ismap イメージマップを利用する際に指定
政府情報システムのためのセキュリティ評価制度
(ismap から転送)
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2026/05/28 02:14 UTC 版)
政府情報システムのためのセキュリティ評価制度(せいふじょうほうシステムのためのセキュリティひょうかせいど、英: Information system Security Management and Assessment Program、略称: ISMAP、イスマップ)は、日本政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、円滑な導入に資することを目的とした制度である[1]。
2018年に打ち出された「クラウド・バイ・デフォルト原則」を背景に、各府省庁が個別に実施していたセキュリティ評価の負担を軽減するため、2020年から運用が開始された。ISMAPは情報セキュリティマネジメントシステム(ISMS)などの国際規格をベースに、日本政府特有の要件を追加した管理基準を用いている[2]。主にIaaS、PaaS、SaaSといったクラウドサービスを対象とし、民間の監査法人を活用した評価体制をとっている。
セキュリティリスクが低い業務や情報を対象としたSaaS向けには「ISMAP-LIU」というサブフレームワークも存在する[3]。
概要
日本政府は2018年6月に「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を決定し、クラウドサービスの利用を第一候補とする「クラウド・バイ・デフォルト原則」を打ち出した[1]。しかし、クラウド環境への移行は新たなセキュリティリスクを伴うため、各府省庁が個別にセキュリティ要件を定義して評価を実施していたが、これは行政とベンダーの双方に大きな負担と非効率をもたらしていた。
これらを解消するため、統一的なセキュリティ水準を国家レベルで定め、要件を満たしたサービスをリスト化する包括的な枠組みとしてISMAPが構想された。ISMAPの直接的な設置根拠は、2020年1月30日にサイバーセキュリティ戦略本部で決定された「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」に求められる[1]。各政府機関がクラウドサービスを調達する際は、この制度に登録されたサービスから調達することが原則として義務付けられている[1]。
制度の根底には「サイバーセキュリティ基本法」に基づく「政府機関等のサイバーセキュリティ対策のための統一基準群」が存在する[4]。ISMAPの各種管理基準は、この統一基準が求める高度な要件をクラウド事業者が遵守できるよう設計されている。
ISMAPで承認されたサービスはクラウドサービスリストに公開され、リストは継続的に更新されている[5]。ISMAPへの登録は、政府調達の要件を満たすだけでなく、金融機関や医療機関など高いセキュリティ水準を求める民間企業に対する信頼性の証ともなっている[6]。さらに、ISMAP取得支援のコンサルティングや、内部統制の管理を自動化するSaaSの需要が拡大するなど、周辺のサイバーセキュリティ市場を底上げする効果も生み出している[7]。上位のSaaSが登録済みのIaaSを利用するケースが多いため、サプライチェーン全体でセキュリティが連鎖的に確保される構造となっている。
組織とガバナンス
ISMAPのガバナンスはデジタル庁、総務省、経済産業省、警察庁、内閣サイバーセキュリティセンター(NISC)が所管省庁として連携し、以下のような体制が構築されている[6]。認定された第三者の監査機関が実務を担う責任共有モデルを採用している
- ISMAP運営委員会 - 制度の全体的な意思決定と統括を行う最高機関。登録申請者や監査機関に対する要求事項の策定、管理基準や規程の制定を行う。最終的なリスト登録の適否を総合的に判断する。
- ISMAP運用支援機関 - 独立行政法人情報処理推進機構(IPA)が担う実務機関。専用ポータルサイトの運用、申請受付、提出書類に基づく技術的審査、総合窓口機能を提供する。
- 登録監査機関 - ISMAP監査機関リストに登録された民間の監査法人や情報セキュリティ監査機関。クラウド事業者のセキュリティ統制が基準を満たしているか外部監査を実施する。
- クラウドサービス事業者 - ISMAP管理基準に基づき、自社サービスのセキュリティ統制を設計・整備・運用する主体。監査を経てIPAに登録申請を行う。
ISMAP管理基準
ISMAP管理基準は、情報セキュリティマネジメントシステム(ISMS)およびクラウドセキュリティの国際規格群である「JIS Q (ISO/IEC) 27001, 27002, 27017」をベースラインとしている[2]。これに加え、米国連邦政府の「NIST SP800-53」等を参照し、日本の政府統一基準を満たすために不足している管理策を補完している[4]。
基準は対象となる階層と責任範囲に応じて3つに分類されている[2]。
| 基準の分類 | 対象者 | 3桁管理策 (統制目標) | 4桁管理策 (詳細管理策) | 実施の要否と内容の概要 |
|---|---|---|---|---|
| ガバナンス基準 | 経営陣 | - | 18項目 | 原則すべて実施必須。セキュリティに関する経営レベルの意思決定など。 |
| マネジメント基準 | 管理者 | 21項目 | 64項目 | 原則すべて実施必須。セキュリティリスクの的確なマネジメント、内部監査など。 |
| 管理策基準 | 実務実施者 | 21項目 | 1074項目 | 一部選択可能(コアは必須)。アクセス管理、暗号化、ログの取得など、技術的・物理的な実装状況の確認。 |
1000を超える詳細管理策(4桁管理策)すべてを無条件で実装する必要はなく、コア管理策以外は自社のサービスモデルやリスクアセスメントに基づき、最適な手段を選択することが可能である[2]。
ISMAP-LIU
ISMAPの要件はSaaSベンダー等にとって参入障壁が高かったため、リスクベースのアプローチを導入した「ISMAP-LIU(Low-Impact Use)」が創設され、2021年3月から運用が開始された[3]。これはデータの漏洩や停止による社会的・業務的な影響が限定的であると判断されるシステムを対象としている[8]。ISMAP-LIUでは、外部監査の前にISMAP運用支援機関へ事前申請を行い、適格性が認められれば外部監査の対象項目数が大幅に削減される[3]。これにより、事業者の監査コストを抑えつつ政府のセキュリティ要件を満たすことが可能となった。
クラウドサービスリスト
承認されたサービスは「ISMAPクラウドサービスリスト」および「ISMAP-LIUクラウドサービスリスト」に公開され、リストは継続的に更新されている[5]。Amazon Web Services (AWS)、Google Cloud Platform (GCP)、Microsoft Azureなどのグローバルメガクラウドのほか、さくらインターネット、インターネットイニシアティブ(IIJ)、富士通などの国内ベンダーのIaaSも登録されている[9]。SaaS層でもkintoneやクラウドサインなど、多くの民間サービスが認定を受けている[9]。
脚注
- 1 2 3 4 内閣サイバーセキュリティセンター『政府情報システムのためのセキュリティ評価制度 (ISMAP)の利用について(案) 概要』(レポート)。2026年5月26日閲覧。
- 1 2 3 4 ISMAP運営委員会『ISMAP 管理基準マニュアル 令和6年7月1日』(レポート)。2026年5月26日閲覧。
- 1 2 3 “Efforts to Promote ISMAP-LIU Registration”. Digital Agency. 2026年5月26日閲覧。
- 1 2 国家サイバー統括室『政府機関等のサイバーセキュリティ対策のための統一基準 (令和7年度版)』(レポート)。2026年5月26日閲覧。
- 1 2 “ISMAPクラウドサービスリストを公開しました”. デジタル庁. 2026年5月26日閲覧。
- 1 2 ISMAP運営委員会『政府情報システムのためのセキュリティ評価制度 (ISMAP)の概要』(レポート)。2026年5月26日閲覧。
- ↑ “ISMAP評価業務”. PwC Japanグループ. 2026年5月26日閲覧。
- ↑ デジタル庁『Guidance for Evaluating the Impact of Operations and Information in ISMAP-LIU』(レポート)。2026年5月26日閲覧。
- 1 2 「さくらのクラウドやSlackが“政府認定クラウドサービス”に登録 各省庁の調達対象に」『ITmedia NEWS』2021年12月20日。2026年5月26日閲覧。
関連項目
外部サイト
- ismapのページへのリンク
