ISMAP 政府情報システムのためのセキュリティ評価制度への対応

ISMAP登録製品

ISMAP とは

安全にクラウドサービスを採用し、継続的に利用していくために、定められた評価制度です。

ISMAP (Information System Security Management and Assessment Program) は、代表的な、ISO 規格や NIST などの国際基準制度を踏まえて策定した基準に基づき、各基準が適切に実施されているか監査するプロセスを経て、クラウドサービスを評価しています。 暗号化、マルウェアからの保護、ログ取得及び監視など 1,000 を超える要求事項への適合状況を審査した上で、セキュリティ対策を実施していることが確認されたクラウドサービスが ISMAP クラウドサービスリストに登録されます。 2021 年からは、日本の各政府機関がクラウドサービスを調達する際は、原則として、ISMAP クラウドサービスリストに登録されたサービスから調達する ことを位置づけています。

安心してクラウドサービスをお使いいただけるように

経済産業省の DX(デジタルトランスフォーメーション)レポート  によれば、2025 年までの間に、複雑化・ブラックボックス化した既存システムについて、廃棄や塩漬けにするもの等を仕分けしながら、必要なものについて刷新し、DX を実現することにより、2030 年実質 GDP 130 兆円超の押上げを実現する成長シナリオを描いています。 シスコが目指す戦略は、クラウドファーストの世界で、お客様が素早くデジタルトランスフォーメーションを実現できるプラットフォームを提供することです。クラウドサービスの導入課題は、官民ともにセキュリティ不安の声を最も多く聞きますが、 ISMAP は政府機関だけではなく、民間企業での活用も想定されていますので、今後は、日本国内におけるクラウドサービスのセキュリティ基準を判断する代表的な評価になっていくと予想されます。 セキュリティはシスコの DNA であり、長期にわたって多大な投資を継続しており、最大の強みのひとつです。 シスコは今後も継続して、 製品セキュリティを強化し、日本の DX に貢献しています。

ISMAP 制度認定の基本的な流れ

CiscoにおけるISMAP取得について

シスコは、世界各国のデータ セキュリティ ガバナンスの要件を包括的にまとめたシスコ独自の Cloud Controls Framework(CCF)を活用し、ISMAP への登録に成功しました。このフレームワークを使用することで、過去の認定審査で提供されたエビデンスの活用や、シスコが企業レベルで実施しているガバナンステストを GCC(Global Cloud Compliance)が活用することで、認定準備の合理化を図ることができます。この新しいアプローチにより、データセキュリティ認定プロセスが数か月短縮され、最終的には時間と労力だけでなく費用も節約できます。