認証とは違う？ISMAPに登録するためにすべきことは？ | セキュマガ | LRM株式会社が発信する情報セキュリティの専門マガジン

日本語名称は、「政府情報システムのためのセキュリティ評価制度」です。英訳の（Information system Security Management and Assessment Program）を略した通称として当該制度のことをISMAPと呼びます。

ISMAP[いすまっぷ]
Information system Security Management and Assessment Program

ISMAPは、政府機関のクラウドサービス調達のセキュリティレベルを担保し、クラウドサービスの円滑な導入を行えるようにすることを目的とした制度です。具体的には、政府が求めるセキュリティ基準を満たしているクラウドサービスを予め評価・登録することで、セキュリティレベルの担保を行います。

ISMAPは何をもって完了となる？
1. 認証とは違う？
ISMAPに登録されるためにすべきこと
まとめ

ISMAPは何をもって完了となる？

ISMAPのゴールは、「ISMAPクラウドサービスリスト」に登録されることです。
そのために、「監査機関による監査」と「ISMAP運用支援機関(IPA)による登録審査」の2つに対応する必要があります。

認証とは違う？

同じようにクラウドサービスのセキュリティ認証の代表的なものとして「ISMSクラウドセキュリティ認証」という第三者認証が存在しています。ISMSクラウドセキュリティ認証はあくまでも、ISMS認証+ISO/IEC27017の管理策が適切に導入され、実施されていることを、第三者(認証機関)が審査するものであり、認証を取得していることが何かに直結するものではありません。
一方で、ISMAPの場合は、そもそも政府がセキュリティレベルの担保されたクラウドサービスを調達できるようにするための制度のため、登録が政府のクラウドサービス調達の選定対象という形で直結します。

ISMSクラウドセキュリティ認証: あくまでも各組織が判断を行うための材料のひとつ
ISMAP: 政府のクラウドサービス調達候補になる

代表的な違いとしては、ISMSクラウドセキュリティ認証はISMS-ACという組織が管理する仕組みであり、国の制度などが背景にあるものではありません。
一方ISMAPは国の制度に基づき、ISMAP運営委員会という組織が管理を行っています。

その他の代表的な特徴は以下となります。

	ISMAP	ISMSクラウドセキュリティ認証
適用ルール	ISMAP管理基準	JIS Q(ISO/IEC) 27001,27002,27017
対外的信頼性	国際規格の管理策もカバーした仕組みを構築していることをアピールできる日本政府の求めるセキュリティ水準に対応していることをアピールできる	国際規格の管理策が適切に導入、実施されていることをアピールできる
その他の特徴	考慮する必要のある管理策の量が他の認証に比べて多い日政府機関のクラウドサービス調達候補になる	ISMS+JIS Q(ISO/IEC) 27017の管理策への対応でOK 政府機関のクラウドサービスの調達においては考慮されない

特徴にもある通り、今後政府機関にクラウドサービスを利用してもらうためにはISMAPに登録されていることが必須となります。

また、クラウドサービスに対して政府が示すセキュリティ水準であることから、地方自治体や民間企業などもセキュリティチェックに活用する可能性が高く、需要は増加傾向になることが想定されます。

ISMAPに登録されるためにすべきこと

ISMAP登録のためには大きく4つのステップが存在します。

ISMAP管理基準に則したルールの作成

ISMSやISMSクラウドセキュリティ認証でも「規格」に基づいて仕組みを作っていくことになりますが、ISMAPも同様であり、その規格が「ISMAP管理基準」にあたります。

ISMAP管理基準は1000を超える項目が存在しており、その一つ一つについて「自組織で対応の実現可能性があるのか」「具体的にどのようなルールにするのか」といったことを検討していくこととなります。

作成したルールに則り運用する

ISMAP管理基準に則したルールを作成したとしても、運用が行われていなければ意味がありません。また、対応できていないことがあれば監査機関による監査時に発見事項として指摘されてしまう可能性もあるため適切かつ確実に運用を行うことが求められます。

運用時に必要な対応事項としては、PCや情報の取扱いといったちょっとしたセキュリティ対策から、場合によっては当該クラウドサービスの機能改修まで様々想定されます。

監査を受ける

ISMSやISMSクラウドセキュリティ認証など一般的な第三者認証であれば、自組織の仕組みを認証機関に審査してもらうことで認証に直結しますが、ISMAPの場合、登録の前に特定の監査機関による「監査」が必要です。
監査では、ISMAP管理基準や組織の状況を示した言明書などをもとに、対象クラウドサービス事業者のセキュリティ対策の状況について証跡の確認などが行われます。

ISMAP運用支援機関(IPA)への登録申請

監査を受け改善計画書なども対応すると、いよいよ登録の申請ができます。登録申請ではIPAに対して、言明書や監査の実施結果報告書、改善計画書など必要な書類を提出します。そしてIPAは申請を受理すると、実施結果報告書の内容などを基に登録の是非に関する見解をISMAP運営委員会に報告します。報告内容を基にISMAP運営委員会が登録を決定すると、IPAがISMAPクラウドサービスリストに登録を行い、ISMAP登録サービスとして認められることになります。

まとめ

ISMAPは正式な国の制度でもあることから、他の第三者認証に比べ多くの対応事項が発生し、監査などに対応する必要があります。
一方で、ISMAPに対応していくことで、クラウドサービスに求められる情報セキュリティの対策に対応することができ、政府機関が利用するクラウドサービスに選定される可能性もあります。