ISMAPとはInformation system Security Management and Assessment Programの略で、政府のセキュリティ要件を満たしているクラウドサービスをあらかじめ評価・登録することにより、セキュリティ水準を確保したクラウドサービスの効率的な調達を目指しています。

本制度は、政府機関にクラウドサービスをすでに提供しているCSPやこれから政府機関にも販路を広げたいCSPを対象とし、米国が先行して策定した“FedRAMP” （ 米国政府機関におけるクラウドセキュリティ認証制度）の日本版と言えます。

ISMAPによってもたらされるメリットは大きく2点考えられます。

１点目は官民のクラウドサービス利用において、一定水準以上のセキュリティ対策が実装されたサービスを導入できること、2点目はクラウドサービス導入において、手間を削減できることです。これまで各組織は、いくつもの方針やガイドラインを参考に独自の評価基準を作成し、評価していたからです。

ISMAP管理基準はいくつかのガイドラインを参照、組み合わせて構成されています。
具体的にはJIS Q(ISO/IEC)27001、27002、27014、27017などのISO27000シリーズや「政府機関等の情報セキュリティ対策のための統一基準群(平成30年度版)」および「NIST　SP800-53 rev.4」等です。

管理基準は 「ガバナンス基準」「マネジメント基準」「管理策基準」の３つで構成されており、「経営陣」「管理者」「実務実施者」でこれらに対応することを求めています。

ガバナンス基準

• 経営陣が実施すべき事項として、JIS Q（ISO/IEC）27014の内容をもとに再整理して定めています。
• 情報セキュリティ対策において、経営陣が主体となって取り組むことを求める内容となっています。

マネジメント基準

• 管理者が実施すべき事項として、情報セキュリティマネジメントの計画、実行、点検、処置、リスクコミュニケーションに必要な実施事項を定めており、ISO27001、27002、27017、NISCの統一基準、NISTのSP800-53を整理して定めています。
• 経営陣とコミュニケーションをとりながら、現場に指示を出すといった、情報セキュリティ対策を実際に進めるうえで必要なことが書かれています。

管理策基準

• 業務実施者が実施すべき事項として技術的かつ具体的なセキュリティコントロールを定めており、ISO27001、27002、27017、NISCの統一基準、NISTのSP800-53を整理して定めています。
• 情報セキュリティ対策を実施するうえで、現場が取り組むべき内容が書かれています。

ISMAP最大の特徴は1000項目を超える「管理策基準」です。管理策基準とはCSPがISMAP登録のために満たさなければならないルールや管理体制等がまとめられた、設問のことを指します。

この管理策基準の目的は2点あります。1点目は「ISMAP登録に向けて満たすべきセキュリティ対策を示すこと」、2点目は「その活用方法を示すこと」です。管理策基準を満たすことによって統一された管理体制が確立されます。外部監査人は管理策基準を前提に監査を行うことで効率的な監査が可能です。

管理策基準には以下3点の特徴があります。

1. 実施主体がCSPであることを考慮して策定されている
2. 政府において最も多く使われている情報の格付区分である「機密性２」の情報を扱うことを想定して策定されている
3. 論理的消去もデータの消去として認めている

尚、機密性2の情報とは機密性についての格付の定義のひとつであり、機密性の格付けは3つに分けられています。

機密性3：秘密文章に相当する機密性を要する情報、つまり「機密情報」のこと

機密性2：秘密文書に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報で、一般的に言う「社外秘」情報のこと

機密性1：機密性2情報または機密性3情報以外の情報のこと

表1は、「ガバナンス基準」「マネジメント基準」「管理策基準」のトピックを抜粋したものです。このトピックは「2桁管理策」にあたり、詳細になるにつれて、3桁で表現される管理策（3桁管理策）、4桁で表現される管理策（4桁管理策）となります。

管理基準の項目数は、ガバナンス基準が18問、マネジメント基準が85問、管理策基準が1195問となっており、管理策基準の設問数が多いことがわかります。

ガバナンス基準とマネジメント基準は原則、すべて満たす必要がありますが、管理策基準は、その詳細管理策まですべてを満たす必要はありません。

管理基準は3桁で表現される管理策が統制目標とされ、対応必須です。それを達成するための手段となる詳細管理策は4桁で表現され、一部を除いて選択式となっています。この選択は自社のクラウドサービスに照らし合わせて行います。

一例を挙げます。例えば、3桁管理策「11.2.5」では、「装置、情報又はソフトウェアは、事前の許可なしでは、構外に持ち出さない」とあります。これに対して、手段にあたる4桁管理策「11.2.5.1」は、「資産を構外に持ち出すことを許す権限をもつ従業員及び外部の利用者を特定し、承認する」となり、同様に「11.2.5.2」は「資産の持出し期限を設定し、また、返却がそのとおりであったか検証する」、「11.2.5.3」は「資産が構外に持ち出されていることを記録し、また、返却時に記録する」、「11.2.5.4」は「資産を扱う又は利用する者について、その識別情報、役割及び所属を文書化し、構外へ持ち出した装置、情報又はソフトウェアとともに返却させる」と続きます。

このように4桁管理策は、統制目標である3桁管理策へ対応するために実施する項目を具体的に示しています。

ISMAP登録のプロセスは大きく3つにわけることができます。

第1フェーズは外部監査を受ける前の準備段階です。「管理基準」の要件を自社のクラウドサービスが満たしているのかを精査し、適合していないところがあれば要件を満たすよう改善します。

第2フェーズは外部監査の実施です。ISMAPの監査機関リストに登録された監査機関に情報セキュリティ監査を依頼し、監査を受けます。実施項目は「整備状況評価」および「運用状況評価」です(ただし、2021年6月までに申請したCSPは「整備状況評価」のみとなります)。監査結果である「実施結果報告書」はISMAP登録申請の際、必要になります。

第3フェーズでは、CSPがISMAP運営委員会に「言明書」等の必要な書類を提出し審査を待ちます。ここで問題がなければ「ISMAPクラウドサービスリスト」への登録が認められます。

「ISMAPクラウドサービスリスト」はWebサイトで公開され、クラウドサービス名、登録日、登録の有効期限等が掲載されます。登録を継続するには、有効期限が切れる前に更新手続きをする必要があります。では、その有効期限ですが、「ISMAP登録において、提出する必要のある言明書に記載した外部監査機関による監査期間の末日の翌日から1年4ヶ月後まで」となっています。外部監査に3～4ヶ月かかるとすると、実質的に1年ごとの更新が必要となります。更新期間を過ぎた場合、登録は削除されてしまいますので、注意が必要です。

ISMAP登録にあたってのハードルは、やはり「管理策基準」の数ですが、既に取得している認証等を活用すれば、効率的に進めることができます。

ISMAPは前述の通り、JIS Q27001、27002、27017、27014、そしてSP800-53などを参考にして策定されているからです。ISMSの取得や、SOC２（米国公認会計士協会「AICPA」が定めた内部統制保証）、FISC（金融情報システムセンター）が発行している安全対策基準等、他のガイドラインに準拠している場合には、ISMAP管理基準と重複している部分があるため、効率化が期待できます。

今後、政府機関のクラウドサービス調達においては、ISMAPに登録されたサービスしか原則、選べないことになります。さらに民間企業による参照や活用も想定されているため、今後ISMAPはクラウドサービス選定の標準となることが予想されます。

セキュリティや管理体制について問われることが多くなった現状に鑑みれば、民間同士でもISMAPへの登録が取引の前提条件となる時代が来るかもしれません。

ISMAPは2020年6月に運用が開始され、2021年6月までは整備状況のみの監査で申請ができます。以降は運用状況の監査も必須となるため、運用実績を示すために整備状況監査後の1年間、監査を待つことになります。

そのため、既に政府機関向けのクラウドサービスを提供している場合は、早期な対応が必要となり、整備状況の監査のみで申請可能な2021年6月までの登録を目指すCSPが多くなると考えられます。

ISMAPへの登録には手間と労力がかかるもの、国から「お墨付き」を得た管理体制を対外的にアピールできることは効果的で、取り組むメリットは大きいでしょう。