フォーム読み込み中
企業のクラウド利用が拡大する中、情報システム担当者はさまざまなセキュリティ要件を考慮した上でクラウドサービスの選定を行う必要があります。そのような中、政府情報システムにクラウドサービスを導入する際のセキュリティ評価制度として「ISMAP(イスマップ)」が制定されました。これは、政府機関はもちろんのこと民間企業でも、信頼性の高いサービスを選ぶ際の指標として利用できるようになりました。そこで、本ブログではISMAPの概要や取得したサービスを選択するメリットをご紹介します。
ISMAP(Information system Security Management and Assessment Program:イスマップ)とは、政府が導入しているクラウドサービスのセキュリティ評価・登録制度です。ISMAPに登録されていれば、政府が求めるセキュリティ要件を満たしているクラウドサービスであることの証明となるため、セキュリティ水準の確保や円滑なサービスの導入を進める上での指標として利用することが可能です。
ISMAPに登録されたクラウドサービスは「ISMAPクラウドサービスリスト」として公式サイトに公開されており、政府のシステム調達に限らず、民間企業でも制度を活用することで、安全性の高いクラウドサービスを選択できるようになります。
クラウドサービスは、コスト削減やシステムの迅速な整備が可能な点などさまざまなメリットがある一方で、セキュリティリスクをクラウドサービス事業者に依存する部分が大きく、自社主導でセキュリティを担保するのが難しい側面があります。
かつては日本政府においても、セキュリティの確保や移行リスクへの漠然とした不安などから、クラウドサービスへの移行には非常に消極的でした。このような中、2018年6月に、政府情報システムの整備においてはクラウドサービスの利用を第一候補とするという「クラウド・バイ・デフォルト原則」が策定されました。
政府が調達する情報システムには、機密性の高い情報が含まれるため安全性が求められます。当時、クラウドサービスの安全性を評価・認定する統一した仕組みが存在していなかったことから、各政府機関がクラウドサービスを調達するたびにセキュリティ要件を個別に確認することが求められ、要件を設定する担当者にも高いリテラシーが必要となるなど、非効率な状態になっていました。
このような状況から「クラウド・バイ・デフォルト原則」を踏まえた政府情報システムの整備、クラウドサービスの安全性評価の検討が開始され、その具体策として生まれた制度がISMAPとなります。
ISMAP導入前後の工程比較
参考:内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省(政府情報システムのためのセキュリティ評価制度(ISMAP)について)をもとに作成
ISMAPへの登録には、ISMAPが規定する管理基準を満たすことが求められます。管理基準を満たしているかどうかは、ISMAP監査機関リストに掲載されている監査機関(監査法人)からの評価とISMAP運営委員会の審査を通過する必要があります。
JIS規格や国際規格、統一基準を参照して策定されているISMAPの管理基準は、1,000を超える管理項目があり、原則全ての項目に対応している証跡が求められます。外部監査が必要な点や国際規格を取り入れていることから、ほかのクラウドセキュリティ認証制度と比べても、より厳格なセキュリティ水準になっていると言えます。
またISMAPは、一度取得した後も毎年更新のための監査を受けて合格しなければ認証を維持することができません。こうした仕組みをもって、ISMAPを取得したサービスの安全性・信頼性の高さを証明することが可能になっているのです。
先述した通り、厳格に管理されているISMAPですが、登録されているクラウドサービスを提供する側(クラウドサービス事業者)と、システム調達者(サービス利用者)それぞれにどのようなメリットがあるのでしょうか。
クラウドサービス事業者にとって自社サービスの安全性を謳うことはできますが、その証明は決して容易ではありません。
しかし、ISMAPを取得することで、セキュリティ基準の厳格な要件をクリアし、政府機関をはじめとする第三者から客観的に審査されたことになるため、安全性・信頼性の高いサービスであることの証明ができます。
独立行政法人情報処理推進機構(以下、IPA)が2022年に行った「SaaSのセキュリティに関わる情報開示・情報利用の実態アンケート」によると、民間企業においてもISMAPを参照する割合が徐々に増えてきており、一定の認知とともに活用が進んできています。(以下図参照)
つまりISMAPへ登録されていることが優位に働き、クラウドサービス選定時に他社との差別化を図ることができるのです。
出典:IPA(情報セキュリティ白書2023)より抜粋
政府のシステム調達者と同じように、民間企業の情報システム担当者もクラウドサービスの選定の際には自社のセキュリティ基準を満たすかを判断しなければなりません。ISMAPに登録されたクラウドサービスから選ぶことで、数ある候補のサービスからある程度絞って検討ができ、検討期間を短縮することが可能です。
また、一定のセキュリティ基準が保証されたサービスから選べるメリットがあります。その上で、自社固有の要件に合致しているか否かを確認すればよくなるため、調達負荷が軽減されます。
ソフトバンクもISMAPへの登録を積極的に実施しており、自社開発したサービスの中で、現在3つのクラウドサービスがISMAPに登録されています。
▶ニュースリリース:三つのクラウドサービスが政府情報システムのためのセキュリティ評価制度(ISMAP)に登録
「PrimeDrive」はシンプルな操作、優れた管理機能、高セキュリティ、マルチデバイスに対応したソフトバンクが提供する法人向けオンラインストレージです。取引先とのファイル受け渡し、複数人やグループ間でのファイル共有などが簡単な操作で利用できます。もし、データ受け渡し時に誤送信が発生しても、いつでもダウンロードリンクを無効にできるため情報漏えいを未然に防止できます。多くの企業で廃止され始めているPPAP(パスワード付きzipファイルを添付したメール送信)対策としても活用がされています。
「PrimeDrive」はISMAP以外にも以下2種類の認証を取得しています。
「ホワイトクラウド ASPIRE」は、SLA99.999%を誇るソフトバンクの国産クラウドです。Webポータルからお好みのリソースサイズで仮想マシンを構築することができるほか、VMware基盤を採用しているため、オンプレミス(自社運用)との互換性・接続性が高く、移行しやすい特長があります。
また、「ホワイトクラウド ASPIRE」はソブリンクラウドであり、その特性・安全性の高さから、基幹システムをはじめとした重要システムのクラウド移行に適しているほか、BCP・DR対策を含む豊富なオプションメニューもご利用可能です。
「ホワイトクラウド ASPIRE」はISMAP以外にも以下5種類の認証を取得しています。
その他、ISMAP取得済みの下記サービスも取り扱っています。
「Cybereason」はエンドポイントのログを収集し、侵入したマルウェアのサイバー攻撃の兆候をリアルタイムに検知するクラウド型のデータ解析プラットフォームでお客さまのデータを守ります。「Cybereason」のエンドポイントセキュリティは、EDR機能を活用して効率よく防御でき、万が一侵入されてしまった後は攻撃者のわずかな兆候でも検知・対応することができます。
「Cybereason」はISMAP以外にも以下の認証を取得しています。
ISMAPは運用開始から3年が経過し、政府機関がクラウドサービスを調達する際の大前提としてその認知が定着してきました。セキュリティ対策への不安を理由に自社でのクラウドサービス活用が進まない企業においても、導入の早期化に向けてISMAPを活用することで、ひとつの安心材料にできるのではないでしょうか。
条件に該当するページがございません
条件に該当するページがございません
条件に該当するページがございません
条件に該当するページがございません
条件に該当するページがございません