ISMAP（政府情報システムのためのセキュリティ評価制度）とは？

はじめに

ISMAP（イスマップ）とは、正式名称を「政府情報システムのためのセキュリティ評価制度」（Information system Security Management and Assessment Program）といい、政府機関などがクラウドサービスを調達する際に、あらかじめ一定以上のセキュリティ要件を満たしたサービスを選定できるようにするための制度です。クラウドサービスに対するセキュリティ評価を統一化し、政府として必要な安全性を担保しながら、クラウド活用を円滑かつ効率的に進めることを目的としています。

この制度は、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」（令和2年1月30日 サイバーセキュリティ戦略本部決定）を根拠としており、同年6月にNISC（内閣サイバーセキュリティセンター）、デジタル庁、総務省、経済産業省を所管省庁として制度運用が開始されました。これにより、クラウドサービス活用の推進とセキュリティ確保の両立を実現する枠組みが整備されています。

背景

2018年6月、政府は「クラウド・バイ・デフォルト原則」を掲げ、原則としてクラウドサービスの利用を優先的に検討する方針を示しました。これによりクラウド導入は一気に加速しましたが、当時は官民問わず、クラウド利用に対するセキュリティ不安が依然として根強く存在していました。特に、機密性・重要性の高い政府情報システムにおいては、統一された安全性の担保が急務とされ、評価の標準化が求められるようになりました。

当時の課題として、各府省庁がそれぞれ独自にクラウドサービスのセキュリティ要件を確認していたため、評価作業の重複や非効率が顕著となっていました。同一サービスであっても調達者によって要求事項が異なる、評価基準が不透明であるなど、調達側・提供側双方に負担が生じていた点も問題とされていました。

こうした状況を改善するため、統一的な評価の枠組みと透明性の高い評価制度として整備されたのがISMAPです。これにより、政府は「一定のセキュリティ基準を満たしたサービスを一覧から選ぶ」という調達方式を基本とし、クラウドサービス事業者にとっても「共通基準での一度の評価が複数調達案件に活用できる」という効率性が確保されました。結果として、政府調達のベースラインが明確化され、信頼性と効率性の両面からクラウド利用が促進されています。

制度の関係者

ISMAPは、国際標準などを参考に策定された基準に基づき、第三者監査を経てクラウドサービスを登録する制度です。政府機関は、原則としてこの「登録簿」に掲載されたクラウドサービスから調達を行います。制度の実務運用や技術的支援はIPA（情報処理推進機構）が担い、監査機関に関する登録や評価に関する実務はJASAに再委託される形で運用されています。

ISMAP運営委員会

ISMAP運営委員会は、制度全体の中核を担う機関であり、クラウドサービス事業者および監査機関の登録、制度に関する規程の策定・改定、制度運用の見直しなどを統括します。これにより、制度の公平性、透明性、実効性の確保を担っています。

制度所管省庁

NISC、デジタル庁、総務省、経済産業省などの関係省庁が制度全体の所管を担い、ISMAP運用支援機関が適切に業務を遂行しているかを監督するとともに、制度運営の調整や情報提供などを通じて円滑な制度運用を支えています。

クラウドサービス事業者

クラウドサービス事業者は、登録された監査機関による監査を受け、管理基準に基づいた情報セキュリティ対策の実施状況を評価されます。制度規程を遵守し、必要な情報提供や協力を行うことが求められます。

監査機関

監査機関は、必要な技術的能力と体制を備え、ISMAP運営委員会の審査を経て登録されます。登録は一定期間ごとに更新され、適切かつ誠実な監査を継続する責務があります。

調達府省庁等

調達府省庁等は、原則としてISMAPクラウドサービスリストに掲載されたサービスから選定し、情報システム全体のセキュリティ確保を実現します。これにより、調達の透明性・信頼性が高まるだけでなく、評価の重複を避けた効率的な調達も可能となります。

このようにISMAPは、複数の関係者が役割分担を担いながら連携することで成立している制度です。関係者間の協力体制を基盤として、クラウドサービスのセキュリティ確保と調達の効率化を同時に実現しています。

ISMAPクラウドサービスリスト

ISMAPでは、統一的なセキュリティ要求基準に基づき安全性が評価されたクラウドサービスを「ISMAPクラウドサービスリスト」として公開しています。2021年（令和3年）3月に初回の公開が行われ、その後も対象サービスは拡大しています。政府機関がクラウドサービスを調達する際には、このリストを参照することで、一定以上のセキュリティ確保が図られたサービスを選定できます。

リストには、クラウドサービスのリージョン、統制目標、権限管理方法、準拠法など、調達担当者が判断するために必要となる情報が「詳細情報」として掲載されており、調達判断の材料として活用できます。

クラウドサービス事業者（CSP）は、ISMAPクラウドサービス登録規則に基づき、大きく以下3つの観点で要求事項への対応が求められます。

申請時の情報提供

資本関係や役員情報などの提供は、クラウドサービス事業者の信用性確認に不可欠です。また、取り扱う情報に関する法令適用状況、ペネトレーションテスト等の実施状況の提示も求められ、セキュリティ対策の透明性確保につながります。

登録期間中の対応

登録中のサービスで重大なインシデントが発生した場合には、迅速な報告と対応が求められます。統制内容の変更や重要情報の更新についても速やかな報告が必要であり、最新かつ正確な情報を維持することが重要です。また、政府調達における方針に従った適切な対応も求められます。

管理基準

クラウドサービス事業者には、経営層から現場レベルまで一貫したセキュリティ管理体制を構築するための管理基準が定められています。

ガバナンス基準では、経営層が情報セキュリティ方針を承認し、組織としての責任体制を明確化することが求められます。

マネジメント基準では、情報セキュリティマネジメントの確立・運用・改善といった継続的な管理プロセスが規定されています。

管理策基準では、アクセス制御、暗号化、マルウェア対策など、実務レベルで必要となる具体的対策が整理されています。

これらの管理基準は、JIS Q（ISO/IEC）27001／27002／27017などの国際標準を基礎として構成されており、国際的なセキュリティ基準との整合性も確保されています。

ISMAP-LIU

ISMAP-LIU（イスマップ・エルアイユー）は「ISMAP for Low-Impact Use」の略で、比較的リスクが低い用途や情報を対象とした枠組みです。既存のISMAP基準をベースとしつつ、外部監査範囲の調整などにより、過度な負担を軽減しながら適切なセキュリティ管理を確保することを目的としています。

政府情報システムにおけるクラウド利用は、IaaS・PaaS・SaaSまで幅広く拡大していますが、その中には重要度やリスク水準が比較的低いサービスも含まれます。これらのサービスについて従来のISMAPと同等の厳格な要求を一律に適用すると、コスト・工数の観点で現実的でないケースが発生する可能性があります。

こうした課題に対応するため、ISMAP-LIUが設けられました。リスクの低いサービスについては監査対象の合理化等を行い、過度な負担を避けつつ、必要なセキュリティを確保できる枠組みとして位置付けられています。

まとめ

ISMAPは、政府機関などが安心してクラウドサービスを利用するための評価・登録制度であり、クラウド調達の信頼性を高める重要な役割を担っています。統一的な評価基準に基づき、第三者による客観的評価が行われることで、セキュリティの透明性と信頼性が確保されます。

評価を通過したサービスはISMAPクラウドサービスリストに登録され、調達担当者はリストを参照することで、セキュリティ観点を踏まえた適切なサービス選定が可能となります。クラウドサービス事業者にとっても、評価を取得することで信頼性を証明し、公共分野での活用機会を広げることにつながります。

さらに、ISMAP-LIUのような枠組みの整備により、リスクに応じた柔軟なセキュリティ評価も進められています。これらの取り組みを通じて、ISMAPは政府におけるクラウド活用推進と情報セキュリティ強化の両立を支える基盤として、重要な役割を果たし続けています。