セキュリティ評価制度「ISMAP（イスマップ）」とは？概要や活用方法について解説

クラウドが一般的に普及している現在では、クラウドサービスによるデータ・システム管理を行っている企業も少なくありません。しかし、利用しているクラウドサービスのセキュリティが低い場合、企業は重大な損失を被る可能性があります。

そこで本記事では、政府が導入しているセキュリティ評価制度「ISMAP（イスマップ）」の概要や活用方法について解説します。ISMAPを理解し、安全なクラウドサービスの選定に役立てましょう。

ISMAPとは？

企業がクラウドサービスを安全に活用するためには、適切なセキュリティ評価が欠かせません。ISMAPは、この課題に対応するために導入された制度です。

以下では、ISMAPの概要や背景、関連制度について詳しく解説します。

政府が導入しているセキュリティ評価・登録制度

ISMAP（Information system Security Management and Assessment Program）は、政府が2021年3月から導入したクラウドサービスのセキュリティ評価・登録制度です。

この制度では、クラウドサービス提供事業者が自社のサービスについて、ISMAPの定める基準に基づいて審査を受けます。

そして、この審査を通過したサービスは「ISMAPクラウドサービスリスト」として公開されます。

「ISMAPクラウドサービスリスト」は、一般企業も自由に閲覧が可能です。国の審査基準を満たした安全性の高いクラウドサービスを利用する基準として、ISMAPは活用されています。

ISMAPが施行された背景

ISMAPの導入背景には、政府のデジタル化推進と、クラウドサービスの普及があります。2018年以前の日本では、オンプレミス型のサービスの利用も行われていましたが、利便性や世論を受けて次第にクラウドサービスに移行する企業が増えてきました。

そのため政府も、クラウドサービスの利用を推奨する「クラウド・バイ・デフォルトの原則」を2018年に発表しました。

このような背景から、政府もクラウドサービスの利用を推奨する以上、セキュリティについても考慮する必要に迫られた結果、ISMAPが施行されたという流れになるのです。

ISMAP-LIUについても知っておこう

ISMAP-LIU（ISMAP forfor Low-Impact Use）は、ISMAPの派生制度として2022年に導入されました。ISMAP-LIUは、セキュリティの低い業務向けのクラウドサービスを評価するための制度です。

業務の中には、取り扱う情報の重要度が比較的低いものもあります。このようなサービスを扱う場合に、ISMAPと同様のセキュリティを求めるとセキュリティの要求水準が過剰になりかねず、「クラウド・バイ・デフォルトの原則」に反しかねません。

そこで現れたのが「ISMAP-LIU」です。ISMAPと比べてセキュリティの評価項目が限定的である点が特徴として挙げられます。

ISMAPと比べてより幅広いクラウドサービスの中から、セキュリティ基準を一定満たしたサービスを選択できる仕組みです。取り扱う情報の重要度が比較的低い業務で活用しやすいクラウドサービスを選ぶことができます。

ISMAPの3つの管理基準

では実際に、ISMAPではどのような基準が設けられているのでしょうか。ISMAPが主要としている3つの管理基準について紹介します。

ガバナンス基準

ガバナンス基準は、クラウドサービス事業者の経営陣による情報セキュリティ統制の枠組みを評価するものです。

この基準では、クラウドサービスを利用する企業・経営陣が情報セキュリティの戦略と目標を策定し、その実効性を評価・監視することが求められます。

セキュリティ活動の指導・管理から各部門への指示、コミュニケーションまで、組織全体のセキュリティガバナンスを包括的に評価します。

ISMAPでは、このガバナンス基準のすべての項目を原則として実施することが要求されており、クラウドサービス事業者の経営レベルでのセキュリティへのコミットメントを確認する重要な指標となっています。

マネジメント基準

マネジメント基準は、情報セキュリティマネジメントを行う管理者が実施するべき事項を定めています。

具体的には、セキュリティポリシーの策定や定期的な見直し、リスク評価の実施、インシデント対応プロセスの確立などが含まれます。また、従業員教育や内部監査の実施、継続的な改善活動なども重要な要素です。

管理策基準

管理策基準は、業務実施者によるISMAPにおけるクラウドサービスのセキュリティ対策を具体化した指針です。この基準は、アクセス制御や暗号化、バックアップなど、実践的なセキュリティ対策を網羅しています。

この基準を満たすためには、事業者による厳格な自己評価と、その結果のISMAP運営委員会への報告が必要です。

ISMAPを企業が活用するメリット

ISMAPは政府機関向けの制度ですが、民間企業にとっても大きなメリットがあります。セキュリティが確保されたクラウドサービスを効率的に選定できるだけでなく、自社のセキュリティ対策の指針としても活用できます。

公的に評価されたクラウドサービスを導入できる

ISMAPに登録されたクラウドサービスは、政府が定めた厳格な基準に基づいて評価されています。これらのサービスを導入することで、企業は高いセキュリティレベルを持つクラウド環境を構築できます。

特に、機密性の高い情報を扱う業界や、コンプライアンス要件が厳しい分野の企業にとって、ISMAP登録サービスの活用は安心につながります。公的機関による評価は、取引先や顧客に対する信頼性の証明としても有効です。

効率的にサービスを選べる

ISMAPの登録情報を活用することで、企業はクラウドサービス選定のプロセスを大幅に効率化できます。ISMAP登録サービスリストから、自社のニーズに合ったサービスを絞り込むことで、詳細な技術評価にかかる時間と労力を削減できます。

また、ISMAPの評価基準は、クラウドサービスのセキュリティを総合的に判断する上で有用な指標となります。セキュリティの専門知識が十分でない企業でも、一定水準以上のセキュリティを確保したサービスを選択できるようになります。

セキュリティチェックの手間がかからない

ISMAP登録サービスを利用することで、企業は独自のセキュリティ評価にかかるコストと時間を大幅に削減できます。通常、クラウドサービスの導入には詳細なセキュリティチェックが必要ですが、ISMAP登録サービスはすでに第三者機関による厳格な評価を受けています。

その結果、企業は自社でのセキュリティ評価の範囲を絞り込むことができ、結果として迅速なサービス導入が可能です。また、継続的なセキュリティ監査の負担も軽減され、運用コストの削減にもつながります。

クラウドサービスを活用する際に気を付けること

ISMAP登録サービスを利用する場合でも、自社の責任で適切な設定や運用を行うことが重要です。以下では、クラウドサービス活用時の注意点について解説します。

セキュリティ体制・機能を確認する

ISMAP登録サービスであっても、セキュリティ体制の構築や機能の確認については、利用者側の責任で行う必要があります。

特に注意すべきは、管理者権限の適切な割り当てです。必要最小限の権限を必要な人員にのみ付与する原則（最小権限の原則）を徹底しましょう。また、定期的な権限見直しや、退職者のアカウント削除なども忘れずに行う必要があります。

例えクラウドサービス側に適切なセキュリティ基準が備わっていたとしても、利用者側がアクセスの制限屋管理体制の構築をおろそかにしては、セキュリティは意味を成しません。

クラウドサービスのセキュリティに甘えず、多要素認証の導入や、承認済み端末以外からのアクセスを制限する仕組みの構築を検討しましょう。

セキュリティサービスの活用も効果的

ISMAP登録サービスであっても、自社のセキュリティ要件との適合性を確認することが重要です。特に、データセンターのセキュリティ対策や、ベンダーそのものの信頼性については、詳細な確認が必要です。

データセンターのセキュリティ対策としては、物理的セキュリティ（入退室管理、監視カメラなど）や、災害対策（バックアップ、冗長化など）が適切に実施されているかを確認しましょう。

また、データの暗号化やアクセスログの管理など、重要な機能の実装状況も確認が必要です。セキュリティサービスを利用することで、企業のネットワークのセキュリティをより強固にすることが可能になります。

クラウドサービスの利用はセキュリティにも注目しよう

ISMAPは、クラウドサービスのセキュリティ評価を標準化し、安全なクラウド利用を促進する重要な制度です。しかし、ISMAP登録サービスを利用するだけでセキュリティが完全に確保されるわけではありません。

企業は、ISMAPを活用しつつも、自社の責任でセキュリティ対策を講じる必要があります。適切なアクセス制御、セキュリティ設定の最適化、追加のセキュリティサービスの活用など、総合的なアプローチが求められます。

もし現在、セキュリティサービスを探しているのなら、「漏洩チェッカー」がおすすめです。IT資産管理・ログ管理が行えるクラウド型のサービスで、必要な機能のみを選択して導入できるため、求められるセキュリティレベルや項目に応じて適切な管理を行うことができます。

詳しい情報は、以下のページでチェックしてみてください。

漏洩チェッカーについてもっと詳しく知りたい方はこちら