はじめに
こんにちは!ISMAP(イスマップ)取得プロジェクトメンバーの福島です。
皆さんは、「ISMAP」というセキュリティ認定制度をご存じでしょうか?
ソフトバンクでは2022年6月にビジネス・コンシェル デバイスマネジメント(BCDM)を含む3サービスがISMAPを取得致しました。
詳しくは以下のリンクへどうぞ。
※ソフトバンクお知らせ
三つのクラウドサービスが政府情報システムのためのセキュリティ評価制度(ISMAP)に登録
ISMAPの認定を取得することで、どのようなメリットなどがあるのか、ISMAPが策定された背景やどのような意味をもつのかをISMAP認定までのBCDMの取り組みについて、今回はご紹介致します。
【ISMAPはなんの略?】わかりやすくISMAPを解説します
ISMAPとは、内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省が運営している、政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)の頭文字を取った略称です。
明確な基準をクリアしていることで、わかりやすくクラウドサービスの選択ができるようになることがISMAPの1つの目的となります。安全なクラウド基準を満たしていることを国が定めるセキュリティ評価制度の認定を受けることで安心してクラウドのサービスをお客様がお選びいただくことができるのです。
では、なぜ「ISMAP」が施行され、運営が開始されたのでしょうか。
ISMAPの制度とCSP(3つの基準)
参考サイト:ISMAPポータルサイトに掲載のPDFより
ISMAPの管理基準はJIS規格(JIS Q 27001、JIS Q 27002、JIS Q 27014、JIS Q 27017)、政府機関などの情報セキュリティ対策のための統一基準、NIST SP800-53 rev.4を参照元として策定されています。
また、ISMAPはガバナンス基準、マネジメント基準、管理策基準の3つから構成されており、サービスに関する部分だけでの基準ではありません。会社全体に関わる部分も多く含むのです。
管理基準は、1,000項目以上あり、管理基準の内容を定めている社内規定やガイドラインを洗い出すとともに、それを実施している証跡が求められます。その証跡が監査機関によって確認されますので、サービスの実態に即した基準であるクラウドだと明白です。
政府から認定を受けたISMAP監査機関リストに登録されている監査機関(監査法人)へ依頼し、管理基準に基づいた情報セキュリティ対策の実施状況について、監査基準等に基づき監査を受けることになります。
他のクラウドセキュリティ認証制度は内部監査の結果を監査法人が審査する方式が多いため、ISMAP監査の方がより、お客様への透明性が高く監査基準も厳しいでしょう。
ISMAPを一度取得したら、永続的に保持できる仕組みではなく、毎年、監査を受け、合格することで維持ができる仕組みとなっています。 ISMAPの有効期限は、「監査対象期間の末日の翌日から1年4ヶ月後まで」となります。
出典:政府情報システムのためのセキュリティ評価制度(ISMAP)基本規程
更新期間が過ぎると登録が削除されてしまうので厳密に運営されています。
ISMAPの施行は「クラウドファーストという考えの広まり」から
2018年6月に、政府調達において、クラウドサービスの利用を第一候補として検討を行う方針「クラウド・バイ・デフォルト原則」が決定されました。政府情報システムにおけるクラウドサービスの利用に係る基本方針のことです。
これを機に内閣府はクラウド活用を推進し始めました。
ISMAPを取得したサービスを利用するメリット
ISMAPには、システム調達者(サービス利用者)のメリットと、クラウドサービス事業者(ISMAP登録企業)のメリットがそれぞれあります。
システム調達者(サービス利用者)にかかるメリットは、次の2つです。
- 一定の水準以上のサービスの導入ができる
- サービス選定にかかる負担の軽減
つまり、サービス選定の際に「ISMAP」を取得しているかどうかでサービスが選定しやすくなるということです。
一方で、登録企業にかかるメリットは次の通りです。
- ビジネスチャンスの拡大に期待できる
- セキュリティレベルの基準が明確になるので対応しやすくなる
- 第三者機関による監査で、厳密なクラウド運営の証拠となる
など、お客さまに対して自社の信頼性をアピールすることができる点でISMAPの取得はクラウド事業者側のビジネスチャンス拡大もありますが、政府のセキュリティ基準を満たしている堅牢なクラウドサービスといえます。
BCDMでISMAPを取得する意味
クラウドサービスを導入する際に管理者の多くがサービス選定基準について悩むのではないでしょうか。
そう思った際に選定条件に入れていただきたいのが「ISMAPを取得したサービスなのか」ということです。
政府の認定を得たサービスとなるため、ISMAPクラウドサービスリストからサービスを選定するだけで導入時の個別評価が不要になるのです。
ISMAPは、安全性を担保した状態でISMAPを取得していることが、官公庁の入札条件に入っているため、今後民間企業においても、ISMAPがクラウドサービスを選定する際の判断基準の一つになってきます。
また、客観的にセキュリティが保証された統一基準があることで、国内クラウドサービス業界全体の信頼性向上も兼ね備えることができるのです。
ISMAPを取得していない場合、官公庁のお客さまによっては継続して利用できなくなることが予想されます。
官公庁のお客さまが多いBCDMはISMAP取得で政府機関にも安心してご利用頂けるサービスとなりました。
先述したように、ISMAPは簡単に取得できるものではありません。
特に監査法人への証跡提出であっても個人情報保護の観点から提出できない部分が多く、その分時間も労力もかかります。
また、費用面も取得時だけではなく、更新時(毎年)にもかかってくるのです。高い基準である認定制度がゆえに、維持することに十分な備えが必要となります。
BCDMは、ISMAPのクラウドサービスリストに登録されたクラウドサービス事業者として、お客さまに安全・安心なサービスを提供し続けられるようにISMAP認定を引き続き、真摯に取り組んで参ります!
BCDMへのお申し込みはソフトバンクのSaaSポータルで!
政府からの「認定(ISMAP)」を得た、BCDMをぜひ始めてみませんか?
BCDMは コチラ からご購入いただけます。
BCDMの料金は以下の図をご参照ください!
次回は5月下旬更新です!どうぞお楽しみに!
