政府情報システムのためのセキュリティ評価制度(ISMAP)のポイント解説 第1回:ISMAPの概要
本稿では、政府情報システムのためのセキュリティ評価制度(ISMAP)の制度の概要や、制度導入の経緯などについて解説します。
政府情報システムのためのセキュリティ評価制度(ISMAP)の概要
2022-06-09
クラウドサービスの業務での利用が広がる中、クラウドサービスのセキュリティ対策を求める声やクラウドサービスの選定方法に関する質問が多く聞かれるようになりました。本コラムでは、こうした問題への解決策となることが期待される、政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program、ISMAP=イスマップ)について8回に分けて解説します。
ISMAPとは
ISMAPとは「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)」の略称です。政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価し登録を行うことによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図るとともに、クラウドサービスの円滑な導入を促進することを目的とした制度です。
日本におけるクラウドサービスの利用状況と課題
総務省が発表した「令和2年通信利用調査報告書(企業編)」によると、クラウドサービスを一部でも利用している企業の割合は68.5%であり、企業でのクラウドサービスの利用が進んでいます。一方で、「クラウドサービスの利用内訳」に目を向けてみると「ファイル保管・データ共有」(59.3%)、「電子メール」(50.2%)となっており、「受注販売」や「生産管理」等の業務の基幹となるシステムでの利用は限定的であり、日常の業務でファイル管理やコミュニケーションの一部にクラウドサービスを利用しているケースが大半のようです。
一方、「クラウドサービスを利用しない理由」としては「必要がない」(42.0%)が最も多く、次いで「情報漏洩などセキュリティに不安がある」(37.0%)となっており、セキュリティに対する漠然とした不安がクラウドサービスの積極的な導入を阻害する一つの要因となっていることが推測できます。
ISMAP導入の経緯
「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(2018年6月7日各府省情報化統括責任者(CIO)連絡会議決定)の一つとして、政府情報システムを整備する際にはクラウドサービスを第一候補とする「クラウド・バイ・デフォルト原則」が示されました。また、2018年6月15日に閣議決定された「未来投資戦略2018」では、クラウドサービスの多様化・高度化に伴い、官民双方が安全・安心・継続的にクラウドサービスを利活用していくために、諸外国の例も参考にしつつクラウドサービスの安全性評価について検討を行うことが宣言されています。さらに、「サイバーセキュリティ戦略」(2018年7月27日閣議決定)でも、政府全体としてもクラウドサービスの利活用を推進し、クラウドの安全性評価及び適切なセキュリティ水準の確保について方策を検討すると宣言されています。
一方、日本では、クラウドサービス事業者に求められる統一した管理体制やセキュリティ対策等は明確に決まっておらず、クラウドサービスを利用する場合は調達者が各クラウドサービス事業者の管理状況を確認する必要がありました。これは政府機関や官公庁においても同様で、クラウドサービス導入のコストが上昇する一因でもありました。このようなクラウドサービス導入におけるセキュリティ不安と調達コストに対する課題を解決するために策定されたのがISMAPです。
ISMAPは、2020年1月30日にサイバーセキュリティ戦略本部によって決定された「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」に基づき、内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省によって運営されています。また、独立行政法人情報処理推進機構(IPA)が、ISMAPの制度運用に関する実務および評価に関する技術的支援を行っています。
各国のクラウドサービス認定制度の状況
米国政府では「FedRAMP:Federal Risk and Authorization Management Program」をクラウドサービスに関するセキュリティ評価・認証に利用しています。この認証を取得していれば、米国連邦政府の省庁がクラウドサービスを採用する際に、独自の追加認証が不要になります。米国や欧州、アジア各国でもクラウドサービスのセキュリティ領域を評価する枠組みを利用し、クラウドサービスの導入を後押ししています。
おわりに
ISMAPで登録されたサービスの一覧である「ISMAP クラウドサービスリスト」は政府機関や官公庁のみならず民間企業でクラウドサービスを選定する際に利用することも想定されており、ISMAPはクラウドサービス導入における意思決定のスピードを上げ、セキュリティ不安の解消に役立つことが期待されます。そのため、クラウドサービス事業者にとっても、今後の国内クラウドサービス市場での競争においてISMAPへの登録可否が重要な要素となります。次回は、ISMAP登録(評価含む)と調達の関連性やISMAPクラウドサービス登録の流れを解説します。
