// シス担のミカタ
コンプライアンス

ISMAP(政府情報システムのためのクラウドサービス安全性評価制度) いすまっぷ

クラウドセキュリティ政府調達セキュリティ評価リスト登録サプライチェーンリスクNISC
ISMAPについて教えて

簡単に言うとこんな感じ!

「国が”このクラウドは安全だよ”とお墨付きを与えるリスト」だよ! 政府機関がクラウドを使うとき、セキュリティの審査を通過したサービスだけがリストに載って、そこから選べる仕組みなんだ。民間企業もこのリストを参考にすることが多いよ!

ISMAPとは

ISMAP(Information system Security Management and Assessment Program) は、政府が利用するクラウドサービスのセキュリティを事前に評価・登録する日本独自の制度です。2020年度に運用を開始し、内閣サイバーセキュリティセンター(NISC)・デジタル庁・総務省・経済産業省 の4省庁が共同で運営しています。

政府機関がクラウドを調達する際、ISMAPに登録されたサービスの中から選ぶことが原則とされています。これにより、「調達のたびに各省庁がバラバラにセキュリティ審査をする」という非効率を解消し、一元的かつ継続的なセキュリティ確保 を実現しています。民間企業にとっても、ISMAPへの登録は「政府水準のセキュリティ基準を満たしている」という対外的な信頼性の証明になるため、公共案件に強みを持ちたいクラウドベンダー が積極的に取得を目指す制度です。

ISMAPの仕組みと評価の流れ

登録を希望するクラウド事業者が自ら申請し、第三者の監査機関 によるセキュリティ監査を受けて、基準を満たせばリストに掲載されます。登録後も定期的な更新監査があり、継続的なセキュリティ維持が求められます。

ステップ内容主な担当
① 申請クラウド事業者がISMAP事務局に申請クラウド事業者
② 自己点検管理基準に基づく自己チェックシート作成クラウド事業者
③ 第三者監査ISMAP登録監査機関による独立監査監査機関
④ 審査・登録審査委員会による審査後、クラウドサービスリストに掲載ISMAP事務局
⑤ 定期更新原則1年ごとに更新監査クラウド事業者+監査機関

ISMAP管理基準の構成

評価の根拠となる ISMAP管理基準 は、国際規格 ISO/IEC 27001・27002情報セキュリティマネジメント)や ISO/IEC 27017(クラウド固有の管理策)などをベースに策定されています。管理策の数は1,000項目以上に上り、組織的・物理的・技術的な広範囲をカバーしています。

ISMAP-LIU(低影響業務向け)

2022年には ISMAP-LIU(Low-Impact Use) というサブカテゴリも開始されました。通常のISMAPより審査基準を緩和し、機密性の低い業務向けのSaaSサービスも登録しやすくしたものです。

種別対象審査の厳しさ
ISMAP機密性の高い政府業務向けIaaS/PaaS/SaaS高い(1,000項目超)
ISMAP-LIU低影響業務向けSaaS(ビデオ会議等)中程度(簡略化)

歴史と背景

  • 2018年 — 政府が「クラウド・バイ・デフォルト原則」を策定。クラウドを優先利用する方針を打ち出す
  • 2019年 — ISMAPの制度設計・管理基準の検討開始。海外の類似制度(米国FedRAMPなど)を参考に日本版を構築
  • 2020年6月 — ISMAP運用開始。初期の登録サービスはAWS・Azure・GCPなど主要クラウドを含む数社
  • 2021年 — デジタル庁発足に伴い、ISMAPの管轄にデジタル庁が加わる
  • 2022年 — ISMAP-LIU(低影響業務向け)の運用開始。利用範囲を拡大
  • 2023年以降 — 登録サービス数が増加し、国内外クラウドベンダーの参入が加速

ISMAP と類似制度の比較

日本のISMAPは、米国の FedRAMP を参考に設計されたとされています。両者の違いを理解すると、ISMAPの位置づけがよりクリアになります。

政府クラウドセキュリティ評価制度の比較 🇯🇵 ISMAP(日本) 運営 NISC・デジタル庁・総務省・経産省 開始年 2020年 審査主体 登録監査機関(第三者) 更新頻度 原則1年ごと 主な参照規格 ISO/IEC 27001/27002/27017 🇺🇸 FedRAMP(米国) 運営 GSA(一般調達局)・DHS・DOD・OMB 開始年 2012年 審査主体 3PAO(第三者評価機関) 更新頻度 年次・継続監視 主な参照規格 NIST SP 800-53 参考

民間企業がISMAPで意識すべきポイント:

  • クラウド導入を検討しているベンダーの選定時:ISMAPリストに載っているかどうかを確認するだけで、セキュリティの最低ラインを担保できる
  • 自社がクラウドサービスを提供する場合:政府・官公庁向けに売り込むならISMAP登録は事実上の必須条件
  • サプライチェーンリスク管理:政府系プロジェクトに関わるSIerやベンダーも、採用クラウドがISMAP登録済みかを問われるケースが増加中

関連する規格・RFC

規格番号内容
ISO/IEC 27001情報セキュリティマネジメントシステム(ISMS)の要求事項。ISMAPの管理基準の根幹
ISO/IEC 27002情報セキュリティ管理策の実践規範。管理策の具体的なガイドライン
ISO/IEC 27017クラウドサービスに特化したセキュリティ管理策のガイドライン
ISO/IEC 27018クラウド上の個人情報保護に関するガイドライン

関連用語

  • クラウドコンピューティング — インターネット経由でITリソースを利用する仕組み。ISMAPの評価対象
  • ISMS — 情報セキュリティマネジメントシステム。ISMAPの管理基準の土台となる国際規格
  • ISO/IEC 27001 — 情報セキュリティ管理の国際規格。ISMAP管理基準の中核
  • FedRAMP — 米国連邦政府版のクラウドセキュリティ評価制度。ISMAPの参考モデル
  • ゼロトラスト — 「何も信頼しない」前提のセキュリティ設計思想
  • サプライチェーンリスク — 外部委託や調達先を経由したセキュリティリスク
  • 政府共通プラットフォーム — 政府機関が共同利用するクラウド基盤。ISMAP登録サービスが採用される
  • 個人情報保護法 — 個人データの取扱いを定める日本の法律。クラウド利用時にも適用される