ISMAP（政府情報システムのためのセキュリティ評価制度）とは？

はじめに

ISMAP（イスマップ）は、正式名称を「政府情報システムのためのセキュリティ評価制度」（Information system Security Management and Assessment Program）という、政府機関などがクラウドサービスを調達する際の評価・登録制度です。あらかじめ一定以上のセキュリティ要件を満たしたサービスを選定しやすくすることで、必要な安全性を確保しつつ、クラウド活用を円滑かつ効率的に進めることを目的としています。

この制度は、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」（令和2年1月30日 サイバーセキュリティ戦略本部決定）を根拠としており、ISMAPポータルでは国家サイバー統括室、デジタル庁、総務省、経済産業省が運営主体として案内されています。これにより、クラウドサービス活用の推進とセキュリティ確保の両立を実現する枠組みが整備されています。

背景

2018年6月、政府は「クラウド・バイ・デフォルト原則」を掲げ、原則としてクラウドサービスの利用を優先的に検討する方針を示しました。これによりクラウド導入は一気に加速しましたが、当時は官民問わず、クラウド利用に対するセキュリティ不安が依然として根強く存在していました。特に、機密性・重要性の高い政府情報システムにおいては、統一された安全性の担保が急務とされ、評価の標準化が求められるようになりました。

当時の課題として、各府省庁がそれぞれ独自にクラウドサービスのセキュリティ要件を確認していたため、評価作業の重複や非効率が顕著となっていました。同一サービスであっても調達者によって要求事項が異なる、評価基準が不透明であるなど、調達側・提供側双方に負担が生じていた点も問題とされていました。

こうした状況を改善するために整備されたのが、統一的な評価枠組みを備えた透明性の高い制度であるISMAPです。政府は一定のセキュリティ基準を満たしたサービスを一覧から選ぶことができ、クラウドサービス事業者にとっても、一度の評価を複数の調達案件で活用しやすくなりました。その結果、政府調達のベースラインが明確になり、信頼性と効率性の両面からクラウド利用を進めやすくなっています。

制度の関係者

ISMAPは、国際標準などを参考に策定された基準に基づき、第三者監査を経てクラウドサービスを登録する制度です。調達府省庁等は、原則としてISMAP等クラウドサービスリストに掲載されたクラウドサービスから調達を行います。制度の実務運用や技術的支援はIPA（情報処理推進機構）が担い、そのうち監査機関の評価及び管理に関する業務はJASAに再委託されています。

ISMAP運営委員会

ISMAP運営委員会は、制度全体の中核を担う機関であり、クラウドサービス事業者および監査機関の登録、制度に関する規程の策定・改定、制度運用の見直しなどを統括します。これにより、制度の公平性、透明性、実効性の確保を担っています。

制度所管省庁

NISC、デジタル庁、総務省、経済産業省などの関係省庁が制度全体の所管を担い、ISMAP運用支援機関が適切に業務を遂行しているかを監督するとともに、制度運営の調整や情報提供などを通じて円滑な制度運用を支えています。

クラウドサービス事業者

クラウドサービス事業者は、登録された監査機関による監査を受け、管理基準に基づいた情報セキュリティ対策の実施状況を評価されます。制度規程を遵守し、必要な情報提供や協力を行うことが求められます。

監査機関

監査機関は、必要な技術的能力と体制を備え、ISMAP運営委員会の審査を経て登録されます。登録は一定期間ごとに更新され、適切かつ誠実な監査を継続する責務があります。

調達府省庁等

調達府省庁等は、原則としてISMAPクラウドサービスリストに掲載されたサービスから選定し、情報システム全体のセキュリティ確保を実現します。これにより、調達の透明性・信頼性が高まるだけでなく、評価の重複を避けた効率的な調達も可能となります。

ISMAPは、関係者が役割を分担しながら連携して運用される制度です。その協力体制によって、クラウドサービスのセキュリティ確保と調達の効率化を両立しています。

ISMAPクラウドサービスリスト

ISMAPでは、統一的なセキュリティ要求基準に基づき安全性が評価されたクラウドサービスを「ISMAPクラウドサービスリスト」として公開しています。2021年（令和3年）3月に初回の公開が行われ、その後も対象サービスは拡大しています。政府機関がクラウドサービスを調達する際には、このリストを参照することで、一定以上のセキュリティ確保が図られたサービスを選定できます。

リストには、クラウドサービスのリージョンや統制目標、権限管理方法、準拠法など、調達担当者の判断に役立つ情報が「詳細情報」として掲載されており、サービス選定の材料として活用できます。

クラウドサービス事業者（CSP）は、ISMAPクラウドサービス登録規則に基づき、大きく以下3つの観点で要求事項への対応が求められます。

申請時の情報提供

資本関係や役員情報などの提供は、クラウドサービス事業者の信用性確認に不可欠です。また、取り扱う情報に関する法令適用状況、ペネトレーションテスト等の実施状況の提示も求められ、セキュリティ対策の透明性確保につながります。

登録期間中の対応

登録中のサービスで重大なインシデントが発生した場合には、迅速な報告と対応が求められます。統制内容の変更や重要情報の更新についても速やかな報告が必要であり、最新かつ正確な情報を維持することが重要です。また、政府調達における方針に従った適切な対応も求められます。

管理基準

クラウドサービス事業者には、経営層から現場レベルまで一貫したセキュリティ管理体制を構築するための管理基準が定められています。

ガバナンス基準では、経営層が情報セキュリティ方針を承認し、組織としての責任体制を明確化することが求められます。

マネジメント基準では、情報セキュリティマネジメントの確立・運用・改善といった継続的な管理プロセスが規定されています。

管理策基準では、アクセス制御、暗号化、マルウェア対策など、実務レベルで必要となる具体的対策が整理されています。

これらの管理基準は、JIS Q（ISO/IEC）27001／27002／27017に準拠して編成されたクラウド情報セキュリティ管理基準を基礎としつつ、JIS Q 27014、政府機関等の統一基準、NIST SP800-53なども参照して構成されています。

ISMAP-LIU

ISMAP-LIU（イスマップ・エルアイユー）は「ISMAP for Low-Impact Use」の略で、リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とした枠組みです。既存のISMAP基準をベースとしつつ、外部監査対象範囲の縮小などにより、過度な負担を軽減しながら適切なセキュリティ管理を確保することを目的としています。

政府情報システムにおけるクラウド利用は、IaaS・PaaS・SaaSまで幅広く拡大していますが、ISMAP-LIUの対象として議論されたのは、このうちSaaSです。用途や機能が限定的で、機密性2情報の中でも比較的重要度が低い情報を扱うサービスについて、従来のISMAPと同等の厳格な要求を一律に適用すると、コスト・工数の観点で現実的でないケースが発生する可能性があります。

こうした課題に対応するために設けられたのがISMAP-LIUです。リスクの小さいSaaSについては監査対象を合理化し、過度な負担を避けながら、必要なセキュリティを確保できる枠組みとして位置付けられています。

まとめ

ISMAPは、政府機関などが安心してクラウドサービスを利用するための評価・登録制度であり、クラウド調達の信頼性を高める重要な役割を担っています。統一的な評価基準に基づき、第三者による客観的評価が行われることで、セキュリティの透明性と信頼性が確保されます。

評価を通過したサービスはISMAPクラウドサービスリストに登録され、調達担当者はリストを参照することで、セキュリティ観点を踏まえた適切なサービス選定が可能となります。クラウドサービス事業者にとっても、評価を取得することで信頼性を証明し、公共分野での活用機会を広げることにつながります。

さらに、ISMAP-LIUのような枠組みが整備されたことで、リスクに応じた評価の使い分けも進んでいます。ISMAPは、政府のクラウド活用を進めるうえで、セキュリティ確保の前提を支える制度として今後も重要です。