ISMAP(イスマップ)とは
ISMAP(イスマップ)とは、昨年、内閣官房(内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室)・総務省・経済産業省が所管して発足し運用が開始された「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program。以下、「本制度」という。)の略称です。
既に「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(平成30年6月7日 各府省情報化統括責任者(CIO)連絡会議決定)により、政府情報システムの検討においてはクラウドサービスの利用が基本となっておりますが、本制度発足後は、政府調達の対象となるクラウドサービスは、第三者の監査を経て本制度が公表する「クラウドサービスリスト」に登録されたものに限定されることになる見通しです(経産省ホームページ、IPAホームページ)。
本制度で情報セキュリティ監査を行うことが認められる監査機関として認定
あずさ監査法人は、本制度で情報セキュリティ監査を行うことが認められる監査機関として認定を受け令和2年8月20日にISMAP監査機関リストへ登録されており、情報セキュリティ関連資格保有者を多数擁する十分な体制をもって、登録に必要な情報セキュリティ監査の実施結果報告書の発行、本制度に対応する事前診断等のサービスをご提供して参ります。
ISMAP検討の経緯
政府は、平成30 年6月に「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(平成30年6月7日 各府省情報化統括責任者(CIO)連絡会議決定 )を定め、「クラウド・バイ・デフォルト原則」、すなわち、政府情報システムは、クラウドサービスの利用を第一候補として検討を行うものとする方針を掲げる一方で、「未来投資戦略2018」(平成30年6月15日閣議決定)、及び「サイバーセキュリティ戦略」(平成30年7月27日閣議決定)において、クラウドサービスの安全性評価に関する検討の必要性を位置付け、同年8月から令和元年12月にかけて、経済産業省と総務省が事務局となって「クラウドサービスの安全性評価に関する検討会」を開催し、令和2年1月にはパブリックコメントを経たとりまとめが行われました。
これらの閣議決定等を踏まえ、令和2年1月30日のサイバーセキュリティ戦略本部において、本制度の1.基本的枠組み、2.各政府機関等における利用の考え方、3.所管と運用体制が決定されております(「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」)。
さらに、本制度で用いる各種基準に関する、令和2年3月27日から同年4月26日のパブリックコメントのクローズ後にISMAP運営委員会の初会合を経て、令和2年6月に本制度が正式に発足しました。同年9月以降にはサービスの申請・審査が開始され、同年末までには、一定数の国内外サービスが登録される見通しです。
ISMAPの今後の見通し
従来から我が国においては、一般競争入札による政府情報システムの調達が行われていますが、本制度の下において、あるクラウドサービスが調達対象となるためには、当該サービスがISMAP制度委員会の審査を経て、同委員会により予め定められた管理基準・要求事項を満たすと認められ、本制度「クラウドサービスリスト」に登録されていることが必須になります。
さらに、この「クラウドサービスリスト」は、民間企業による参照・活用も想定されているため「クラウドサービスの安全性評価に関する検討会とりまとめ」(令和2年1月クラウドサービスの安全性評価に関する検討会) 、今後は、民間企業においても、クラウドサービスを選定する際の新たなスタンダードとなっていくものと思われます。