広報資料「はじめてのISMAP-政府情報システムのためのセキュリティ評価制度の概要-」を公表 NISCほか
掲載:2024年05月20日
サイバー速報
目次
内閣サイバーセキュリティセンター(NISC)、デジタル庁、総務省、経済産業省は4月26日、「政府情報システムのためのセキュリティ評価制度(ISMAP=イスマップ)」の認知度と理解度の向上を図る目的で、ISMAP制度の基本的な枠組みなどを紹介するパンフレットを作成、公開しました。
ISMAPはセキュリティ要件を満たすクラウドサービスを評価・登録する制度であり、政府機関は原則としてISMAPに登録されているクラウドサービス(ISMAPクラウドサービスリスト)から調達します。政府による統一的なセキュリティティー基準であるため、クラウドサービスを調達する側は政府機関に限らず、リストを活用することで効率的に一定のセキュリティ水準を確保したクラウドサービスを検討できます。
2020年6月に運用が始まり、2021年3月から実際にリストにサービスが登録されて政府機関による利用が開始されました。2022年11月からはリスクの小さな業務・情報の処理に用いるSaaSサービスを対象にした「ISMAP-LIU」の運用も始まりました。こちらはリスト登録までの負担を軽減する狙いがあり、ISMAP-LIUに該当すると認められれば外部監査の管理策数は5分の1程度に縮小されると想定されています。
パンフレットは主にクラウドサービス事業者および情報システム調達者を対象としています。クラウドサービス事業者向けには制度を活用するメリットとしてセキュリティ要件への対応をまとめられること、政府から安全性について一定の評価を受けたことの証明になることを挙げています。リストに登録するにはISMAP管理基準に基づいて管理体制を整備した上で外部監査および審査を受ける必要があります。
一方、システム調達者向けには、第三者監査を受けたサービスを選べること、自社サービスの安全性確認の一部に活用できること、自社でのクラウドサービス利用に対外的な信頼感が得られることを活用メリットとして挙げています。
おすすめ記事
- ISMAP:政府情報システムのためのセキュリティ評価制度
- FedRAMP(米国政府機関におけるクラウドセキュリティ認証制度)
- ISO/IEC27017(CLS)― クラウドサービスのための情報セキュリティ管理策―
- NIST CSF 1.1版(重要インフラのサイバーセキュリティを改善させるためのフレームワーク)
- ISMAPの新制度「ISMAP-LIU」の運用を開始 NISCなど
- セキュリティリスクの小さい業務/情報処理に限ったSaaSを認定する「ISMAP-LIU」創設へ、意見公募を開始 NISCなど
- 「政府情報システムのためのセキュリティ評価制度(ISMAP)」の運用を開始 経産省・内閣官房・総務省
- 「政府情報システムのためのセキュリティ評価制度」の各種基準についてパブコメ開始 経産省・内閣官房・総務省
- 重点課題を整理、令和6年度の「デジタル社会の実現に向けた重点計画」を公表 デジタル庁
- 米・英・独・豪におけるクラウドサービス評価制度の実施状況調査結果を公開 IPA