いっしー@Webエンジニア
Webツールプログラミング言語プログラミング学習ITニュースIT用語辞典ポートフォリオ
Webエンジニア向けプログラミング解説動画をYouTubeで配信中!
▶ チャンネル登録はこちら

ISMAP(イスマップ)とは | 意味や読み方など丁寧でわかりやすい用語解説

ISMAP(イスマップ)の意味や読み方など、初心者にもわかりやすいように丁寧に解説しています。

作成日: 更新日:

読み方

日本語表記

ISMAP (アイエスエムエーピー)

英語表記

ISMAP (イスマップ)

用語解説

ISMAPとは、Information system Security Management and Assessment Programの略称であり、「イスマップ」と読む。日本語では「政府情報システムのためのセキュリティ評価制度」と称される。これは、日本政府が利用するクラウドサービスが、政府の定めるセキュリティ要求基準を満たしているかを評価し、安全なサービスとして登録するための制度である。この制度の目的は、政府機関が安心してクラウドサービスを導入できるようにすると同時に、クラウドサービスの利用を促進することにある。

現代の政府機関では、業務の効率化や国民向けサービスの向上を目指し、クラウドサービスの活用が推進されている。これは「クラウド・バイ・デフォルト原則」と呼ばれ、情報システムを導入する際には、クラウドサービスの利用を第一候補として検討するという方針である。しかし、政府が扱う情報には、国民の個人情報や行政の機密情報など、極めて重要で慎重な取り扱いが求められるものが多数含まれる。そのため、どのようなクラウドサービスでも無条件に利用できるわけではない。各政府機関が個別にクラウドサービスの安全性を評価するのは非効率であり、評価基準にばらつきが生じる可能性もある。そこで、統一された基準に基づき、専門家が事前にクラウドサービスのセキュリティ対策を評価し、その結果を公開する仕組みとしてISMAPが創設された。この制度により、政府機関はISMAPに登録されたクラウドサービス(ISMAPクラウドサービスリストに掲載されたサービス)の中から、調達するサービスを効率的かつ安心して選定することが可能となる。クラウドサービスを提供する事業者にとっては、ISMAPに登録されることが、自社のサービスが高いセキュリティ水準を満たしていることの公的な証明となり、政府機関への導入実績を築く上での重要な要素となる。

ISMAPの制度は、クラウドサービス事業者、監査機関、そして制度を運営する政府機関の三者によって成り立っている。まず、クラウドサービス事業者がISMAPへの登録を希望する場合、自社のサービスがISMAPの定めるセキュリティ基準を満たしていることを証明するための詳細な資料を作成し、制度運用主体に申請を行う。この基準は、組織の統制に関するガバナンス基準、セキュリティマネジメントに関するマネジメント基準、そして具体的な情報セキュリティ対策を定めた管理策基準の三階層で構成されており、合計で1000を超える要求項目が存在する。これらの基準は、情報セキュリティマネジメントシステムの国際規格であるISO/IEC 27001や、クラウドセキュリティの国際規格であるISO/IEC 27017などを基礎としつつ、政府独自の要求事項が追加された、非常に厳格なものである。

次に、事業者が提出した資料や、実際のサービスの運用状況が本当に基準を満たしているかを、第三者の立場である監査機関が客観的に評価する。この監査機関も、ISMAPの制度運用主体によってその能力を認められた組織でなければならない。監査機関は、事業者から提出された証拠資料を精査し、必要に応じてヒアリングや実地調査を行い、セキュリティ対策が適切に実施・運用されているかを確認する。そして、その評価結果をまとめた報告書を作成し、制度運用主体に提出する。

最後に、制度運用主体であるデジタル庁、総務省、経済産業省などが、監査機関からの報告書を審査する。審査の結果、セキュリティ基準を十分に満たしていると判断されたクラウドサービスが、「ISMAPクラウドサービスリスト」に登録される。このリストは一般に公開されており、誰でも閲覧することができる。一度登録されれば完了ではなく、事業者は年次で継続的に監査を受け、セキュリティ水準を維持していることを示し続ける必要がある。

また、ISMAPには「ISMAP-LIU(イスマップ・エルアイユー)」という仕組みも存在する。これはLow-Impact Useの略称であり、取り扱う情報の機密性、完全性、可用性への影響が比較的小さい、つまりセキュリティ上のリスクが低い業務や情報を扱うシステムを対象としたものである。通常のISMAPよりも要求される管理策の項目が少なく、手続きも簡素化されているため、中小規模の事業者でも登録を目指しやすくなっている。これにより、政府機関はより多様なクラウドサービスを選択できるようになる。

システムエンジニアを目指す者にとって、ISMAPの知識は、特に公共分野のシステム開発に携わる際に不可欠となる。政府関連のプロジェクトでは、ISMAPに登録されたクラウドサービスを基盤としてシステムを設計・構築することが前提となる場合が多い。そのため、ISMAPが要求するセキュリティ管理策を理解していることは、セキュアなインフラ設計やアプリケーション開発を行う上で極めて重要である。また、自社がクラウドサービスを提供している企業に就職した場合、ISMAPの認証取得や維持に関わる業務を担当する可能性もある。ISMAPは、日本のサイバーセキュリティを支える重要な制度であり、その仕組みと要求事項を理解しておくことは、これからのシステムエンジニアにとって必須の知識と言える。

関連コンテンツ

関連IT用語

関連ITニュース