2020年6月に、ISMAP制度が生まれました。クラウドサービスにおけるセキュリティについての制度ですが、どのような内容なのでしょうか。
またISMAP制度に認定されると、どのような利点があるのでしょうか。
提供する企業および導入する企業の双方について、ご説明します。
Contents
ISMAPとは
ここではISMAPの読み方や概要、管理基準や施行された背景などをお伝えします。
またISMAPに認定されると、企業にとってどのような利点があるのでしょうか。
ISMAPの読み方と概要について
ISMAP(イスマップ)と呼びます。
政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)の通称です。
2021年3月に、『ISMAPクラウドサービスリスト』の初回登録・公開を実施し、本制度の利用を開始しました。
ISMAPに認定されると、政府が求めるセキュリティ要求を満たしているクラウドサービスであるといえます。またISMAPに評価・登録されることにより、政府が求めるクラウドサービスのセキュリティ水準を確保することができるわけです。
ISMAPはクラウドサービスの円滑な導入に、資することを目的とした制度です。
ISMAPの管理基準
ISMAP の管理基準は
- ガバナンス基準
- マネジメント基準
- 管理策基準
の3つで構成されています。
| 対象 | 統制事項 | 実施例 | |
|---|---|---|---|
| ガバナンス基準 | 経営陣 | セキュリティに関する意思決定や指示を 継続的に実施している | 情報セキュリティの 戦略及び方針を承認するなど |
| マネジメント基準 | 管理者 | 組織が実施する情報セキュリティマネジメントのルールを確立し、継続的な運用や維持管理を実施している | 情報セキュリティ マネジメントの確立、運用や維持管理など |
| 管理策基準 | 業務実施者 | 実際にセキュリティ対策を実施している | アクセス管理 アカウント・ID管理 冗長性の確保 ログ取得及び監視 など |
ISMAPの運営組織
ISMAPは、以下の省庁で運営されています。
- 総務省
- 経済産業省
- 内閣サイバーセキュリティセンター
- デジタル庁
なお、これらの4つは「ISMAP運営委員会」とも呼ばれています。
また、独立行政法人情報処理推進機構(IPA)もISMAPの「制度運用に係る実務」や「評価に係る技術的な支援」なども行なっています。
◾️ISMAP関係組織図
出典先:ISMAP『ISMAP概要』
ISMAPが施行された背景
『はじめてのISMAP 政府情報システムのためのセキュリティ評価制度の概要』(総務省)を加工して作成
ISMAPが導入される以前は、政府の各機関が個別に全てのセキュリティ要件を全て確認していました。しかも、クラウドサービス導入に伴うさまざまな方針やガイドラインが、各機関によって存在していました。
しかしそれでは非効率で、なおかつ方針やガイドラインに一貫性がないという問題が生じていたのです。
このような状況から、2019年12月29日に『デジタル・ガバメント実行計画』を閣議決定。『クラウド・バイ・デフォルト原則』を踏まえた政府情報システムの整備がされることになりました。
2020年6月には、ISMAPの運用を開始。共通した制度をつくり、セキュリティ要件の充足を評価しました。その上で、追加要件のみを政府の各機関が確認することとなりました。
『はじめてのISMAP 政府情報システムのためのセキュリティ評価制度の概要』(総務省)を加工して作成
ISMAPが企業にもたらす利点
ISMAPが企業にもたらす利点は、大きく2つに分かれます。
以下の通りです。
- クラウドサービスを提供する企業
- クラウドサービスを導入する企業
クラウドサービスを製造する企業においては、以下の利点があります。
| クラウドサービスを提供する企業にとっての利点 | ・公的に評価されていることが証明される ・ISMAPが宣伝惹句になる ・お客様の導入するポイントになる ・導入のきっかけが得られやすい |
一方、クラウドサービスを導入する企業においては、以下の利点があります。
| クラウドサービスを導入する企業にとっても利点 | ・公的に評価された商品を選べる ・選定のポイントが明快で、効率的に選べる ・セキュリティ基準を満たしていることが即座にわかる |
上記のことから、クラウドサービスを提供する企業にとっても、クラウドサービスを導入する企業にとってもISMPは利点の多い制度だといえるでしょう。
ISMAPのクラウドサービスリストとは
ISMAPに基づき、安全性を評価されたクラウドサービスは、リスト化されています。
これを「ISMAPのクラウドサービスリスト」と呼んでいます。
ISMAPのクラウドサービスリストは、ISMAPのポータルサイトに掲載されています。
興味のある方は、確認しておくと良いでしょう。
ISMS認証とは
情報を守っていくためには、セキュリティをしっかりと管理する必要があります。
ここでは、その管理のためのしくみやその内容について、ご説明します。
ISMS認証の概要
ISMS認証とは、情報セキュリティマネジメントシステム(Information Security Management System)のことです。
組織のマネジメントとして、
- 自らのリスク評価により、必要なセキュリティレベルを定める
- プランを持ち、資源配分してシステムを運用している
- 個別の問題ごとの技術対策を行う
ことを示しています。
またISMS認証では、情報セキュリティについての3要素を以下のように定義しています。
| 情報セキュリティの3要素 | 機密性 | 認可されていない個人、エンティティまたはプロセスに対して、情報を使用不可又は非公開にする特性 |
| 完全性 | 資産の正確さおよび完全さを保護する特性 | |
| 可用性 | 認可されたエンティティが要求したときに、アクセス及び使用が可能である特性 |
つまり、情報セキュリティの3要素は
- IDやパスワードを用いて、許可したユーザーのみが情報にアクセス可能(機密性)
- 履歴を記録し、操作制限で情報を正確に完全な状況で守ることが可能(完全性)
- バックアップやクラウド管理で、情報を必要な時に必要なだけ使用可能(可用性)
ということです。
ISMAPとISMS認証の違い
ISMAPとISMS認証は、比較されることが多いようです。
その2つには、以下の違いがあります。
| ISMAP | ISMS | |
|---|---|---|
| 概要 | 省庁の要求事項を満たしたクラウドサービスにおける、セキュリティ評価制度 | 組織のクラウドセキュリティにおける国際規格を満たしているかを第三機関が評価する制度 |
| 運営組織 | ISMAP運営委員会 | 情報マネジメントシステム認定センター(ISMS-AC) |
| 監査および審査 | ISMAP監査機関 | ISMS認証機関 |
| 適用される基準 | ISMAP管理基準 | ISO/IEC 27001の附属書A |
| 有効期限 | 登録対象となった監査期間末日の「翌日から1年4カ月」 | 3年に一度、維持審査 |
ISMAP-LIU とは
ISMAPの中には、ISMAP-LIUという制度もあります。
いったいどのような制度なのでしょうか。以下にくわしくご説明します。
ISMAP-LIUの概要
ISMAP-LIU(イスマップ エルアイユー)は、ISMAP for Low-Impact Use の略です。
これはISMAPの制度の中で、リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とするしくみのことです。
2022年に運用がスタートし、ISMAP同様ISMAP運営委員会の管轄です。
ISMAPの管理基準では過剰なセキュリティ要求になるため、セキュリティ上のリスクや比較的重要度の低い機密情報を扱っています。
ISMAPとISMAP-LIUの違い
ISMAPとISMAP-LIUも、比較されることが多いようです。
その2つには、以下の違いがあります。
| ISMAP | ISMAP-LIU | |
|---|---|---|
| サービスの対象 | ・セキュリティリスクが高い業務向けのクラウドサービス ・情報の処理に用いるクラウドサービス全般(IaaS・PaaS・SaaS) | ・セキュリティリスクの低い業務向けのクラウドサービス ・SaaSサービス |
| 外部監査対象範囲 | ISMAP管理基準で定める全項目 | クラウドサービスの基盤や構成に深刻な影響を与え、重大な事故につながるリスクに関連する管理策 |
CLOMOも、ISMAP(政府情報システムのためのセキュリティ評価制度)に登録
CLOMO MDMも、2024年2月にISMAP(政府情報システムのためのセキュリティ評価制度)に登録されました。公的に評価されることで、安全性の高い製品であることがここで証明されたといえるでしょう。
行政機関におけるDX推進に、今後一層貢献しやすくなりました。また行政機関以外のお客様にとっても、これまで以上に安心して導入、ご利用いただけます。
CLOMO MDMで安心・安全なデバイス管理を!
さまざまなMDMが展開されている中で、CLOMO MDMはMDM市場で13年連続シェアNo.1*を誇っています。
CLOMO MDMは、豊富な機能の搭載や幅広いデバイスへの対応はもちろん、上記で解説したサポートや操作性の良さも特長です。
管理画面はわかりやすく使いやすい仕様で、特別な知識やトレーニングなしで、すぐに利用開始できます。また、国産のMDMサービスのため、メーカーからの直接サポートや日本語での電話サポートを受けられます。24時間365日、有人オペレータが緊急対策の代行も行っています。
さらに、CLOMO MDMなら、次世代アンチウイルスソフト「Deep Instinct」と連携可能です。未知のウイルスについても、対策することができます。
あらゆる業界で利用されており、企業はもちろん、学校や病院などの教育機関や医療機関への導入事例も豊富です。市場シェアNo.1*のCLOMO MDMで、安心・安全なデバイス管理を行いましょう。
*出典:デロイト トーマツ ミック経済研究所「コラボレーション/コンテンツ・モバイル管理パッケージソフトの市場展望」2011〜2013年度出荷金額、「MDM自社ブランド市場(ミックITリポート12月号)」2014~2022年度出荷金額・2023年度出荷金額予測
まとめ
MDMは、複数のモバイルデバイスを一元管理するシステムです。MDMを導入することで、デバイスの運用・管理の効率化や利用状況の把握、盗難・紛失対策ができます。スマートデバイスの重要性が高まる企業や学校などの組織において、導入が進んでいます。搭載機能やサービスの形態、サポート体制の充実度などを考慮し、自社に最適なMDMを導入することが重要です。
CLOMO MDMは、多機能性や幅広いデバイス対応、24時間365日のサポート体制により、企業のデバイス管理を強力にサポートします。製品の機能・活用事例のダウンロードや製品についてのお問い合わせもできるため、ぜひご活用ください。CLOMO MDMで、デバイス管理の課題を解決し、ビジネスの効率化を図りましょう。
