GMOサインをお得に利用開始できるチャンスですので、この機会をお見逃しなく!
\ 電子印鑑GMOサインの「無料プラン」をご利用中の方必見 /
2024年8月31日までのお申し込み限定で、GMOサインの「無料プラン」をご利用中の方が有料プラン「契約印&実印プラン」へプランアップしていただくと、お申し込み月を含めた2カ月分の月額基本料金・送信料が“無料”でご利用いただけます。
GMOサインをお得に利用開始できるチャンスですので、この機会をお見逃しなく!
IT化、デジタル化は国を挙げて進められており、これまでにも様々な施策が発表されています。その中の一つに、当記事で紹介するISMAPがあります。
ISMAPとは、Information system Security Management and Assessment Programの略称で「情報システムのためのセキュリティ評価制度」のこと
ISMAPとは2020年6月に経済産業省や総務省、内閣官房などの連携により運用が開始された制度です。ITシステムを導入するにあたっての指標になるもので、これから本格的に導入や運用を進めていきたいと思っている法人にとっては重要な制度といえます。
ISMAPについて、「言葉を耳にしたことはない」、「聞いたことはあるが詳しいことは知らない」という人も多いでしょう。まずはISMAPとは何かについて理解するところから始めましょう。
ISMAPとは、Information system Security Management and Assessment Programの略称です。日本語に訳すと情報システムのためのセキュリティ評価制度となります。経済産業省と総務省、さらに内閣官房の中でも内閣サイバーセキュリティセンター・IT総合戦略室が連携して作られた制度です。
ISMAPとは、クラウドサービスの安全性について評価する制度のことです。ITにあまり詳しくない人でもクラウドという言葉は、耳にしたことがあるでしょう。クラウドサービスは、今では様々な方面で提供されています。しかしこれまで日本では、クラウドサービスを評価するシステムがありませんでした。そこで立ち上げられたのが、ISMAPという制度なのです。
ISMAPが創設された背景には、クラウドファーストという考え方があるといわれています。クラウドが世界中で普及し始めたのは2006年のことで、以降高い注目を集めています。2010年には「ITシステム構築の際にはクラウドを最優先とすべき」とするクラウドファーストという考え方が示されました。
そのような世界的な流れに日本も加わり、2018年6月に当時の政府は政府情報システムにおけるクラウドサービスの利用に係る基本方針を定めています。また、その一環として、クラウドを優先的に利用する方針であるクラウド・バイ・デフォルト原則も制定されました。しかし、当時日本にはクラウドサービスを評価する制度がなかったため、ISMAPが新たに作られたわけです。
ISMAPクラウドサービスリストに登録するためには、3つのステップを踏まなければなりません。
まずクラウドサービス事業者が、監査機関に自社製品の監査を依頼します。監査機関はどこでもよいわけではなく、ISMAP監査機関リストに登録された機関で監査を受けなければなりません。
申請を受けて、監査機関は情報セキュリティ対策などの項目が基準を満たしているかどうか監査及び評価します。監査の結果、問題なしとされれば、クラウドサービス事業者はISMAP運営委員会に申請します。ISMAP運営委員会で、基準を満たしているか審査を行い、問題なければ、ISMAPクラウドサービスリストに登録されます。
ISMAPの審査基準については、公開されていません。しかし、定められている管理基準は1,000項目以上あり、多角的かつ細かく審査されることがうかがえます。
セキュリティ管理基準については、政府の統一基準やこれまでのセキュリティ規格などを踏まえて作られているといわれています。ISMAPクラウドサービスリストに登録されていれば、一定レベル以上のセキュリティ対策をクリアしていると推測することが可能です。
ISMAPで設けられた審査基準をクリアするとISMAPクラウドサービスリストに登録されます。
▶こちらから確認可能
政府が情報システムの基盤としてクラウドサービスを利用する際には、このリストに掲載されたクラウドサービスの中から導入候補を選択しなければなりません。もちろん民間企業もISMAPクラウドサービスリストをチェックすることが可能です。
ISMAP活用によるメリットは多方面に及びます。メリットはクラウドサービスを利用するユーザーだけでなく、商品提供しているクラウド事業者にも存在します。
これまでは、セキュリティが一定以上のレベルを有しているかなど、クラウドサービスの内容を自分たちでチェックする必要がありました。そのためには、専門的な知識が不可欠となっていました。しかしISMAP制度が導入されたことで、自分でチェックする必要がなくなります。
ISMAPに登録されているクラウドサービスであれば、国の定めた審査基準をクリアしている、十分信頼できる製品であると判断できるからです。
自分たちでスペックなどをチェックする手間から解放されることは大きなメリットといえるでしょう。
クラウド事業者にとってISMAPに登録されるメリットは、その宣伝効果です。
ISMAPに登録されているということは、国の基準を満たした信頼性の高い製品であることの証明となります。一定レベル以上のクラウドサービスであると証明がされているため、ユーザーも安心して導入でき、売上アップの効果も期待できます。
また製品そのものだけでなく、クラウド事業者自体の信頼性が高まることもメリットです。特に中小や零細企業の場合、いくら良質な製品を提供しても知名度の低さからなかなか売上につながらない恐れがあります。
しかしISMAPのリストに登録されていれば、信頼性の高い製品を提供する優良業者と判断され、売上アップやビジネスチャンスの拡大などの波及効果も期待できるわけです。
ISMAPに登録されるためには、管理基準を満たしていなければなりません。
管理基準として、ガバナンス基準とマネジメント基準、管理策基準の3つが設定されています。それぞれどのような管理基準なのか、きちんと理解しておく必要があります。
ガバナンス基準とは、会社の意思決定や運用に関する基準を指します。セキュリティに関する意思決定、指示を継続して実施できるだけの基準を満たしているかどうかを考査しなければなりません。18項目の4桁管理策によって構成されており、原則すべての基準を満たさなければなりません。こちらの基準は、従来からあったJIS Q27014をベースに策定されています。
情報セキュリティマネジメントシステムに関する基準となります。マネジメント基準は、様々なプロセスに分けて評価されます。確立や導入、運用、監視、維持・改善のいずれに関しても具体的な基準が設けられています。
マネジメント基準は、情報セキュリティマネジメントシステムを組織的かつ体系的に実践するために設けられています。クラウドシステムにおける情報の安全性を担保して、情報漏洩や改ざんなどの脅威を排除するための基準になります。マネジメント基準は、全85項目によって構成されています。すべての項目をクリアしなければ、ISMAPには登録できません。
管理策基準とは、実務実施者がセキュリティ対策を実施しているかどうか確認するためのものです。
管理策基準については、ほかの2つの基準と異なり、項目数が圧倒的に多く、すべてを合わせると1,000項目以上にのぼります。そのため、すべての項目を実施するのは、かなり厳しいでしょう。しかしすべて実現できなくても、登録する方法はあります。
管理策基準の運用ルールとして、必須の項目も設けられていますが、そのほかの項目については、選択制になります。必要な項目さえ実施されていれば、基準をクリアしたと判断される形になっています。
ISMAPの基準を満たすとISMAP運営委員会が認定すれば、ISMAPクラウドサービスリストに掲載されます。このクラウドサービスリストとはどのようなものでしょうか?
ISMAPクラウドサービスリストは、ISMAPポータルサイトから閲覧できます。
リストにはクラウドサービス名と提供している事業者名、法人番号、事業者の本社所在地、登録日、有効期限が記載されています。
有効期限が記載項目となっていることからもわかる通り、登録には期限が設けられています。監査の対象期間の末尾の翌日を起点として、1年4カ月間が有効期限です。もし引き続きサービス名をリストに登録したい場合には、有効期限までに更新手続きを済ませる必要があります。
ISMAPクラウドサービスリストは先ほど紹介したように、ISMAPポータルサイトにて公開されています。
こちらのサイトは、IPA(独立行政法人情報処理推進機構)が運営しています。IPAは、ISMAP運用支援機関という位置づけです。リストから、興味のあるものをクリックすると、該当クラウドサービスの詳細情報が表示される仕組みになっています。
また登録者が申請すれば、リストの内容を変更できますのでISMAPクラウドサービスリストをチェックする際には、最新情報を確認するようにしてください。
クラウドサービスの利用には、導入する際のコストが抑えられたり、データ共有が容易にできたり、複数のデバイスから同時にアクセスが可能などたくさんのメリットがあります。
しかし、ネットワーク上に存在しているため、セキュリティ面で不安という方も多いでしょう。そんな方であっても、国の定めた基準である認証を受けているサービスなら、安心できます。
国の定めるセキュリティ認証はISMAP以外にも、ISO/IEC27001・個人情報保護マネジメントシステム(PMS)・情報セキュリティマネジメントシステム(ISMS)など数多くあります。是非、クラウドサービスの導入の際には、どのようなセキュリティ認証を取得しているサービスなのか確認をしてから利用してみてください。
電子印鑑GMOサインは、「ISO/IEC27001(情報セキュリティ)」や「SOC2 Type1認証」などセキュリティ関連の認証を数多く取得しています。
\ 高いセキュリティ技術を誇るGMOサイン/
GMOサインをお得に利用開始できるチャンスですので、この機会をお見逃しなく!
\ 電子印鑑GMOサインの「無料プラン」をご利用中の方必見 /
2024年8月31日までのお申し込み限定で、GMOサインの「無料プラン」をご利用中の方が有料プラン「契約印&実印プラン」へプランアップしていただくと、お申し込み月を含めた2カ月分の月額基本料金・送信料が“無料”でご利用いただけます。
GMOサインをお得に利用開始できるチャンスですので、この機会をお見逃しなく!
電子契約サービスごとの違いや選び方などについて、下記の記事でわかりやすく比較しています。ぜひご参考にしてください。また、各社のサービスをまとめた比較表を“無料”でダウンロードできます。
\ “無料” で使える電子契約サービスをまとめました! /
\ 各社サービスを一覧でチェック! /
GMOサインは、導⼊企業数No.1 ※ の電子契約サービスで、300万社以上の事業者にご利用いただいております。また、自治体などにおいても広く導入されています。同⽔準の他社サービスと比較をしても、使用料がとてもリーズナブルなのが特徴です。さらに、無料で試せる「お試しフリープラン」もあるので手軽に利用できます。各種機能も充実しているため、使い勝手も抜群です。ぜひ一度お試しください。
※ 導入企業数は「GMOサイン(OEM商材含む)」を利用した事業者数(企業または個人)。1事業者内のユーザーが複数利用している場合は1カウントする。内、契約社数「100万社」(複数アカウントをご利用の場合、重複は排除)
