概要
ISMAPとはInformation system Security Management and Assessment Programの略で、 日本語では「政府情報システムのためのセキュリティ評価制度」と呼ばれます。
ISMAPは、クラウド・バイ・デフォルトの方針が打ち出されたことを受け、政府機関においてクラウドサービスを利用する際の、クラウドサービスの安全性評価基準の必要性うけて策定されました。
ISMAPは、政府機関が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録してあるため、政府機関がクラウドサービスを利用する際の選定基準として活用できます。
ISMAPはアメリカの「FedRAMP」に近い制度で、複数のセキュリティ基準をベースに策定されています。
- JIS Q(ISO/IEC) 27001、27002と、クラウドサービスの情報セキュリティに関するJIS Q(ISO/IEC) 27017が基礎
- 政府統一基準に含まれる内容で上記に含まれない内容を追加
- NIST SP800-53の内容から、インシデントレスポンスに関連する内容を中心に追加
<参考:FedRAMP>
FedRAMP(Federal Risk and Authorization Management Program)は、アメリカ政府の定めるクラウドサービスに関するセキュリティ評価のガイドラインです。
ベンダがアメリカ政府機関にサービスを提供する場合は、上記セキュリティ基準を満たす必要があります。
ISMAPの動向
ISMAPは2020年8月頃に審査機関の登録を決定し、今後、各種ベンダからのサービス登録申請を受け付け、2020年12月から2021年1月頃には登録サービスが決定し、ISMAPクラウドサービスリストを公開する予定となります。
ISMAPは政府機関向けのものですが、国が策定したこと基準であるため、日本の企業においてもクラウドサービスを選ぶ際の指針として活用できると考えられます。
参考にさせていただいたサイト
https://www.ipa.go.jp/files/000082669.pdf