ISMAP(イスマップ)は、日本の政府情報システムの安全性を担保するために、クラウドサービスのセキュリティを公的に評価・登録する制度です。デジタル化が進む現代において、政府機関はもちろん、高いセキュリティ水準を求める民間企業にとっても、ISMAPは信頼性を証明する制度として注目されています。
本記事では、このISMAPがなぜ設立され、どのような仕組みで機能しているのか、そしてその管理基準の特徴と、取得がもたらす影響について解説します。
関連:ISMAPはどうやって登録する?登録の流れと費用を解説
目次
ISMAPとは何か
ISMAPは政府が安心して利用できるクラウドサービスを選ぶための安全性の基準・審査制度です。「Information system Security Management and Assessment Program」の略称でISMAP(イスマップ)と呼ばれており、日本語では「政府情報システムのためのセキュリティ評価制度」となります。
この制度は、政府が求めるセキュリティ要求を満たしたクラウドサービスを事前に評価しリストに登録することで、政府機関等がクラウドサービスを円滑に導入できるようにすることを目的としています。
ISMAPは、内閣サイバーセキュリティセンター(NISC)、デジタル庁、総務省、経済産業省の4組織が運営委員会を構成し運営しており、独立行政法人情報処理推進機構(IPA)が制度運用に係る実務および技術的な支援を行っています。運用は2020年6月に開始されました。
ISMAPが評価するセキュリティの基準は、情報セキュリティマネジメントシステム(ISMS)の基準として用いられる JIS Q 27001 とその関連規格である 27002、27017 をベースとしています。それに加え、米国のセキュリティ規格である NIST SP800-53 を参考にしています。
このため、ISMAPの評価は、基本的なISMS認証よりも厳格かつ広範囲に及ぶのが特徴です。
制度設立の背景と必要性
ISMAPが創設された最大の背景は、政府のデジタル化推進策である「クラウド・バイ・デフォルト原則」の導入です。これは、政府情報システムを整備する際にはクラウドサービスの利用を第一候補とする方針を意味します。
しかし、この方針が打ち出された当時、日本には国レベルでクラウドサービスの安全性を統一基準に沿って評価する仕組みがありませんでした。そのため、政府機関は調達のたびに個別にクラウドサービスのセキュリティ対策状況を確認する必要があり、サービス提供者ごとにセキュリティレベルがばらつくという課題がありました。加えて、毎回詳細な確認作業が発生することで、調達側の負担も大きくなっていました。
政府情報システムが扱うのは機密情報や個人情報であり、クラウド利用の拡大に伴いセキュリティリスクの増加が避けられません。そのため、安全性を確実に担保できる評価制度が求められていました。
こうした状況を踏まえ、米国の FedRAMP など海外の例も参考に、サービスの安全性を統一的に評価できる仕組みとして ISMAP が策定されました。これにより、セキュリティ対策の個別確認を省略し、一定の基準を満たしたサービスを効率的かつ標準化された方法で調達できるようになりました。
また、運用開始から数年が経過する中で、実際の運用を通じて新たな課題も明らかになりました。特に、外部監査の負荷の大きさや、審査プロセスの複雑さ、管理基準の解釈の難しさなどが、クラウドサービス提供者と調達側の双方にとって負担となっていた点が指摘されています。
こうした運用上の課題に対応するため、政府は2023年10月以降、ISMAPの改善に向けた取り組みを段階的に実施しています。改善内容は、外部監査の負担を軽減するための複数年監査サイクルの導入、アップデートテスト手続きの合理化、審査プロセスの迅速化を目的とした「モデル審査期間」の明確化、さらには管理基準の合理化と解釈の明確化など多岐にわたります。2024年には、統一基準群の改定内容の反映や、管理基準ガイドブックの公開といった対応が進み、制度運用の透明性や実務上の分かりやすさも向上しました。
ISMAPに関与する主体と役割
ISMAPは、複数の機関が役割を分担することで成立する制度です。制度の設計、運用支援、基準への適合、第三者による評価というそれぞれ異なる立場が協調することで、クラウドサービスの安全性が担保されています。
ISMAP運営委員会(NISC、デジタル庁、総務省、経産省)
ISMAP運営委員会は、制度全体の設計と運営を統括しています。内閣サイバーセキュリティセンター(NISC)、デジタル庁、総務省、経済産業省の4組織で構成され、ISMAPの枠組みを定める中心的な役割を担っています。
運営委員会は、クラウドサービスのセキュリティ評価に用いるISMAP管理基準を策定し、申請者や監査機関に求める要件を定めることで制度の枠組みを整えています。また、監査機関から提出された監査結果にもとづき、クラウドサービスが基準に適合しているかを審査し、登録の可否を判断します。この審査を通過したサービスのみがISMAPクラウドサービスリストに掲載されます。
制度は「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて(令和2年1月30日 サイバーセキュリティ戦略本部決定)」という文書に基づいて運営され、制度管理も担っています。
独立行政法人情報処理推進機構(IPA)
IPAは、ISMAPの運用を支える実務・技術支援機関として位置づけられています。制度運営に必要な事務処理や技術的な支援を担当し、ISMAP全体が円滑に機能するよう調整する役割を担っています。
また、クラウドサービスリストや規程、申請手引きなどを掲載するISMAPポータルサイトの運用もIPAが担当しています。クラウドサービス提供者が提出する登録申請の受付窓口もIPAが担当しており、申請書類の受領と確認を通じて、制度運用の実務的基盤を支えています。
クラウドサービス提供者(プロバイダ)
クラウドサービス提供者は、自社サービスをISMAPに適合させ、登録を目指す立場です。ISMAP管理基準に従い、セキュリティ体制の整備と運用を行い、ガバナンス、マネジメント、管理策の各基準に適合したセキュリティ対策を実施します。
サービス内容やリスク分析、統制目標、管理策の整備状況をまとめた言明書を作成することも、クラウドサービス提供者の重要な役割です。言明書は監査機関による評価の前提となるもので、合理的な理由による例外を除き、統制目標は原則すべて選択する必要があります。クラウドサービス提供者は、この言明書と監査結果をそろえたうえで、IPAへ登録申請を行います。
ISMAP監査機関(第三者監査機関)
ISMAP監査機関は、運営委員会が定める監査機関リストに登録された独立した第三者です。BDO三優監査法人やPwC Japan有限責任監査法人など、外部監査を専門に行う機関がこれに該当します。
監査機関は、クラウドサービス提供者が作成した言明書と実施状況に基づき、ISMAP管理基準への適合性を評価します。この評価では、管理策が基準に沿って整備されているかを確かめる「整備状況評価」と、整備された管理策が実際に運用されているかを確認する「運用状況評価」の双方が行われます。監査が完了したら実施結果報告書を作成し、クラウドサービス提供者へ提示します。この報告書は、運営委員会への登録申請に不可欠な書類となります。
ISMAP-LIUとは
ISMAPには、本制度(機密性2の情報を扱うクラウドサービスを対象とする制度)とは別に、ISMAP-LIU(ISMAP for Low-Impact Use)という区分が設けられています。これは、ISMAPの対象範囲の中でも、比較的リスクの小さい SaaS を適切に扱うために設計された仕組みです。
ISMAPが対象とするクラウドサービスは IaaS、PaaS、SaaS に広がっていますが、特に SaaS は用途や機能の幅が広く、一部には 機密性2情報の中でも影響度が低い業務 のみを扱うサービスも存在します。こうしたサービスに対して通常のISMAPと同じ要求を課すと、クラウドサービス提供者に対して過剰な負担となり、結果として政府のクラウド活用自体を阻害する恐れが指摘されていました。
これを踏まえ、政府はリスクの小さな SaaS 向けに、ISMAPの枠組みを調整した制度としてISMAP-LIU を設計しています。現行ISMAPをベースにしつつ、外部監査の対象範囲を適切に絞り込むなど、業務・情報の影響度に応じた運用ができるよう構成されています。
ISMAP-LIUは、政府が情報システムを調達する際に影響度の低い業務に対しては、一律の厳格な要求ではなく必要十分なセキュリティを確保する、という考え方のもとで導入された制度であり、ISMAPを補完する位置づけにあります。
要求事項の特徴
ISMAP管理基準は、政府情報システムで想定される「機密性2」の情報を安全に取り扱うことを前提として策定されており、その厳格さと粒度の細かさはISMS認証等の一般的なセキュリティ認証を大きく上回ります。
この管理基準は、クラウドサービス事業者が登録申請を行う際に実施すべきセキュリティ対策を体系的にまとめたものです。国際規格に基づいた規格(JIS Q 27001:2014、JIS Q 27002:2014、JIS Q 27017:2016)に準拠して編成されたクラウド情報セキュリティ管理基準(平成28年度版)や、政府機関等のサイバーセキュリティ対策のための統一基準群(令和5年度版)、NIST SP800-53 rev.4を参照して作成されています。
この基準は、ガバナンス基準、マネジメント基準、管理策基準の3つで構成され、それぞれが対象とする主体や要求の粒度が明確に区分されています。
ガバナンス基準
ガバナンス基準は、組織の経営陣が担うべき情報セキュリティガバナンスの枠組みを示した基準です。この基準は他と異なり、参照している規格は JIS Q 27014:2015 となります。ガバナンスという名の通り、経営層が情報セキュリティの戦略や目的を承認し、その有効性を継続的に把握する体制を求めています。事業目的との整合性、法令・規制・契約遵守、組織的な責任の明確化など、セキュリティに関する意思決定の基礎となる事項が中心となります。
この基準は組織のセキュリティマネジメントの根幹に位置づけられるため、原則としてすべての項目を実施することが前提とされています。
マネジメント基準
マネジメント基準は、情報セキュリティ管理体制構築するためのプロセスを定めた基準です。管理者が実施すべき事項として、情報セキュリティマネジメントの計画、実行、点検、処置、及び、リスクコミュニケーションに必要な実施事項がまとまっています。基準の中身としては、「4.4.2 組織及びその状況の理解」「4.6.3 マネジメントレビュー」といった項目でできており、順番などに違いはあるものの、JIS Q 27001:2014と非常に似た内容になっています。
この基準も原則としてすべての要求事項を実施する必要があり、組織としてのマネジメント体制を確立することが求められます。
管理策基準
管理策基準は、クラウドサービスの運用現場で必要となる具体的なセキュリティ対策をまとめたものです。対象となる内容は広く、アクセス管理、ID管理、ログ取得・監視、設定管理、可用性確保など、クラウドサービスの運用に直接関わる統制が多数含まれています。その中でも、アクセス管理、システムの開発・変更に係る管理、システムの運用管理、外部委託先管理は、重大事故のリスク低減の観点で重要な領域とされており、相応の対策が求められます。
管理策基準の中には、統制目標(3桁管理策ともいう)と詳細管理策(4桁管理策ともいう)の大きく2種類の項目があります。統制目標を達成するためにその配下の詳細管理策に対応していく、という関係性で、数としては、統制目標は122個、詳細管理策は1088個です。
また、クラウドサービス特有のものでクラウドサービス提供者が特に考慮するべき管理策は番号の末尾に「.P」が付与されていたり、原則対応が必須の管理策には番号の末尾に「.B」が付与されていたりします。例えば「9.5.1.1.P」という具合です。クラウドサービス提供者はこれらの特性も考慮しつつ、管理策に対応していかなければなりません。
統制目標は合理的理由がない限りすべて選択する必要があります。詳細管理策はサービスの性質や提供環境に応じて選択し、適用していきます。この時、ISMAP-LIUの場合は、通常のISMAPよりも選択する管理策の数を少なくすることができます。
ISMAPがもたらす影響とメリット
ISMAP制度は、政府のクラウド調達を効率化するための仕組みとして設計されていますが、政府機関のほかに、一般企業におけるサービス選定時の判断材料として扱われることもあります。
政府側のメリット
政府にとって最も大きい効果は、調達プロセスの効率化と標準化です。従来は、クラウドサービスごとにセキュリティ対策の妥当性を個別に確認する必要がありましたが、ISMAPによって一定の基準を満たすサービスがあらかじめ可視化されるようになりました。これにより、調達時に一から評価をやり直す必要がなくなり、セキュリティ担保の均質化とガバナンスの強化が図られています。
プロバイダ側のメリットと課題
クラウドサービス提供者にとっては、ISMAPクラウドサービスリストへの登録が、官公庁の情報システム案件に参入するための事実上の前提条件となります。政府向け市場は規模が大きく、長期的な契約が期待できる領域であるため、ISMAPの取得は大きなビジネス機会につながります。また、ISMAPが要求する水準はISMSよりも広範かつ厳格であるため、登録されていること自体が「高度なセキュリティ対策が実装されている」ことの公的な証明となり、対外的な信頼性を高める効果も期待できます。
一方で、要求の厳格さによる運用負荷の高さが課題となっています。毎年の内部監査や監査法人による監査手続きが、特に工数圧迫やコスト面で重荷になっているのが、数年運用した結果として明確になってきています。
一般企業への波及
ISMAPクラウドサービスリストは一般公開されており、地方公共団体や民間企業でも、クラウドサービスの安全性を検討する際の参考情報として扱われる場面があります。現時点で主流の選定基準として定着しているわけではありませんが、ISMAPの要求は運用面を含めて一定の厳しさがあるため、取得している事業者については、セキュリティ対策に継続的に取り組む姿勢がうかがえるという点で、補助的な判断材料にはなります。
特に、大企業同士の比較のように、どちらもISMSを取得していて差がつきにくい状況では、ISMAPを取得しているかどうかが比較検討の追加材料になり得ます。
まとめ
ISMAPは、政府情報システムの安全性を確保するために設計された厳格なクラウドセキュリティ評価制度です。ISMSなどの一般的な認証と比較して要求水準が高く、ガバナンス、マネジメント、管理策の各基準に対して実装レベルでの対策と継続運用が求められます。こうした特性から、クラウドサービス提供者にとってISMAPは負荷の大きい制度であり、外部監査や審査対応の工数が課題として指摘されてきました。近年の制度改善により、監査サイクルの導入や基準の合理化が進んだものの、依然として一定の負荷は避けられません。
一方で、ISMAPは政府調達における実質的な必須要件となっており、官公庁向けサービスを展開する企業にとっては取得が事業機会の拡大に直結します。また、管理基準の厳格さは、クラウドサービス提供者がどの程度セキュリティに取り組める組織かを示す材料にもなり、民間企業との取引においても一定の説得力を持つ場面があります。特に、ISMS取得が前提となっている大企業同士の比較では、ISMAPの取得が追加的な安心材料として機能しやすく、調達部門への説明や社内稟議での納得感につながる可能性もあります。
とはいえ、ISMAP取得がそのままサービスの安全性を保証するものではなく、民間企業に広く普及した基準とも言えません。重要なのは、制度の特性や負荷を理解したうえで、事業戦略やターゲット顧客との関係性に照らし合わせ、費用対効果を適切に判断することです。政府機関や公的機関との取引が視野に入る企業にとっては、長期的な信頼性や競争力の確保という観点から、ISMAPの取得は検討する価値があります。厳格さゆえに手を出しにくい制度ではありますが、事業としての狙いが明確であれば、取り組む意義は十分にあると言えるでしょう。
