ISMAP(イスマップ)とは、「Information system Security Management and Assessment Program」の略称で、官公庁、自治体など政府がシステムを調達するときに、指標となるセキュリティ評価の制度です。ISMAPに登録されてる製品、サービスであれば、政府調達のためのセキュリティ基準を満たしているので、安心して購入ができます。
また、政府は、「原則としてISMAP取得企業からクラウドサービスを調達するように」と言っています。あくまで「原則」なので、ISMAPを取得していると有利に働くものの、取得していないからと言って全く土台に乗れないということではありませんが・・・。
更に、官公庁、自治体だけでなく、大学や教育委員会などの文教市場でも「ISMAPに対応していること」などの条件が入札仕様に(今後)入ってくることが予想されます。実際、案件の問い合わせで「ISMAPのリストに載っていますか?」って聞かれたことがありました。
■取得にかかる費用はすごく高いらしい
ISMAPの取得自体、審査がかなり厳しく、取得にかかる費用も結構高いらしいです。聞いたところによると「取得までに2,000万ぐらいかかった」とか、それ以上かかった話も聞きました。マジかよ・・・。そして資格には有効期限があるので更新する必要があるのですが、その費用も高額との話でした。ウソでしょ・・・。
サイボウズ社のサービスはISMAPに登録されていますが、登録までの苦労話を資料にまとめて公開してくれています(ありがてぇ!)。
【サイボウズ様のISMAP登録挑戦苦労話】
https://www.cloudsecurityalliance.jp/site/wp-content/uploads/2021/12/congress2021_akeo.pdf
【ISMAP対応のクラウドサービス一覧】
https://www.ismap.go.jp/csm?id=cloud_service_list
■中小クラウンドベンダーからの視点
ISMAP取得は相当高いハードルがあるな、という印象です。この手のものって「今後はISMAPを取得していることが大きな優位点なる!」とその時はHot!になるのですが、2~3ヶ月後には話題にもあがらなくなる、と言うのが多いので、慌てずに様子をみましょう。実際、この記事の下書きをしたのが、2022年10月頃なのですが、今は2023年2月でして、やっぱり最近はあまり聞かないワードになっています。ISMAPに対応したサービスもそれほど増えてないし、周りで騒いでいた方も最近ではめっきりですね。
という事で、ISMAPについてはいったん離れます。また再燃したら記事にしようと思います。
Shared Technology V 