こんにちは!営業部です。
本日は「ISMAP」についてお話させていただきます。
2020年6月、経済産業省・総務省・内閣官房(内閣サイバーセキュリティセンター・情報通信技術総合戦略室)より、政府機関等が利用するクラウドサービスのセキュリティーを評価するISMAP「Information system Security Management and Assessment Program」と呼ばれる制度の開始が発表されました。今後、政府がクラウドサービスを利用する際は、ISMAP運営委員会の審査において一定の基準を満たしたものが登録されている「ISMAPクラウドサービスリスト」の登録簿の中から選ぶことが決まりました。
ISMAPクラウドサービスリスト登録には、以下の手続きを行うことで登録されます。
1,クラウドサービス事業者が、ISMAP監査機関リストに登録された監査機関へ監査を依頼する。
2,監査機関は管理基準に基づいた情報セキュリティー対策の実施状況を、定められた基準等に基づいて監査・評価を行う。
3,ISMAP運営委員会は、監査されたクラウドサービス事業者からの申請を受けて、要求事項への適合状況を審査。登録が妥当と判断したクラウドサービスをISMAPクラウドサービスリストに登録する。
民間企業が「ISMAP」を利用するメリット
1,利用者側の情報システム担当者のサービス選定が容易に
クラウドサービスの導入を検討する場合、民間企業の情報システム担当者は自社のセキュリティー基準を満たす製品やサービスを選定しなければならない。しかし、クラウドサービスのセキュリティー基準を個別にチェックし選定することは簡単ではなく、担当者の大きな負担となります。ISMAPを活用すれば一定のセキュリティー基準が満たされているので、担当者は簡単にISMAPクラウドサービスリストから自社が求めるクラウドサービスを選ぶことが出来る。
2,クラウドサービス提供側はセキュリティー面での信用を得られる
ISMAPはクラウドサービスを導入・利用する側の企業だけではなく、クラウドサービスを提供する側の企業においてもメリットがあります。
提供側企業はサービスを紹介するパンフレットやプレゼンの中で安全性・信用性を示しても他社と比較した場合のセキュリティーレベルを証明することは難しい。しかし、政府公認のISMAPに登録されることで、客観的に安全性・信用性が確保でき、クラウドサービスの認知度も向上すると言える。
3,クラウドサービス提供側はビジネスチャンスの拡大に繋げられる
ISMAPは今後、多くの民間企業においてもクラウドサービスを選定する際の基準になると考えられる。そのため、サービス提供側はISMAPに登録されることで、ビジネスチャンスの拡大を図る事も出来る。
まとめ
ISMAPは政府だけではなく民間企業での参照・利用も考えられているため、ISMAPは日本国内におけるクラウドサービスのセキュリティー基準を判断する基準になると予想される。
今後、クラウドサービス提供側はISMAPクラウドサービスリストに登録されているかがビジネスチャンスの機会を大きく左右すると考えられる。