2021年から運用が開始される「ISMAP」というセキュリティ評価制度をご存知でしょうか。クラウドサービスが一般的になりつつある現在、セキュリティの安全性を客観的に証明する制度として注目を集めています。
今回の記事では、ISMAPとはそもそもどのような制度なのか、なぜISMAPの運用が開始されることとなったのか、具体的にどのような運用が行われるのかなど、それぞれの項目について詳しく解説していきましょう。
目次
「ISMAP」の概要と制定された経緯
「ISMAP(イスマップ)」とは「Information system Security Management and Assessment Program」の略称で、「政府情報システムのためのセキュリティ評価制度」ともよばれます。政府ではマイナンバーカードの普及やDXの推進など、デジタル技術の積極的な活用を推進しています。これを実現するためには、オンプレミス環境で動作する従来型の情報システムやサービスではなく、クラウド型のシステムが求められます。
2018年、政府は「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を定めましたが、この中で今後クラウドサービスを優先的に活用していく指針、いわゆる「クラウド・バイ・デフォルト原則」を打ち出しました。これにより、あらゆる行政サービスの利便性が向上するとともに、役所で働く職員の働き方改革や業務効率化にも貢献することが期待されています。
ISMAPはクラウドサービスの利用が拡大するなかで、安全性を担保するために設けられたセキュリティ評価制度です。今後政府や行政機関がクラウドサービスを導入する際には、ISMAPの審査を経て登録されたクラウドサービスであることが条件となります。
クラウド環境へ移行したときに発生する問題点
行政サービスがクラウド環境上で動作することに関して、とりわけメリットだけがフィーチャーされがちですが、当然のことながらデメリットや懸念点も生じます。なかでも大きい要素として挙げられるのが、セキュリティ上の課題です。
従来のオンプレミス環境では、システムを利用する範囲が限られていたため、たとえば庁内のネットワークなどに限定すればセキュリティ対策も講じやすいメリットがありました。しかし、クラウドサービスではインターネット環境さえあればどこでも利用できるほか、最近ではスマートフォンやタブレットなどでも動作するマルチデバイスのニーズが高まっています。
大手が提供しているクラウドサービスは、あらかじめセキュリティ対策が施されたものも多いですが、法人向けのサービスでは個別のニーズや要件に応じてシステム自体をカスタマイズするケースも多く、十分なセキュリティ要件がクリアできず安全性が担保できないケースもあるのです。
「自社の製品やサービスは安全です」といくらアピールしても、それがどのような基準をもとに安全と言っているのか分かりづらいものです。クラウドサービスの導入にあたって自社で完璧なセキュリティ対策を講じることも一つの手ですが、莫大なコストと時間を要し、中小企業にとっては実現が難しいケースも多いことでしょう。そして何より、莫大なコストや時間がかかるクラウドサービスは導入するメリットも半減してしまいます。
ISMAPの特徴
ISMAPはこれまでのセキュリティ評価制度や基準とは異なり、さまざまな特徴があります。その中でも特に重要なポイントを2点紹介しましょう。
クラウドサービスに特化したセキュリティ評価制度
クラウドサービスの導入が進む中、セキュリティの統一的な評価基準として生まれたのがISMAPです。そもそも、これまでも情報システムに関するセキュリティ評価制度や基準は存在していました。しかし、それらはいずれもクラウドサービスに特化したものではなかったのです。
オンプレミス型のシステムに求められるセキュリティ基準と、クラウド型のシステムに求められるセキュリティ基準が異なるように、クラウドサービスが主流になりつつある現在では新たなセキュリティ評価制度の創設が求められていました。
特に政府や行政機関がクラウドサービスを活用する際には、国家の機密情報など極めて秘匿性の高いデータを扱うため、セキュリティ基準が曖昧なままでは安全保障上の問題も生じます。そのような背景もあり、ISMAPはクラウドサービスに特化したセキュリティ評価制度として誕生しました。
民間企業における利用も想定
ISMAPで認定されたクラウドサービスは政府の情報システムとして利用することを想定してリスト化されますが、これは一般にも公開され、民間企業においても自由に活用できるよう運用される予定です。政府の情報システムとして利用している信頼性の高いシステムであれば、多くの企業で安心して活用できるため、わざわざ個別にセキュリティ要件を調査する手間も省けスムーズな導入が実現できるでしょう。
今後民間企業においてもクラウドサービスのシステム要件の中に「ISMAPに準拠」という項目が加わる可能性もあり、日本国内でクラウドサービスを導入する際の標準的な指標になっていくことも予想されます。
ISMAPの運用方法
クラウドサービスはISMAPの審査後、専用の登録簿である「クラウドサービスリスト」に登録されて初めて政府情報システムとしての選定候補となります。具体的な審査項目は公開されていませんが、評価の指標となる項目は1,000以上にも及び、厳しい審査であることが分かります。
ちなみに、ISMAPの審査をクリアしただけで確実に政府情報システムに採用されるとは限りません。あくまでも政府情報システムに求められるセキュリティ基準をクリアしたに過ぎないため、導入用途にマッチしたシステムがそこから検討されることになります。
また、最終的にクラウドサービスが選定される際には、複数の事業者からの入札が行われる点も、これまでの運用と共通する部分といえるでしょう。
クラウドサービス提供企業にとってもISMAPでビジネスチャンスは拡大する
ISMAPはクラウドサービスを利用する側の企業だけではなく、サービスを提供する側の企業にとってもメリットの大きい制度です。政府が認定したセキュリティ基準に則っているということは、いわば政府のお墨付きを得たサービスと考えることもできます。
自社で独自に信頼性を証明する手間もなく、ISMAPに準拠するだけで客観的なセキュリティレベルを証明できると、さまざまな面においてビジネスチャンスが拡大してくるものと期待できます。