がバラバラで、国の機関がそれぞれ個別に安全性を確認しなければなりませんでした。そこで、国全体で安全なクラウドサービスの利用を進めるために、統一的な基準を設けようと「サイバーセキュリティ戦略」の中で決定されました。
ISMAPは、国の安全を守る機関や、情報通信技術を担当する部署などが協力して運営しており、専門機関である情報処理推進機構が、制度の運用や技術的なサポートを行っています。
国の機関は、クラウドサービスを選ぶ際には、基本的にISMAPに登録されたサービスを選ぶことになっています。そのため、クラウドサービスを提供する会社は、ISMAPに登録されるように積極的に取り組んでおり、2021年3月12日には、情報処理推進機構から10個のサービスが公開されました。
はじめに
近年、多くの組織にとって、情報をインターネット上のサーバーで管理するクラウドサービスは欠かせないものとなってきています。場所を選ばずにデータにアクセスできる利便性の高さがある一方、その仕組みにより情報漏洩などの危険性も高まっているのが現状です。そこで、国は2018年6月に各府省や地方自治団体がクラウドサービスを安全に利用するための指針となる「政府情報システムのためのセキュリティ評価制度」を策定しました。これがISMAP、つまり「イスマップ」と呼ばれるものです。
ISMAPは、政府機関がクラウドサービスを導入する際に、サービスを提供する事業者のセキュリティ対策が十分であるかを評価し、その結果を踏まえて適切なサービスを選択できるようにするための制度です。具体的には、クラウドサービス事業者は、ISMAPの基準に基づいて自社のセキュリティ対策を評価し、その結果を証明する「セキュリティ評価認証」を取得する必要があります。そして、政府機関は、ISMAPの認証を取得した事業者のサービスの中から、自機関のセキュリティ要件に合致したものを選んで導入することになります。この仕組みにより、政府機関は、より安全なクラウドサービスを利用できるようになり、国民の貴重な情報を守ることができます。
ISMAPは、政府機関におけるクラウドサービスの利用を促進し、国民へのサービス向上につながらることが期待されています。
| 項目 | 内容 |
|---|---|
| 背景 | クラウドサービスの普及に伴い、情報漏洩リスクが高まっているため、安全な利用のための指針が必要とされている。 |
| ISMAPとは | 政府機関がクラウドサービスを導入する際に、サービス提供事業者のセキュリティ対策が十分であるかを評価するための制度。 |
| 目的 | 政府機関が適切なセキュリティレベルのクラウドサービスを選択し、国民の情報を保護すること。 |
| 仕組み |
|
| 期待される効果 |
|
ISMAPとは
– ISMAPとはISMAPは「情報システムセキュリティマネジメント及び評価プログラム」の略称で、政府が定めるセキュリティ基準を満たしたクラウドサービスを事前に評価し、登録する制度です。各政府機関は、原則としてこのISMAPの「登録簿」に掲載されたサービスの中から調達することになります。従来、政府機関がクラウドサービスを利用する際には、個別にセキュリティの審査を行っていました。しかし、クラウドサービスの利用が拡大するにつれて、個別の審査では時間とコストがかかりすぎるという問題が生じていました。そこで、政府が共通のセキュリティ基準を定め、事前に審査を行うことで、政府機関の業務効率化とセキュリティレベルの向上を両立させることを目指したのがISMAPです。ISMAPに登録されるためには、クラウドサービス事業者は、セキュリティに関する様々な項目について自己評価を行い、その結果を提出する必要があります。その後、第三者機関による評価を受け、基準を満たしていると認められれば、ISMAPの登録簿に掲載されます。ISMAPの導入により、政府機関はセキュリティレベルが担保されたクラウドサービスを安心して利用できるようになりました。また、クラウドサービス事業者にとっても、ISMAPに登録されることで、政府機関からの信頼獲得につながり、新規顧客の開拓に繋がることが期待できます。
| 項目 | 内容 |
|---|---|
| ISMAPの定義 | 情報システムセキュリティマネジメント及び評価プログラムの略称。政府が定めるセキュリティ基準を満たしたクラウドサービスを事前に評価し、登録する制度。 |
| 導入背景 | クラウドサービス利用拡大に伴い、従来の個別審査では時間とコストがかかりすぎる問題が生じたため。 |
| 目的 | 政府機関の業務効率化とセキュリティレベルの向上を両立させる。 |
| 登録プロセス | クラウドサービス事業者がセキュリティに関する自己評価を行い、第三者機関による評価を受ける。基準を満たせばISMAP登録簿に掲載される。 |
| メリット | – 政府機関:セキュリティレベルが担保されたクラウドサービスを安心して利用可能 – クラウドサービス事業者:政府機関からの信頼獲得、新規顧客開拓に期待 |
制度策定の背景
– 制度策定の背景
従来、クラウドサービスを提供する事業者に対して、セキュリティの基準は統一されていませんでした。そのため、各政府機関がクラウドサービスを利用しようと考える場合、それぞれの機関が個別にセキュリティ対策の内容を確認する必要がありました。この確認作業は非常に負担が大きく、安全性を確保するために多くの時間と労力を費やさなければなりませんでした。
このような状況を改善し、安心してクラウドサービスを利用できる環境を整備するために、政府は「サイバーセキュリティ戦略」を策定しました。これは、国民生活や経済活動にとって重要な情報システムをサイバー攻撃から守り、安全で信頼できるサイバー空間を実現することを目的とした、国の基本的な方針です。
この戦略に基づき、クラウドサービスのセキュリティ対策に関する統一的な基準として、ISMAPが策定されました。ISMAPは、Information System Security Management and Assessment Programの略称であり、政府機関がクラウドサービスを調達する際のセキュリティ評価制度です。ISMAPの導入により、政府機関は、個別にセキュリティ対策を確認する必要がなくなり、効率的に安全なクラウドサービスを調達することが可能となりました。また、クラウドサービス事業者は、ISMAPに準拠することで、政府機関から安心して利用してもらえるというメリットがあります。
| 項目 | 内容 |
|---|---|
| 背景 | クラウドサービスのセキュリティ基準が統一されていなかったため、政府機関が個別にセキュリティ対策を確認する必要があり、負担が大きかった。 |
| 目的 | 安全で信頼できるサイバー空間を実現するために、クラウドサービスのセキュリティ対策に関する統一的な基準を設ける。 |
| 施策 | サイバーセキュリティ戦略の策定、ISMAPの導入 |
| ISMAPとは | 政府機関がクラウドサービスを調達する際のセキュリティ評価制度 |
| メリット |
|
ISMAPの運用体制
– ISMAPの運用体制ISMAPは、日本の行政機関が連携して運用しています。中心となるのは、国のサイバーセキュリティ戦略の司令塔である内閣サイバーセキュリティセンターです。そして、情報通信技術に関する政策を担う情報通信技術(IT)総合戦略室、情報通信行政を所管する総務省、産業政策を担う経済産業省が共同で運営に携わっています。さらに、独立行政法人情報処理推進機構(IPA)が、制度運用の実務やセキュリティ評価を技術面から支えています。IPAは、情報セキュリティに関する専門機関として、ISMAPの評価基準に基づき、クラウドサービスのセキュリティレベルを評価します。そして、その評価結果を「登録簿」として取りまとめ、一般に公開しています。このように、ISMAPは、政府機関と専門機関が協力し、クラウドサービスの安全性を確保するための体制を構築しています。
| 機関名 | 役割 |
|---|---|
| 内閣サイバーセキュリティセンター | 国のサイバーセキュリティ戦略の司令塔 |
| 情報通信技術(IT)総合戦略室 | 情報通信技術に関する政策 |
| 総務省 | 情報通信行政 |
| 経済産業省 | 産業政策 |
| 独立行政法人情報処理推進機構(IPA) | 制度運用の実務やセキュリティ評価を技術面から支援、セキュリティレベルを評価し結果を公開 |
ISMAPの登録サービス
– ISMAPの登録サービス
情報セキュリティ管理評価制度(ISMAP)は、政府機関や地方公共団体などが利用するクラウドサービスのセキュリティ水準を評価・認定する制度です。この制度は、クラウドサービスの利用に伴うセキュリティリスクを軽減し、安全・安心なクラウドサービスの利用を促進することを目的としています。ISMAPへの対応は、クラウドサービス事業者にとって、政府機関などに対して、自社サービスの信頼性を示す重要な要素となっています。
多くのクラウドサービス事業者がISMAPの取得に積極的に取り組んでおり、2021年3月12日には、情報処理推進機構(IPA)から最初のISMAPクラウドサービスリストとして10サービスが公開されました。これは、ISMAPへの対応が本格化していることを示す重要な出来事と言えるでしょう。
今後も、多くのクラウドサービス事業者がISMAPを取得し、より多くのサービスがリストに追加されることが期待されています。ISMAPの普及により、政府機関などは、より安全・安心なクラウドサービスを容易に選択できるようになり、クラウドサービスの利用促進、ひいては、我が国のデジタル化の推進に貢献すると考えられています。
| 項目 | 内容 |
|---|---|
| 定義 | 政府機関や地方公共団体などが利用するクラウドサービスのセキュリティ水準を評価・認定する制度 |
| 目的 |
|
| 効果 |
|
まとめ
– クラウド時代のセキュリティ対策ISMAPのススメ近年、多くの企業や組織が業務効率化やコスト削減のためにクラウドサービスの利用を進めています。しかし、その一方で、重要な情報資産をクラウド上に置くことによるセキュリティリスクの高まりも懸念されています。こうした中、政府機関が率先してクラウドサービスを安全に利用するための制度として、ISMAP(Information system Security Management Assessment Program情報システム等セキュリティ対策評価制度)が注目されています。ISMAPは、クラウドサービスを提供する事業者が適切なセキュリティ対策を実施しているかを、第三者機関が客観的に評価し、その結果を公表する制度です。ISMAPの利用には、政府機関だけでなく、民間企業にとっても大きなメリットがあります。 ISMAPに登録されたクラウドサービスを利用することで、企業はセキュリティレベルの高いサービスを安心して選択することができます。また、自社の情報システムのセキュリティ対策を評価する際にも、ISMAPの基準を参考にすることで、より効果的な対策を講じることが可能となります。政府機関のみならず、民間企業においても、ISMAP登録サービスを積極的に利用することで、より安全な情報システム環境を構築していくことが重要です。クラウド時代において、ISMAPは、我が国のサイバーセキュリティの向上に大きく貢献する制度と言えるでしょう。
| 項目 | 内容 |
|---|---|
| ISMAPとは | 情報システム等セキュリティ対策評価制度。クラウドサービス事業者のセキュリティ対策を第三者機関が評価し、結果を公表する。 |
| メリット | – 利用者はセキュリティレベルの高いサービスを安心して選択できる。 – 自社のセキュリティ対策評価の基準として活用できる。 |
| 対象 | 政府機関、民間企業 |
| 効果 | – 安全な情報システム環境の構築 – サイバーセキュリティの向上 |