多くの企業・組織に浸透しているクラウドファースト。

　政府も2018年に「クラウド・バイ・デフォルト原則」を掲げ、クラウド活用を推進・拡大しています。

　こうした背景から登場した制度が、クラウドを安全に利用するための「ISMAP」です。

　かくして現代では、ISMAPを理解・活用することは、政府機関のみならず、民間企業にとっても大きなメリットがあると言われるようになってきました。

　そこで本記事では、ISMAPの概要をはじめ、民間企業におけるメリットについて解説します。

▼ 目次
・ISMAPとは
・ISMAPが誕生した背景、経緯
・ISMAPの運用体制
・ISMAPの監査基準（管理基準）
・民間企業にとってのISMAPのメリット
・ハイブリッドクラウド、マルチクラウドの課題

1. ISMAPとは

　ISMAPは「Information system Security Management and Assessment Program」の略語であり、「イスマップ」と発音します。

　経済産業省・内閣官房・総務省が2020年6月に同時発表した内容によれば、この制度の概要は以下のとおりとなります。
　　（出典：経済産業省「政府情報システムのためのセキュリティ評価制度（ISMAP）」の運用を開始しました）

• 本制度は、情報セキュリティ監査の枠組みを活用した評価プロセスに基づいて、本制度で定められた基準に基づいたセキュリティ対策を実施していることが確認されたクラウドサービスを、本制度が公表するクラウドサービスリストに登録するものです
• 本制度における監査を行うことができる監査機関についても、あらかじめ本制度で定める監査機関に対する要求事項を満たすことが確認され、本制度が公表する監査機関リストに登録とするものとしています
• 本制度により、各政府機関等が、一定の情報セキュリティ対策の実施が確認されたクラウドサービスを効率的に調達することが可能となることが期待されます

　簡単に言ってしまえば、「政府のセキュリティ要件を満たしているクラウドサービスをリストアップし、各政府機関はこのリストの中からクラウドサービスを調達する」という制度です。

　かくして日本政府は2020年6月、「政府情報システムのためのセキュリティ評価制度（ISMAP）」の運用を開始しました。

　何故、このような制度が生まれることになったのでしょうか。

2. ISMAPが誕生した背景、経緯

　ISMAPが誕生した背景を紐解く上では、2018年にまで遡る必要があります。

　当時の日本政府はクラウドサービスの活用に、それほど前向きではありませんでした。

　しかし2018年7月、「政府情報システムにおけるクラウドサービスの利用に係る基本方針」が定められ、政府の情報システムではクラウドサービスを第一候補として検討するという、「クラウド・バイ・デフォルト原則」が掲げられることになったのです。

　ここで大きな課題になったのが、各政府機関が採用するクラウドサービスの安全性を、どのように担保するかでした。

　これと同じ時期に、政府はサイバーセキュリティに関しても積極的な検討を進めており、2018年7月に閣議決定した「サイバーセキュリティ戦略」においても、クラウドサービスの安全性評価に関する検討の必要性が盛り込まれていました。

　しかし、各政府機関が個別にクラウドサービスの安全性を評価することは、下記に挙げる理由から決して好ましい状況だとは言えません。

• セキュリティに関する専門知識を持つスタッフを用意する必要がある
• 評価作業に時間がかかる上、非効率
• 調達担当者毎に判断基準にばらつきが生じる危険性がある

　このような状態を放置しておけば、クラウド化が遅れてしまうことにもなりかねません。

　そこで経済産業省と総務省が事務局となり、「クラウドサービスの安全性評価に関する検討会」を開催。2020年1月にはパブリックコメントを経た、とりまとめが行われました。

　これらの結果などを踏まえ、サイバーセキュリティ戦略本部は「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」を策定。

　その中に盛り込まれた基本的枠組みを受けて発足したのがISMAPなのです。

3. ISMAPの運用体制

　ISMAPは内閣官房内閣サイバーセキュリティセンター（NISC）、デジタル庁、総務省、経済産業省が所管し、これらの所管省庁と有識者で構成された「ISMAP運営委員会」によって運営されています。

　事務局はNISCに置かれており、委員の任期は2年以内と定められています。

　ISMAP運営委員会は、以下を含む規定等を定める他、「ISMAP監査機関リスト」への監査機関の登録や、「ISMAPクラウドサービスリスト」へのクラウドサービス事業者の登録などを行います。

• クラウドサービス登録申請者に対する要求事項
• 情報セキュリティ管理・運用の基準となる管理基準
• 監査機関登録申請者に対する要求事項

　また、ISMAP運用支援機関として独立行政法人情報処理推進機構（IPA）が参画しており、運用実務と評価に関する技術的支援を行っています。

　ISMAPの「ISMAPクラウドサービスリスト」への登録を望むクラウドサービス事業者は、上記の「ISMAP監査機関リスト」に登録された監査機関に監査を依頼し、管理基準に基づいた情報セキュリティ対策の実施状況について、監査基準等に基づき監査を受けることになります。

　その後、IPAに対してサービス登録申請を行い、その申請を受けてISMAP運営委員会が要求事項への適合状況を審査した上で、登録が妥当と判断した場合にISMAPクラウドサービスリストへの登録が行われます。

　登録可否の判断までの期間は、登録申請が受理されてから6か月以内とされています。

　各政府機関（調達省庁）によるクラウドサービスの調達は、この「ISMAPクラウドサービスリスト」に掲載されているクラウドサービスの中から行うことが原則となっています。

　これによって、調達毎に安全性を評価することなく、安全性を担保した状態でクラウドサービスを活用できるようになります。

4. ISMAPの監査基準（管理基準）

　「ISMAPクラウドサービスリスト」に登録されるために実施すべきセキュリティ対策は、「ISMAP管理基準（https://www.soumu.go.jp/main_content/000819995.pdf）」で定められています。

　ISMAP監査機関が監査を行う場合も、この管理基準を用いることになります。

　尚、ISMAP管理基準は、国際規格に基づいた規格（JIS Q 27001:2014、JIS Q 27002:2014、JIS Q 27017:2016）に準拠して編成された「クラウド情報セキュリティ管理基準(平成28年度版)」を基礎として作成されています。

　また、管理基準の全体構成は、下記より成り立っています。

• 経営者が実施すべき「ガバナンス基準」（18項目)
• 管理者が実施すべき「マネジメント基準」（85項目）
• 個別のセキュリティ対策につながる「管理策基準」（1,195項目）

　なお、ISMAP管理基準とISMAP管理基準マニュアルは一般公開されておらず、以下の2つのJIS規格を購入した場合にのみ閲覧可能です。

• JIS Q 27014:2015 (ISO/IEC 27014:2013)
• JIS Q 27017:2016 (ISO/IEC 27017:2015)

5. 民間企業にとってのISMAPのメリット

　ISMAPの最大のメリットは、前述のように各政府機関が個別に安全性を評価することなく、安全性を担保した状態でクラウドサービスを活用できるようになることにあります。

　しかし、ISMAPのメリットを享受できるのは、政府機関だけではありません。実は民間企業にとっても、メリットが大きいのです。

• ユーザー企業にとってのメリット
• クラウドサービス事業者にとってのメリット

5-1. ユーザー企業にとってのメリット

　「ISMAPクラウドサービスリスト」に登録されたサービスを選択することで、一定のセキュリティ基準が満たされていることが保証されます。

　情報システム部門の調達担当者は、自社固有の要件に合致しているか否かだけを確認すればよくなるため、調達に係る作業負担が大幅に軽減されます。

　また選定対象となる候補サービスを限定できることも、負荷軽減に貢献します。

　クラウドサービスの選定負荷が軽減すれば、クラウドシフトを推進しやすくなり、その上で本来行うべきDXへの取り組みも加速しやすくなります。

5-2. クラウドサービス事業者にとってのメリット

　多くのクラウドサービス事業者は様々なセキュリティ対策を施し、サービスの安全性を担保しています。

　しかしセキュリティや安全性の高さを証明することは、決して簡単ではありません。

　「ISMAPクラウドサービスリスト」への登録は、この問題を解決します。

　政府機関をはじめとする第三者から客観的に審査されることで、安全性の高さを客観的に示すことが可能になるからです。

　これによってサービスの信頼性が高まり、ビジネスチャンスにつなげることも可能になります。

6. ハイブリッドクラウド、マルチクラウドの課題

　このようにISMAPは、クラウドサービスの選定・調達において、大きなメリットをもたらす制度だと言えます。

　複数のクラウドを組み合わせたマルチクラウド環境を構築・運用する上でも、客観的な評価基準によって安全性が担保されているクラウドサービスを選択することは、高い安心感につながります。

　しかしマルチクラウド/ハイブリッドクラウドの維持管理には、他にも以下のように様々な課題が存在します。

• クラウド基盤ごとバラバラな運用管理をどのようにして統一するのか。
• 複数のクラウド基盤を統合的に管理するためのツール選定や、その運用をどうするのか。
• クラウド運用スキルをもつ技術者をいかにして育成するのか。

　セキュリティや安全性の担保は、課題解決の第一歩にすぎないのです。

　これらの課題の解決策については、以下の記事で解説しています。こちらもぜひご参照ください。

まとめ

　本記事のポイントをまとめると以下のようになります。

• ISMAPとは「政府のセキュリティ要件を満たしているクラウドサービスをリストアップし、各政府機関はこのリストの中からクラウドサービスを調達する」という制度
• ISMAPが誕生した背景には、2018年に掲げられた「クラウド・バイ・デフォルト原則」と、同時期に閣議決定した「サイバーセキュリティ戦略」の存在がある
• ISMAPの運営はISMAP運営委員会が担っており、委員会が登録した監査機関によって監査を受けたクラウドサービス事業者が登録申請を行い、妥当だと評価された場合に「ISMAPクラウドサービスリスト」に登録される
• ISMAPの監査基準（管理基準）は「ガバナンス基準」「マネジメント基準」「管理策基準」で構成され、合計の項目数は1298項目に上る
• ISMAPは政府機関のクラウドサービス調達を簡略化する効果があるが、民間のユーザー企業にとっても同様のメリットがあり、クラウドサービス事業者にとっても信頼性をアピールできるという利点がある
• ISMAPによって安全性が担保されたクラウドサービスを選定しやすくなるが、マルチクラウド/ハイブリッドクラウドの構築・運用では他にもクリアすべき課題がある

　なお、ISMAPに関する情報発信は「ISMAPポータルサイト」にて行われています。ISMAPに関する一次情報を確認したい場合には、以下のURLをご参照ください。