脱IT初心者「社長の疑問・用語解説」(第59回) 社長のイスを守る「ISMAP」

クラウド・共有

公開日:2022.11.09

 略語が多くてなかなか理解できないIT用語。そんなIT初心者の社長にも、分かりやすく理解できるようにITキーワードを解説する本連載。今回は、何それ?と言いたくなるようなISMAP(イスマップ)だ。

「社長、イスマップという制度を知っていますか。うちも参考にしましょう」(総務兼IT担当者)

「何、イス取りゲーム? さてはゲームにかこつけて社長のイスを奪い取ろうというつもりか」(社長)

「誰も社長のイスを奪い取るなんて言っていませんよ。イスマップは、政府がクラウドサービスを導入する際のセキュリティ評価制度のことです。民間でも役立つんです」

「セキュリティとイスに、いったい何の関係があるんだ。まったくややこしいな。そこのイスに座ってワシに分かるように説明しなさい」

クラウドのセキュリティ評価制度

 ISMAP(イスマップ)は、Information system Security Management and Assessment Programの頭文字を取ったもので、「政府情報システムのためのセキュリティ評価制度」と呼ばれます。政府は情報システムを調達する際、クラウドサービスの利用を第一候補として検討する「クラウド・バイ・デフォルト」を原則としています。

 ところが、クラウドサービスのセキュリティに関する基準がなかったため、政府はISMAPと呼ぶ評価制度を設け、ISMAPクラウドサービスリストを公開しました。このリストが民間企業にも参考になるのです。

クラウドサービスの選択にはセキュリティが重要

Q ISMAPはどんな制度ですか

 クラウドサービス導入の課題として、セキュリティに対する不安が挙げられます。特に政府の情報システムには厳格なセキュリティ確保が求められます。そこで、クラウドサービスの選定・導入をスムーズに進めるために、セキュリティに関する統一的な基準を設け、評価する制度としてISMAPがつくられました。

Q クラウドサービスはどのように選ぶのですか

 政府がクラウドサービスを選定する際、ISMAP運営委員会が定めるセキュリティ基準を満たしたクラウドサービスのリストの中から調達するのが原則です。

 政府機関のみならず、企業もこの公開リストを活用できます。例えばセキュリティが重要視されるサプライチェーンに参加する中小企業も、ISMAPクラウドサービスリストに登録されたクラウドサービスを選択すれば、クラウドサービス利用時のセキュリティを確保しやすくなります。もちろんリストにないクラウドサービスを選ぶこともできます。比較対象として、リストに掲載されたサービスを参考にするのも可能です。

Q クラウドサービス利用時の注意点はありますか

 ISMAPは、あくまでもクラウドサービスのセキュリティ評価制度です。クラウドサービスを安全に利用するためには、クラウドに接続するネットワークのセキュリティやユーザー・端末の認証、重要データを端末に残さない仕組み、クラウドを利用するユーザーの教育など、さまざまなセキュリティ対策を組み合わせる必要があります。ネットワークやセキュリティに熟知したITサービス事業者に相談しましょう。

ISMAPはあらゆるリスクを守れるわけではない

「社長、ISMAPをなんとなく分かっていただけましたか。わが社もクラウドサービスを導入するときの参考にしましょう」(総務兼IT担当者)

「イス取りゲームではないことは分かったが、クラウドを導入して何をするんだ」(社長)

「テレワークのときも社内システムを利用できるクラウドサービスがあるんです。社外でもファイルを共有できるクラウドサービスもあります。ISMAPのリストを参考にすればセキュリティのリスクを減らせます」

「社長のイスを脅かすリスクもISMAPで守れるんだな。なら今後も安心だ」

「はたして、それはどうでしょう……」

執筆=山崎 俊明

【MT】

あわせて読みたい記事

「クラウド・共有」カテゴリーから探す

連載バックナンバー

脱IT初心者「社長の疑問・用語解説」

もっと見る

カテゴリー 一覧