ISMAP（イスマップ）とは。クラウドサービス事業者が知っておくべき概要と認証取得のポイント解説

キーワード：

• システム

ISMAP（イスマップ）認証は、官公庁などが利用するクラウドサービスを事前に登録する制度のことです。政府が求めるセキュリティ基準を満たすことで、公共機関へのサービス提供が可能になるだけでなく、自社が提供するサービスの信頼性向上や、競争力の強化につながります。

今回は、ISMAPの概要や管理基準、ISMAP-LIUとの違い、登録のメリットについて解説します。認証取得の流れも紹介しますので、ISMAP登録を検討するIT企業は参考にしてみてください。

ISMAP（イスマップ）とは、「Information system Security Management and Assessment Program」の略称で、「政府情報システムのためのセキュリティ評価制度」のことです。政府機関が安全にクラウドサービスを選定し利用できるよう、あらかじめ日本政府が定めたセキュリティ基準を満たしたサービスを認定し登録するものです。

政府機関は原則として、リストに登録されたサービスから調達を行うため、政府向けにクラウドサービスを展開したいIT企業にとって、ISMAP取得は必須となります。

ISMAP導入の目的と背景

ISMAP導入の目的は、政府機関が利用するクラウドサービスの円滑な導入と、セキュリティレベルの向上です。

2018年6月、政府は「クラウド・バイ・デフォルト原則」を示し、情報システムの整備にあたって、オンプレミスではなくクラウドサービスを第一候補とする方針を掲げました。しかし、当時の日本にはクラウドサービスの安全性を評価し認定する統一的な基準がなく、各機関が個別にセキュリティ対策を確認している状況でした。

そこで、政府はクラウドサービスの安全性評価に関する検討の必要性から、セキュリティ上のリスクを回避しながら効率的な調達を行うために、統一的な評価基準としてISMAPを制定。2020年6月に運用を開始しました。各機関による情報セキュリティ対策の直接確認を省略することで、一定の対策や実施が確認されたクラウドサービスの効率的な調達が可能となりました。

ISMAPの運営組織

ISMAPの最高意思決定機関は「ISMAP運営委員会」です。内閣サイバーセキュリティセンター（NISC）、デジタル庁、総務省、経済産業省の4つの省庁の下に設置された組織で、所轄官庁が連携して運営を行っています。

出典：『政府情報システムのためのセキュリティ評価制度（ISMAP）』（NISC）［制度の基本的な枠組み］の図を加工して作成

ISMAP運営委員会は、以下を含む規程を定めます。

これらの規程に基づき、ISMAP運営委員会は要求事項を満たす機関（民間企業）を「ISMAP監査機関リスト」に登録します。監査機関はクラウドサービス事業者の管理基準に基づく情報セキュリティ対策の実施状況について、監査基準に基づいた監査を行います。監査を通過したクラウドサービスは、ISMAP運営委員会によって「ISMAPクラウドサービスリスト」に登録されます。クラウドサービスを調達したい省庁は、そのリストを参照しながらサービスを選定する、という流れです。

ISMAPで確認される「管理基準」とは、クラウドサービスリストへの登録にあたり実施すべき一連の基準のことです。主に、情報セキュリティの安全性を確保するために必要な措置を明確にしています。

具体的には、アクセス制御、暗号化、バックアップ、監視、インシデント対応などの基本的なセキュリティ項目が含まれます。クラウドサービス事業者が認証を取得するには、政府機関が求めるこれらの管理基準をクリアすることが必須です。

ISMAPの管理基準は、以下の3つで構成されています。

この基準は、政府機関が情報の格付けにおいて「機密性2」に区分される情報を扱うことを想定しています。国際規格をベースに、「政府機関等の情報セキュリティ対策のための統一基準群（統一基準）」や米国の連邦情報システム「NIST SP800-53」なども参照して作成した、網羅性が高いものとなっています。

出典：ISMAPポータル『ISMAP管理基準』

ISMAPから派生した制度に、「ISMAP-LIU（イスマップ・エルアイユー）」があります。ISMAP-LIUは「ISMAP for Low-Impact Use」の略称で、2022年11月に運用が開始されました。ISMAP同様、要求基準を満たし認証されたサービスは、「ISMAP-LIU クラウドサービスリスト」に登録されます。

ISMAPとISMAP-LIUは、どちらも政府が求めるセキュリティ水準を満たすクラウドサービスを評価し登録する制度ですが、サービスの対象範囲と外部監査の対象項目に違いがあります。

具体的に見ていきましょう。

ISMAP-LIUの目的と特徴

ISMAP認証は、幅広いセキュリティ要件を満たす必要があります。一方で、ISMAPが対象としている「機密性2」に該当する情報システムはSaaS、PaaS、IaaSと多岐にわたり、情報セキュリティリスクが小さい業務にISMAPを適用すると、要求事項が過剰でサービス調達が進まないという課題がありました。

それに対し、ISMAP-LIUは、「セキュリティリスクの小さな業務や比較的重要度の低い情報」に用いる、SaaSサービス（Software as a Serviceの略。サービスとしてのソフトウェア）が対象です。監査の難易度はISMAPと同等ですが、サービスの対象範囲を限定しているため、ISMAPよりも外部監査の項目が少なくなっているのが特徴です。これにより、SaaSの事業者はISMAPに比べて迅速かつ低コストで登録が可能で、政府機関もより手軽にSaaSを調達できる仕組みになっています。

ISMAP-LIUの登録の流れ

ISMAP-LIUは前述の通り、セキュリティリスクの低い業務（機密性の低い情報）向けの認証制度で、ISMAPの補完的な役割を果たします。例えば、公表を前提とした情報のみを取り扱うサービスや、個人情報を保有しないサービスなどが想定されています。

ただし、ISMAP-LIUでは、ISMAPと異なり「事前申請」が必要です。実際に導入を検討している政府機関が業務や情報の影響度評価を行い、「情報の機密度が低い」と確認する必要があるためです。具体的な対象業務は、ISMAPポータル内の「ISMAP-LIU業務・情報の影響度評価ガイダンス」に掲載されていますので、自社が提供するサービスがISMAP-LIUに該当するかをご確認ください。

ISMAP-LIU登録に関する質問や相談については、ポータルサイトのQ＆Aに掲載されているほか、専用の窓口へ問い合わせが可能です。 出典：デジタル庁『ISMAP-LIU登録促進のための取組み』

ISMAPを導入すると、クラウドサービスの提供事業者と利用事業者のそれぞれに異なるメリットがあります。ここでは、主なメリットを解説します。

クラウドサービス提供事業者のメリット

政府機関へクラウドサービスを提供するには、基本的に「ISMAPクラウドサービスリスト」に登録されることが前提です。認証登録されたIT企業は、官公庁向けにビジネスを展開できるほか、自社サービスのセキュリティ対策が公的に認められることで、民間企業からの信頼度も向上し、競争力向上につながるでしょう。従って、クラウドサービスを提供するIT企業にとって、ISMAP認証は事業拡大のための重要な手段の一つと言えます。

クラウドサービス利用事業者のメリット

ISMAPを利用する事業者のメリットとしては、自社の情報セキュリティの強化と、システム運用の安定性が挙げられます。ISMAPのサービスリストに登録されているサービスは、情報システムのリスク管理が徹底されているため、サイバー攻撃や情報漏洩などのリスクを最小限に抑えることが可能です。

また、システムの運用が評価と監査を通じて継続的に改善されるため、安定したサービス提供を受けることが期待できます。

「ISMAPクラウドサービスリスト」に登録され、政府機関のクラウドサービス調達候補となるには、主に「監査機関による監査」と「独立行政法人情報処理推進機構（IPA）による登録審査」の2つを達成する必要があります。

ここでは、登録の条件や必要書類、認証や登録の流れについて解説します。

登録の条件と必要な書類

ISMAPに登録するための条件と必要書類は「クラウドサービス登録申請の手引き」に掲載されています。2025年2月時点の内容は、以下の通りです。

出典：『【クラウドサービス事業者様向け】各種お手続きについて』【クラウドサービス登録申請の手引き】別添2 提出書類チェックリストより引用

申請文書の作成や提出については、「ISMAPクラウドサービス登録申請の手引き」に記載されており、申請の操作マニュアルもあります。手引きは適宜内容が改定されるため、必ず最新版に目を通しましょう。

参考：ISMAPポータル『【クラウドサービス事業者様向け】各種お手続きについて』

ISMAPクラウドサービスリストへの登録の流れ

ISMAPクラウドサービスリストへの登録は、以下のような流れで行います。

登録申請を行う際は、「ISMAPクラウドサービス登録規則」の第3章（申請者に対する要求事項）を基に、申請者のセキュリティ対策について「基本言明要件に沿った言明」を行うと定められています。

申請者は、ISMAPの管理基準に従って内部統制の整備や運用を行った上で、ISMAP管理基準への適合状況を「言明書」として作成します。その他、前述した条件をクリアしていること、必要書類がそろっていることを確認した上で、登録のステップを進めましょう。詳しくは、登録規則をご確認ください。

参考：ISMAPクラウドサービス登録規則『第3章　申請者に対する要求事項』

実際に登録するには、どれくらいの時間と費用がかかるのでしょうか。それぞれ説明します。

登録までにかかる時間

書類を提出してから、審査を経てリストに登録されるまでには、3〜6カ月程度かかります。企業や申請するサービスの規模などによって異なりますが、自社サービス登録の検討や社内の体制整備、書類提出後の審査期間も含めると、約1～2年かかる見込みです。

なお、登録には有効期限があります。期限は監査対象期間の末日の翌日から1年4カ月とされており、継続して登録する場合は、有効期限までに更新のための審査を受ける必要があります。1年4カ月には更新のための審査期間も含まれることにも注意しましょう。

登録にかかる費用

登録申請自体は無料ですが、申請にはISMAPが指定する機関の監査が必要なため、監査機関に対する費用が発生します。費用は監査法人により異なりますが、非常に高額です。

ISMAP-LIUの登録では、ISMAPよりも費用が抑えられています。また、次年度以降は、登録を継続するための更新費用も発生します。複数の法人から見積書を取り寄せて、比較検討してみるとよいでしょう。

参考：ISMAPポータル『監査機関リスト』

登録されたクラウドサービスのリストには、クラウドサービスの名称、事業者の名称、登録日などが掲載されます。さらに、言明の対象範囲（ISMAPの管理基準に適合していると表明する範囲）、後発事象、特記事項などの詳細も知ることができます。

リストはISMAPのポータルサイトで一般公開されており、誰でも閲覧可能です。現在どのような企業が登録をしているのかを確認したり、政府が求める水準のクラウドサービスを把握したりする際の参考にしてみてください。

参考：ISMAPポータル『ISMAPクラウドサービスリスト』

ISMAPのリストに登録されたクラウドサービスは、政府がクラウドサービスを検討する際の選定対象となります。要求される情報セキュリティのレベルは高く、登録には工数や多額の費用がかかりますが、一方で、「自社のクラウドサービスのセキュリティレベルを向上できる」「政府から安全であると評価を受けた証明になる」などのメリットもあります。申請においては、必要書類や期限に留意する必要があるほか、今後も管理基準の見直しなどが検討されているため、最新の情報に注意しましょう。

「ISMAP登録申請について検討を進めたいけれど、社内のリソースが不足している」といったお悩みがある方は、ぜひ一度「HiPro」へご相談ください。