ISMAP（イスマップ）とは？ クラウドサービスの選定負荷を軽減する評価制度を解説

ISMAPが制定された背景

クラウドサービスは、コスト削減やシステムの迅速な整備が可能な点などさまざまなメリットがある一方で、セキュリティリスクをクラウドサービス事業者に依存する部分が大きく、自社主導でセキュリティを担保するのが難しい側面があります。

かつては日本政府においても、セキュリティの確保や移行リスクへの漠然とした不安などから、クラウドサービスへの移行には非常に消極的でした。このような中、2018年6月に、政府情報システムの整備においてはクラウドサービスの利用を第一候補とするという「クラウド・バイ・デフォルト原則」が策定されました。

政府が調達する情報システムには、機密性の高い情報が含まれるため安全性が求められます。当時、クラウドサービスの安全性を評価・認定する統一した仕組みが存在していなかったことから、各政府機関がクラウドサービスを調達するたびにセキュリティ要件を個別に確認することが求められ、要件を設定する担当者にも高いリテラシーが必要となるなど、非効率な状態になっていました。

このような状況から「クラウド・バイ・デフォルト原則」を踏まえた政府情報システムの整備、クラウドサービスの安全性評価の検討が開始され、その具体策として生まれた制度がISMAPとなります。

ISMAP導入前後の工程比較

参考：内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省（政府情報システムのためのセキュリティ評価制度（ISMAP）について）をもとに作成

「ISMAPは信頼性が高い」とされる理由

ISMAPへの登録には、ISMAPが規定する管理基準を満たすことが求められます。管理基準を満たしているかどうかは、ISMAP監査機関リストに掲載されている監査機関（監査法人）からの評価とISMAP運営委員会の審査を通過する必要があります。

JIS規格や国際規格、統一基準を参照して策定されているISMAPの管理基準は、1,000を超える管理項目があり、原則全ての項目に対応している証跡が求められます。外部監査が必要な点や国際規格を取り入れていることから、ほかのクラウドセキュリティ認証制度と比べても、より厳格なセキュリティ水準になっていると言えます。

またISMAPは、一度取得した後も毎年更新のための監査を受けて合格しなければ認証を維持することができません。こうした仕組みをもって、ISMAPを取得したサービスの安全性・信頼性の高さを証明することが可能になっているのです。

ISMAPを取得したサービスのメリット

先述した通り、厳格に管理されているISMAPですが、登録されているクラウドサービスを提供する側（クラウドサービス事業者）と、システム調達者（サービス利用者）それぞれにどのようなメリットがあるのでしょうか。

サービスを提供する事業者側のメリット

クラウドサービス事業者にとって自社サービスの安全性を謳うことはできますが、その証明は決して容易ではありません。
しかし、ISMAPを取得することで、セキュリティ基準の厳格な要件をクリアし、政府機関をはじめとする第三者から客観的に審査されたことになるため、安全性・信頼性の高いサービスであることの証明ができます。

独立行政法人情報処理推進機構（以下、IPA）が2022年に行った「SaaSのセキュリティに関わる情報開示・情報利用の実態アンケート」によると、民間企業においてもISMAPを参照する割合が徐々に増えてきており、一定の認知とともに活用が進んできています。（以下図参照）

つまりISMAPへ登録されていることが優位に働き、クラウドサービス選定時に他社との差別化を図ることができるのです。

出典：IPA（情報セキュリティ白書2023）より抜粋

サービスを利用する側のメリット

政府のシステム調達者と同じように、民間企業の情報システム担当者もクラウドサービスの選定の際には自社のセキュリティ基準を満たすかを判断しなければなりません。ISMAPに登録されたクラウドサービスから選ぶことで、数ある候補のサービスからある程度絞って検討ができ、検討期間を短縮することが可能です。

また、一定のセキュリティ基準が保証されたサービスから選べるメリットがあります。その上で、自社固有の要件に合致しているか否かを確認すればよくなるため、調達負荷が軽減されます。

ISMAPを取得したソフトバンクのサービス

ソフトバンクもISMAPへの登録を積極的に実施しており、自社開発したサービスの中で、現在３つのクラウドサービスがISMAPに登録されています。

▶ニュースリリース：三つのクラウドサービスが政府情報システムのためのセキュリティ評価制度（ISMAP）に登録

PrimeDrive（プライムドライブ）

「PrimeDrive」はシンプルな操作、優れた管理機能、高セキュリティ、マルチデバイスに対応したソフトバンクが提供する法人向けオンラインストレージです。取引先とのファイル受け渡し、複数人やグループ間でのファイル共有などが簡単な操作で利用できます。もし、データ受け渡し時に誤送信が発生しても、いつでもダウンロードリンクを無効にできるため情報漏えいを未然に防止できます。多くの企業で廃止され始めているPPAP（パスワード付きzipファイルを添付したメール送信）対策としても活用がされています。

「PrimeDrive」はISMAP以外にも以下２種類の認証を取得しています。

• ISO27001ISO27001（情報セキュリティマネジメントシステム【ISMS】）
• ISO27017（ISMSクラウドセキュリティ認証）

サービスをみる

ビジネス・コンシェル デバイスマネジメント（BCDM）

「BCDM」は、複数のスマートフォン、PC、タブレット端末などのデバイスを一元管理できるMDMサービスです。基本的な利用者・デバイスの情報管理だけでなく、OSバージョン・パスワードなどのセキュリティポリシーの反映やアプリケーション管理などの一括設定が可能です。盗難や紛失時の遠隔消去・ロックなどのオプション機能も充実しており、マルチデバイスが当たり前となった現代には必須のセキュリティ対策といえます。

「BCDM」はISMAPに登録された唯一の純国産MDMサービスです（2023年4月時点）。安全性が担保された国産ならではのきめ細かなサポートを受けることができます。

サービスをみる

ホワイトクラウド ASPIRE（アスパイア）

「ホワイトクラウド ASPIRE」は、SLA99.999%を誇るソフトバンクの国産クラウドです。Webポータルからお好みのリソースサイズで仮想マシンを構築することができるほか、VMware基盤を採用しているため、オンプレミス（自社運用）との互換性・接続性が高く、移行しやすい特長があります。

また、「ホワイトクラウド ASPIRE」はソブリンクラウドであり、その特性・安全性の高さから、基幹システムをはじめとした重要システムのクラウド移行に適しているほか、BCP・DR対策を含む豊富なオプションメニューもご利用可能です。

「ホワイトクラウド ASPIRE」はISMAP以外にも以下５種類の認証を取得しています。

• ISO 9001（品質マネジメントシステム【QMS】）
• ISO 20000-1（ITサービスマネジメントシステム）
• ISO27001（情報セキュリティマネジメントシステム【ISMS】） 
• ISO27017（ISMSクラウドセキュリティ認証）
• 内部統制評価　SSAE18

サービスをみる

まとめ

ISMAPは運用開始から３年が経過し、政府機関がクラウドサービスを調達する際の大前提としてその認知が定着してきました。セキュリティ対策への不安を理由に自社でのクラウドサービス活用が進まない企業においても、導入の早期化に向けてISMAPを活用することで、ひとつの安心材料にできるのではないでしょうか。

関連セミナー・イベント