政府機関のクラウド調達におけるセキュリティ担保:ISMAPとは

政府機関のクラウド調達におけるセキュリティ担保:ISMAPとは

セキュリティを高めたい

先生、「ISMAP」って、何ですか?なんだか難しそうな言葉なんですけど…

情報セキュリティ専門家

そうだね。「ISMAP」は「情報システムセキュリティマネジメント及び評価認定プログラム」の略で、政府が安全だと認めたクラウドサービスを一覧にしたものなんだよ。

セキュリティを高めたい

ふーん。なんで、そんな一覧表があるんですか?

情報セキュリティ専門家

昔は、それぞれの役所がバラバラにクラウドサービスの安全性を確かめていたんだけど、それだと大変だし、時間もかかるよね。そこで、政府がまとめて安全性を評価して、みんなが安心して使えるように、この制度を作ったんだよ。

ISMAPとは。

「情報システムセキュリティマネジメント及び評価プログラム」を略して「イスマップ」と呼びます。これは、国の機関が安全に情報システムを使えるようにするための取り組みです。具体的には、国が定めたセキュリティの基準を満たしているクラウドサービスを事前に評価してリストにまとめ、国の機関は原則としてそのリストに載っているサービスから選ぶようにします。

なぜこのような取り組みが必要になったかというと、以前はクラウドサービスを提供する会社によってセキュリティ対策がバラバラで、国の機関がそれぞれ個別に安全性を確認しなければなりませんでした。そこで、国全体として安全で信頼できるクラウドサービスの利用を進めるため、統一的なセキュリティ基準を設け、「情報システムセキュリティマネジメント及び評価プログラム」を作りました。

この取り組みは、国の情報セキュリティを担う機関や、情報通信技術を担当する機関などが共同で運営しており、情報処理の専門機関が技術的なサポートをしています。

国の機関は、クラウドサービスを選ぶ際には、原則としてこのプログラムで認められたサービスを選ぶことになっています。そのため、クラウドサービスを提供する会社を中心に、このプログラムへの対応が進んでいます。2021年3月12日には、既に10個のサービスがリストに掲載されました。

はじめに

はじめに

近年、多くの企業や組織で、業務の効率化や経費削減を目的として、情報をインターネット上のサービスを通じて管理・運用するクラウドサービスの導入が進んでいます。この流れは、行政機関においても例外ではありません。行政機関でも、クラウドサービスの活用によって、国民へのサービス向上や事務処理の簡素化などが期待されています。

しかし、クラウドサービスの利用には、重要な情報が外部のサーバーに保管されるという性質上、セキュリティの確保が極めて重要な課題となります。特に、国民の個人情報や国家機密など、特に重要な情報を扱う行政機関にとっては、セキュリティ対策は最優先事項と言えます。

そこで、行政機関が安心してクラウドサービスを利用できる環境を整備するために、セキュリティの評価・登録制度である「ISMAP(Information-technology Security Management and Assessment Program政府情報システムのためのセキュリティ評価制度)」が導入されました。ISMAPは、クラウドサービスを提供する事業者に対して、セキュリティに関する一定の基準を設け、その基準を満たしていることを評価・登録する制度です。

この制度によって、行政機関は、ISMAPに登録されたクラウドサービスを安心して利用できるようになり、国民にとっても、行政機関が取り扱う情報の安全性がより一層確保されることが期待されます。

項目 内容
背景 – 企業や組織でクラウドサービス導入が進む
– 行政機関でも効率化や国民へのサービス向上のためクラウドサービス活用が期待される
課題 – クラウドサービスは外部サーバーに情報を保管するためセキュリティ確保が重要
– 特に行政機関では、国民の個人情報や国家機密など重要情報の保護が最優先事項
対策 – セキュリティ評価・登録制度「ISMAP」の導入
– クラウドサービス事業者に対するセキュリティ基準を設定し、評価・登録を行う
効果 – 行政機関はISMAP登録サービスを安心して利用可能に
– 国民にとっても、行政機関が扱う情報の安全性が向上

ISMAPの概要

ISMAPの概要

– ISMAPの概要ISMAPは、「情報システム等セキュリティマネジメント及び評価プログラム」の略称で、政府機関が安全に利用できるクラウドサービスを明確にするための制度です。従来、政府機関がクラウドサービスを利用する際には、個別にセキュリティ対策の確認を行う必要があり、導入に時間を要するという課題がありました。そこで、政府が求めるセキュリティ要件を満たしているクラウドサービスを予め評価・登録することで、政府機関が安心して利用できるサービスを明確にする制度としてISMAPが導入されましたISMAPに登録されたクラウドサービスは、政府機関によるセキュリティ対策の確認が簡略化されるため、導入の迅速化が期待できます。また、政府機関は、ISMAPに登録されたサービスの中から、自組織のニーズに合ったサービスを選択することができます。ISMAPは、政府機関のクラウドサービス利用を促進し、デジタル化を推進するための重要な制度と言えるでしょう。

項目 内容
正式名称 情報システム等セキュリティマネジメント及び評価プログラム
目的 政府機関が安全に利用できるクラウドサービスを明確にする
背景 政府機関がクラウドサービスを利用する際に、個別にセキュリティ対策の確認に時間が必要だった。
導入メリット
  • 政府機関によるセキュリティ対策確認の簡略化による導入の迅速化
  • 組織のニーズに合ったサービスを選択可能
  • 政府機関のクラウドサービス利用促進、デジタル化推進

ISMAP導入の背景

ISMAP導入の背景

– ISMAP導入の背景従来、行政機関が利用するクラウドサービスは、それぞれ異なるセキュリティ対策を求められていました。サービスを提供する事業者ごとに、行政機関が個別にセキュリティ対策の内容を確認する必要があったのです。しかし、このような状況は、行政機関に大きな負担を強いるだけでなく、サービスごとにセキュリティ水準にばらつきが生じる可能性も孕んでいました。そこで、クラウドサービスのセキュリティ対策を効率的かつ効果的に評価できる統一的な仕組みが必要とされるようになりました。この問題意識のもと、誕生したのがISMAP(Information-technology Security Management and Assessment Program情報システムセキュリティマネジメント及び評価プログラム)です。ISMAPは、クラウドサービスを含む情報システムのセキュリティ対策について、共通の基準に基づいて評価を行うためのプログラムです。ISMAPの導入により、行政機関は、サービス事業者が取得したISMAPの評価結果を参照することで、個別にセキュリティ対策を確認する必要がなくなり、業務負担を軽減することができます。また、共通の基準で評価を行うことで、クラウドサービス全体のセキュリティ水準の向上も期待できます。ISMAPは、行政機関とサービス事業者の双方にとって、より安全で信頼性の高い情報システムの構築に貢献するものと言えるでしょう。

ISMAP導入前 ISMAP導入後
行政機関がクラウドサービスごとに個別にセキュリティ対策の内容を確認する必要があった。 行政機関は、サービス事業者が取得したISMAPの評価結果を参照することで、個別にセキュリティ対策を確認する必要がなくなり、業務負担を軽減できる。
サービスごとにセキュリティ水準にばらつきが生じる可能性があった。 共通の基準で評価を行うことで、クラウドサービス全体のセキュリティ水準の向上が期待できる。

ISMAPの目的

ISMAPの目的

– ISMAPの目的

近年、政府機関においても業務の効率化やコスト削減のためにクラウドサービスの利用が急速に拡大しています。しかし、クラウドサービスは外部の事業者にシステムやデータを預けるため、セキュリティ対策が非常に重要となります。そこで、政府機関が安心してクラウドサービスを利用できるよう、セキュリティの基準となるのがISMAP(Information-system Security Management and Assessment Program情報システム等セキュリティ評価制度)です。

ISMAPの目的は、政府機関がクラウドサービスを調達する際に、セキュリティ水準を一定以上に保つことです。具体的には、クラウドサービス事業者が ISMAP に基づいて自社のセキュリティ対策を自己評価し、その結果を「自己評価書」として提出します。それを受け、評価機関が「自己評価書」の内容に基づいて、実際にセキュリティ対策が適切に実施されているかを現地調査などで確認します。そして、評価機関が ISMAP の基準を満たしていると判断した場合、そのクラウドサービスは ISMAP の「登録簿」に掲載されます。

政府機関は、この「登録簿」に掲載されたサービスを優先的に調達することで、個別にセキュリティの評価を行うことなく、安心してクラウドサービスを導入することができます。

ISMAPの導入により、政府機関はセキュリティの不安を解消できるだけでなく、クラウドサービス導入の迅速化も期待できます。また、政府全体のセキュリティレベルの向上にもつながることが期待されています。

項目 内容
ISMAPの目的 政府機関がクラウドサービスを調達する際に、セキュリティ水準を一定以上に保つこと
ISMAPの仕組み
  • クラウドサービス事業者が ISMAP に基づいて自社のセキュリティ対策を自己評価し、「自己評価書」として提出
  • 評価機関が「自己評価書」の内容に基づいて、実際にセキュリティ対策が適切に実施されているかを現地調査などで確認
  • 評価機関が ISMAP の基準を満たしていると判断した場合、そのクラウドサービスは ISMAP の「登録簿」に掲載
ISMAP導入によるメリット
  • 政府機関はセキュリティの不安を解消できる
  • クラウドサービス導入の迅速化
  • 政府全体のセキュリティレベルの向上

ISMAPの運営体制

ISMAPの運営体制

– ISMAPの運営体制ISMAPは、日本の行政機関や重要インフラ事業者などにおけるセキュリティ対策の強化を目的とした制度であり、その運営には複数の政府機関が関わっています。中心となるのは、内閣官房に設置されている内閣サイバーセキュリティセンター(NISC)です。NISCは、日本のサイバーセキュリティ戦略の策定や関係機関との調整、国民への情報提供など、幅広い役割を担っています。ISMAPにおいては、制度全体の統括や政策の方向性の決定などを担います。また、情報通信技術(IT)分野の政策を担う総務省と、産業政策を担う経済産業省も、ISMAPの運営に深く関わっています。それぞれの省が持つ専門知識や情報網を活用し、ISMAPの円滑な運用を支えています。さらに、独立行政法人情報処理推進機構(IPA)は、技術的な観点からISMAPを支えています。IPAは、情報セキュリティに関する調査研究や技術開発、人材育成などを行う機関です。ISMAPにおいては、制度の運用や評価に関する技術支援、セキュリティ対策に関する情報提供などを行っています。IPAは、ISMAPクラウドサービスリストを公開しており、これはISMAPの制度に準拠しているクラウドサービスを一覧にしたものです。政府機関や民間企業は、このリストを参照することで、安全性が認められたクラウドサービスを容易に選ぶことができます。このように、ISMAPは複数の政府機関が連携して運営することで、その目的を達成しようとしています。関係機関の協力体制は、日本のサイバーセキュリティを強化していく上で重要な要素と言えるでしょう。

機関名 役割
内閣サイバーセキュリティセンター(NISC) ・制度全体の統括
・政策の方向性の決定
・日本のサイバーセキュリティ戦略の策定
・関係機関との調整
・国民への情報提供
総務省 ・IT分野の政策を通じたISMAPの円滑な運用支援
経済産業省 ・産業政策を通じたISMAPの円滑な運用支援
独立行政法人情報処理推進機構(IPA) ・制度の運用や評価に関する技術支援
・セキュリティ対策に関する情報提供
・ISMAPクラウドサービスリストの公開

ISMAPの普及状況

ISMAPの普及状況

– ISMAPの普及状況

情報システムの安全対策に関する第三者認証制度であるISMAPは、クラウドサービスの安全性を客観的に評価し、利用者からの信頼を高めることを目的としています。2019年の制度開始以来、多くのクラウドサービス事業者がISMAPの取得に取り組んでおり、普及が進んでいます。

独立行政法人情報処理推進機構(IPA)が公開している「ISMAPクラウドサービスリスト」には、2021年3月12日時点で10サービスが掲載されています。このリストは、政府機関がクラウドサービスを調達する際の基準となっており、掲載されたサービスは一定水準以上のセキュリティ対策を講じていると認められています。

政府機関によるクラウドサービスの利用促進を目的とした「政府情報システムにおけるクラウドサービスの利用に係る基本方針」では、原則としてISMAPクラウドサービスリストに掲載されたサービスから調達することとされています。そのため、クラウドサービス事業者は、政府機関との取引拡大や、企業としての信頼性向上を目指し、ISMAPへの対応と取得を積極的に進めています。

ISMAPの取得は、クラウドサービスの利用者にとっても大きなメリットがあります。ISMAPを取得したサービスを利用することで、セキュリティリスクを低減し、安心してシステムを運用することができます。

今後、ISMAPはますます普及し、クラウドサービスにおけるセキュリティの標準的な認証制度として定着していくと予想されます。

項目 内容
ISMAPの目的 クラウドサービスの安全性を客観的に評価し、利用者からの信頼を高める
ISMAP普及状況 2019年の制度開始以来、多くのクラウドサービス事業者が取得に取り組んでおり、普及が進んでいます。2021年3月12日時点で10サービスが「ISMAPクラウドサービスリスト」に掲載。
ISMAPクラウドサービスリスト IPAが公開しているリスト。政府機関がクラウドサービスを調達する際の基準となり、掲載されたサービスは一定水準以上のセキュリティ対策を講じていると認められています。
政府機関による利用促進 「政府情報システムにおけるクラウドサービスの利用に係る基本方針」では、原則としてISMAPクラウドサービスリストに掲載されたサービスから調達することとされています。
ISMAP取得のメリット クラウドサービス事業者:政府機関との取引拡大や、企業としての信頼性向上
利用者:セキュリティリスクを低減し、安心してシステムを運用
今後の展望 ISMAPはますます普及し、クラウドサービスにおけるセキュリティの標準的な認証制度として定着していくと予想されます。