IT用語集 2023/11/02

ISMAP（政府情報システムのためのセキュリティ評価制度）とは？

ISMAPは、政府機関などがクラウドサービスを調達する際に参照する評価・登録制度です。正式名称は「政府情報システムのためのセキュリティ評価制度」で、政府が求めるセキュリティ要求を満たしたクラウドサービスをあらかじめ評価し、リスト化します。導入時にまず押さえたいのは、ISMAPが「登録されていれば何でもそのまま使える」という制度ではなく、政府調達の前提となるベースラインをそろえる仕組みだという点です。調達側は個別システムの要件確認を省略できるわけではなく、クラウドサービス事業者側も登録後の報告や変更管理まで含めて対応を続けることになります。

ISMAPとは

ISMAPは、政府情報システムのクラウド調達におけるセキュリティ水準をそろえるための制度です。政府が求める要件を満たしたクラウドサービスを事前に評価・登録しておくことで、各府省庁が個別に同じ確認を繰り返す負担を減らしつつ、一定水準の安全性を確保しやすくします。

制度の根拠は「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」（令和2年1月30日サイバーセキュリティ戦略本部決定）です。運営は国家サイバー統括室、デジタル庁、総務省、経済産業省が担い、IPAが制度運用に係る実務と評価に係る技術的支援を担います。

なぜISMAPが整備されたのか

政府では、2018年6月に初版決定された「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を通じて、クラウド・バイ・デフォルト原則に基づく移行が進められました。クラウド利用を優先的に検討する流れが強まる一方で、各府省庁が個別に評価を行う状態では、同じサービスに対して確認作業が重複し、調達側にも提供側にも負担が残ります。

ISMAPは、この重複とばらつきを減らすための制度です。統一的な評価枠組みを設けることで、調達側は確認の出発点をそろえやすくなり、クラウドサービス事業者側も一度の評価を複数案件で活かしやすくなります。

制度の関係者と役割

ISMAPは、制度所管省庁、ISMAP運営委員会、IPA、監査機関、クラウドサービス事業者、調達府省庁等が役割を分担して運用します。全体像は次のように整理できます。

制度所管省庁	国家サイバー統括室、デジタル庁、総務省、経済産業省が制度全体を運営します。
ISMAP運営委員会	制度規程の整備、登録の判断、制度見直しなど、制度運営の中核を担います。
IPA	制度運用に係る実務と、評価に係る技術的支援を担います。
監査機関	登録された監査機関が、制度で定められた管理基準に基づいて第三者監査を行います。
クラウドサービス事業者	監査を受け、登録規則に沿って申請、報告、変更届出などを行います。
調達府省庁等	原則としてISMAP等クラウドサービスリストに掲載されたサービスから調達を行います。

ISMAPクラウドサービスリストとは

ISMAPでは、評価を経て登録されたクラウドサービスを「ISMAPクラウドサービスリスト」として公開しています。調達側はこのリストを参照することで、一定の基準を満たしたサービスを候補として絞り込みやすくなります。

ただし、リスト掲載は個別システムの適合性判断を完全に代替するものではありません。実際の調達では、システムの用途、扱う情報、構成、運用条件に照らして追加確認が残ります。リストは「最低限の入口」ではなく、政府調達におけるベースラインとして捉える方が実態に合います。

クラウドサービス事業者に求められること

クラウドサービス事業者は、申請時だけ対応すればよいわけではありません。登録規則に沿って、登録前、登録中、変更発生時の対応を続ける必要があります。

申請時の情報提供	資本関係、役員情報、法令適用状況、セキュリティ対策の実施状況など、評価に必要な情報を提出します。
登録期間中の報告	重大な情報セキュリティインシデントが発生した場合は、速やかな報告が求められます。
変更時の届出	公表情報の変更や、重大な統制変更につながる事象があれば、速やかな届出が要ります。

この制度は、一度登録されたら終わりという考え方では回りません。登録後の更新や報告まで含めて運用して初めて、リストの信頼性が保たれます。

ISMAPの管理基準

ISMAPの管理基準は、クラウドサービス事業者が整えるべきセキュリティ管理の枠組みを示すものです。構成は大きく三つに分かれます。

ガバナンス基準	経営層の関与、責任体制、方針承認など、組織としての統治に関わる基準です。
マネジメント基準	情報セキュリティマネジメントの計画、運用、点検、改善に関わる基準です。
管理策基準	アクセス制御、暗号化、マルウェア対策など、実務上の対策に関わる基準です。

現行の管理基準は、JIS Q 27001:2014、JIS Q 27002:2014、JIS Q 27017:2016 を基礎としつつ、政府機関等の統一基準群や NIST SP800-53 などを参照して構成されています。したがって、単純にISO認証の読み替えとして見るより、政府調達向けに調整された基準と見る方が正確です。

ISMAP-LIUとは

ISMAP-LIUは「ISMAP for Low-Impact Use」の略で、ISMAPの枠組みをベースにした低影響利用向けの制度です。対象は、機密性2情報を扱うSaaSのうち、リスクの小さな業務・情報の処理に用いるものです。ISMAP本体と同じ厳しさを一律に当てると、用途やリスクに対して過度な負担になり得るため、その合理化を図る位置付けで設けられています。

ここで大事なのは、ISMAP-LIUが「簡易版だから何でも軽くなる」制度ではないことです。あくまで影響度が低いと評価される業務・情報に用いるSaaSを対象に、外部監査対象範囲の縮小などを通じて、リスクに応じた評価へ調整した枠組みです。

ISMAPとISMAP-LIUの違い

ISMAP	政府調達向けクラウドサービス評価制度の本体です。政府が求めるセキュリティ要求を満たすサービスを評価・登録します。
ISMAP-LIU	機密性2情報を扱うSaaSのうち、低影響利用を想定したサービス向けの枠組みです。リスクに応じて評価負担を合理化します。

導入判断で見ておきたい点

ISMAPを理解するうえで見落としやすいのは、「登録されているか」だけで結論を出さないことです。調達側と提供側では見るべき点が違います。

調達側	リスト掲載の有無に加え、扱う情報、構成、運用要件、追加統制の要否まで確認した方が判断しやすくなります。
提供側	申請負担だけでなく、登録後の報告、更新、変更管理まで続けられる体制があるかを見ておく必要があります。
民間企業	公共調達向け制度ではありますが、クラウドサービスの評価観点や説明責任の参考材料として見る余地があります。

まとめ

ISMAPは、政府情報システムのクラウド調達におけるセキュリティ評価と登録の制度です。制度の役割は、「安全なサービスを保証すること」そのものではなく、政府調達で必要となるベースラインを統一し、評価の重複やばらつきを減らすことにあります。ISMAP-LIUは、そのうち低影響利用のSaaSに向けて、リスクに応じた合理化を加えた枠組みです。制度名だけ覚えるより、誰が運営し、どのサービスが対象で、登録後に何が求められるかまで押さえた方が、実務判断に使いやすくなります。