ISMAPとは？管理基準やISMAPのクラウドサービスリスト

2020年6月に、ISMAP制度が生まれました。クラウドサービスにおけるセキュリティについての制度ですが、どのような内容なのでしょうか。

またISMAP制度に認定されると、どのような利点があるのでしょうか。
提供する企業および導入する自治体の双方について、ご説明します。

1. ISMAPとは

ここではISMAPの読み方や概要、管理基準や施行された背景などをお伝えします。
またISMAPに認定されると、提供する企業や導入する自治体にとってどのような利点があるのでしょうか。

1.1. ISMAPの読み方と概要について

ISMAP（イスマップ）と呼びます。
政府情報システムのためのセキュリティ評価制度（Information system Security Management and Assessment Program）の通称です。

2021年3月に、『ISMAPクラウドサービスリスト』の初回登録・公開を実施し、本制度の利用を開始しました。

ISMAPに認定されると、政府が求めるセキュリティ要求を満たしているクラウドサービスであるといえます。またISMAPに評価・登録されることにより、政府が求めるクラウドサービスのセキュリティ水準を確保することができるわけです。

ISMAPはクラウドサービスの円滑な導入に、資することを目的とした制度です。

1.2. ISMAPの管理基準

ISMAP の管理基準は

• ガバナンス基準
• マネジメント基準
• 管理策基準

の３つで構成されています。

『はじめてのISMAP 政府情報システムのためのセキュリティ評価制度の概要』（総務省）を加工して作成

1.3. ISMAPの運営組織

ISMAPは、以下の省庁で運営されています。

• 総務省
• 経済産業省
• 内閣サイバーセキュリティセンター
• デジタル庁

なお、これらの４つは「ISMAP運営委員会」とも呼ばれています。

また、独立行政法人情報処理推進機構（IPA）もISMAPの「制度運用に係る実務」や「評価に係る技術的な支援」なども行なっています。

◾️ISMAP関係組織図

1.4. ISMAPが施行された背景

ISMAPが導入される以前は、政府の各機関が個別に全てのセキュリティ要件を全て確認していました。しかも、クラウドサービス導入に伴うさまざまな方針やガイドラインが、各機関によって存在していました。

しかしそれでは非効率で、なおかつ方針やガイドラインに一貫性がないという問題が生じていたのです。

このような状況から、2019年12月29日に『デジタル・ガバメント実行計画』を閣議決定。『クラウド・バイ・デフォルト原則』を踏まえた政府情報システムの整備がされることになりました。
2020年6月には、ISMAPの運用を開始。共通した制度をつくり、セキュリティ要件の充足を評価しました。その上で、追加要件のみを政府の各機関が確認することとなりました。

1.5. ISMAPが企業・自治体にもたらす利点

ISMAPが企業および自治体にもたらす利点は、大きく２つに分かれます。
以下の通りです。

①クラウドサービスを提供する企業
②クラウドサービスを導入する自治体

クラウドサービスを製造する企業においては、以下の利点があります。

• 公的に評価されていることが証明される
• ISMAPが宣伝惹句になる
• お客様の導入するポイントになる
• 導入のきっかけが得られやすい

一方、クラウドサービスを導入する自治体においては、以下の利点があります。

• 公的に評価された商品を選べる
• 選定のポイントが明快で、効率的に選べる
• セキュリティ基準を満たしていることが即座にわかる

上記のことから、クラウドサービスを提供する企業にとっても、クラウドサービスを導入する自治体にとってもISMPは利点の多い制度だといえるでしょう。

1.6. ISMAPのクラウドサービスリストとは

ISMAPに基づき、安全性を評価されたクラウドサービスは、リスト化されています。
これを「ISMAPのクラウドサービスリスト」と呼んでいます。

ISMAPのクラウドサービスリストは、ISMAPのポータルサイトに掲載されています。
興味のある方は、確認しておくと良いでしょう。

2. ISMS認証とは

情報を守っていくためには、セキュリティをしっかりと管理する必要があります。
ここでは、その管理のためのしくみやその内容について、ご説明します。

2.1. ISMS認証の概要

ISMS認証とは、情報セキュリティマネジメントシステム（Information Security Management System）のことです。
組織のマネジメントとして、

• 自らのリスク評価により、必要なセキュリティレベルを定める
• プランを持ち、資源配分してシステムを運用している
• 個別の問題ごとの技術対策を行う

ことを示しています。
またISMS認証では、情報セキュリティについての３要素を以下のように定義しています。

• 機密性

  認可されていない個人、エンティティまたはプロセスに対して、情報を使用不可又は非公開にする特性

• 完全性

  資産の正確さおよび完全さを保護する特性

• 可用性

  認可されたエンティティが要求したときに、アクセス及び使用が可能である特性

参照元：情報マネジメントシステム認定センター「ISMS(情報セキュリティマネジメントシステム）」とは

つまり、情報セキュリティの3要素は

• IDやパスワードを用いて、許可したユーザーのみが情報にアクセス可能（機密性）
• 履歴を記録し、操作制限で情報を正確に完全な状況で守ることが可能（完全性）
• バックアップやクラウド管理で、情報を必要な時に必要なだけ使用可能（可用性）

ということです。

2.2. ISMAPとISMS認証の違い

ISMAPとISMS認証は、比較されることが多いようです。
その２つには、以下の違いがあります。

3. ISMAP-LIU とは

ISMAPの中には、ISMAP-LIUという制度もあります。
いったいどのような制度なのでしょうか。以下にくわしくご説明します。

3.1. ISMAP-LIUの概要

ISMAP-LIU（イスマップ　エルアイユー）は、ISMAP for Low-Impact Use の略です。
これはISMAPの制度の中で、リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とするしくみのことです。

2022年に運用がスタートし、ISMAP同様ISMAP運営委員会の管轄です。
ISMAPの管理基準では過剰なセキュリティ要求になるため、セキュリティ上のリスクや比較的重要度の低い機密情報を扱っています。

3.2. ISMAPとISMAP-LIUの違い

ISMAPとISMAP-LIUも、比較されることが多いようです。
その２つには、以下の違いがあります。

4. CLOMOも、ISMAP（政府情報システムのためのセキュリティ評価制度）に登録

CLOMO MDMも、2024年2月にISMAP(政府情報システムのためのセキュリティ評価制度）に登録されました。公的に評価されることで、安全性の高い製品であることがここで証明されたといえるでしょう。

行政機関におけるDX推進に、今後一層貢献しやすくなりました。また行政機関以外のお客様にとっても、これまで以上に安心して導入、ご利用いただけます。

5. CLOMO MDMで安心・安全なデバイス管理を！

さまざまなMDMが展開されている中で、CLOMO MDMはMDM市場で13年連続シェアNo.1*を誇っています。

CLOMO MDMは、豊富な機能の搭載や幅広いデバイスへの対応はもちろん、上記で解説したサポートや操作性の良さも特長です。

管理画面はわかりやすく使いやすい仕様で、特別な知識やトレーニングなしで、すぐに利用開始できます。また、国産のMDMサービスのため、メーカーからの直接サポートや日本語での電話サポートを受けられます。24時間365日、有人オペレータが緊急対策の代行も行っています。

さらに、CLOMO MDMなら、次世代アンチウイルスソフト「Deep Instinct」と連携可能です。未知のウイルスについても、対策することができます。

あらゆる業界で利用されており、自治体はもちろん、学校や病院などの教育機関や医療機関への導入事例も豊富です。市場シェアNo.1*のCLOMO MDMで、安心・安全なデバイス管理を行いましょう。
*出典：デロイト トーマツ ミック経済研究所「コラボレーション/コンテンツ・モバイル管理パッケージソフトの市場展望」2011〜2013年度出荷金額、「MDM自社ブランド市場（ミックITリポート12月号）」2014～2022年度出荷金額・2023年度出荷金額予測