ISMAP

① 物語性を取り入れた説明

ケンイチは会社のITセキュリティ研修で「ISMAP」という言葉を耳にしましたが、その意味がよくわかりませんでした。休み時間に課長に質問しました。

「課長、ISMAPって何ですか？」

課長はうなずきながら説明しました。「ISMAPは『政府情報システムのためのセキュリティ評価制度』のことだよ。つまり、政府機関がクラウドサービスを利用する際に、そのサービスがちゃんと安全かどうかを評価する制度なんだ。政府機関はセキュリティが特に大事だから、信頼できるクラウドサービスを使う必要があるんだよ。」

「なるほど、だから政府専用の評価制度があるんですね。普通の企業で使うセキュリティ基準とは違うんですか？」

「そうだね。普通の企業もセキュリティを重視しているけど、政府機関はさらに厳しい基準を持っているんだ。たとえば、個人情報や機密情報を扱う場合、非常に高いセキュリティレベルが求められる。だから、ISMAPはその基準を満たしたクラウドサービスをリスト化して、政府が安心して使えるようにしているんだよ。」

「それで、どのクラウドサービスが安全かどうかを確認できるんですね。」

「その通り。ISMAPに登録されたクラウドサービスは、セキュリティやプライバシー保護などの要件をクリアしているんだ。これで政府機関は、安全にクラウドサービスを利用できるというわけさ。」

「なるほど。つまり、政府がクラウドを利用するためのガイドラインの一種なんですね！」

「そうだよ。これによって、政府全体が統一された基準で安全なクラウドサービスを使うことができるんだ。しかも、企業にとってもISMAPに認定されると信頼度が上がるから、利用者に対してアピールポイントにもなるんだよ。」

ISMAPの定義

ISMAP（Information system Security Management and Assessment Program）とは、政府情報システムが利用するクラウドサービスのセキュリティ評価を行い、安全なサービスをリスト化して政府機関が利用しやすくする制度です。

スキマ時間を有効活用できる【オンスク.JP】

② 実際の事例

ISMAPは、政府機関が安全にクラウドサービスを利用するために必要なセキュリティ評価制度として活用されています。たとえば、自治体が市民向けのオンライン手続きサービスを提供する際、クラウドを利用することが一般的になっていますが、そのクラウドサービスがISMAPに準拠しているかどうかが重要です。

ある自治体では、市民が住民票をオンラインで請求できるシステムを導入しています。このシステムでは、市民の個人情報を取り扱うため、非常に高いセキュリティが求められます。そこで、自治体はISMAPに準拠したクラウドサービスを採用しました。

このクラウドサービスは、セキュリティの評価をクリアし、ISMAPのリストに登録されているため、自治体は安心してこのサービスを使うことができます。結果的に、市民は安全かつスムーズにオンライン手続きを行うことができ、自治体側もセキュリティ上のリスクを減らしながら、デジタル化を進めることができました。

また、ある企業では、政府機関向けのクラウドサービスを提供しています。この企業は、自社のサービスがISMAPに認定されることで、政府機関だけでなく、セキュリティに敏感な民間企業からも信頼されるようになりました。ISMAP認定は、クラウドサービスの信頼性を高める大きな要素となっており、新規顧客の獲得にもつながっています。