ISMAP(イスマップ)とは？概要をわかりやすく解説！

時代の進化とともに、私たちの仕事や生活に欠かせなくなったクラウドサービス。しかし、その利便性の裏でセキュリティの脅威も常につきまといます。そのような背景から、政府機関などによるクラウドサービスの選定は一層重要な課題となっています。そこで注目されるのが「ISMAP（イスマップ）」です。

この記事では、この制度が何を目指しどのような役割を果たしているのか解説します。ISMAPは単なるセキュリティ評価制度にとどまらず、政府機関によるクラウドサービスの選定プロセスを効率化し、私たちの情報社会の安全性を高めるための重要な一歩です。

SMAP、または政府情報システムのためのセキュリティ評価制度は、政府がクラウドサービスを安全に利用するために設立された制度です。この評価制度の核心は、クラウドサービス提供者が政府機関にサービスを提供する前に、一定のセキュリティ基準を満たしていることを証明することにあります。政府機関が安心してクラウドサービスを選定し、利用できるようにすることが主な目的であり、サービスのセキュリティと信頼性を保証することに重点を置いています。

ISMAPの主要な役割は、政府情報システムに利用されるクラウドサービスが厳格なセキュリティ基準に沿っていることを保証することです。この制度を通じて、政府機関はセキュリティ基準を満たしたクラウドサービスを選択しやすくなり、情報システムのセキュリティ向上が図られます。目的は、政府機関が安全なクラウドサービスを利用することで、国民のデータを守り、サイバーセキュリティを強化することにあります。

ISMAPにおける管理基準は、クラウドサービスが満たすべきセキュリティ関連の要件を詳細に規定しています。これには組織のガバナンス、リスク管理、情報セキュリティポリシー、アクセス管理、物理的セキュリティ、通信の保護、インシデント管理など、広範囲にわたる領域が含まれます。これらの基準に沿った管理体制の構築と運用が、クラウドサービス提供者に求められています。

ISMAPの認証を受けるためのプロセスは、大きく分けて次の3ステップから構成されます。

まず、組織はISMAPの管理基準に沿ったセキュリティ管理体制を構築し、日々の運用に反映させる必要があります。これにはセキュリティポリシーの策定や従業員への教育・訓練などが含まれます。

次に、認証機関による外部監査を受けます。この監査では組織のセキュリティ管理体制がISMAPの基準に準拠しているかが評価されます。

監査を通過した組織は正式にISMAP認証の申請を行います。申請が受理されると、組織はISMAP認証を取得し、その旨を公表することができます。

ISMAP登録プロセスには監査機関への監査依頼費用や、登録申請に伴う手数料などが含まれます。これらの費用は、選択される監査機関やサービスの種類、複雑さによって異なり、事前に見積もりを取得することが重要です。費用対効果を考慮し適切な準備と計画をもって進めることが、成功への鍵となります。

ISMAPは、政府機関が安全かつ信頼性の高いクラウドサービスを選定し利用するための重要な評価制度です。クラウドサービス提供者にとっては、自社のサービスが政府の厳しいセキュリティ基準を満たしていることを証明する絶好の機会となります。このプロセスを通じて、情報セキュリティ管理の質を高め、より多くの顧客にサービスを提供する機会を拡大することができるでしょう。

アクトが提供するEDR+SOCサービス「セキュリモ」は、サイバー攻撃に対してAIでリアルタイム検知し、攻撃内容の可視化と分析内容を報告するPCやサーバーのセキュリティサービスです。弊社SOCチームが、グローバルトップクラスの検知率・防御力を持ったEDR（SentinelOne、Cybereason）のおまかせ運用を実現します。

アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。

また、IT導入補助金対象サービスの『データお守り隊』もご提供しております。
EDR＋SOC＋簡易サイバー保険をお手頃価格でパッケージしたサービスです。補助金を申請することで低コストで高度なサイバーセキュリティ対策を実現できます。
ご興味がございましたら下記よりご確認ください。