ISMAPとは｜政府・自治体のクラウド調達で必要な要件と確認ポイント

ISMAP（Information system Security Management and Assessment Program）とは、政府情報システムで利用されるクラウドサービスのセキュリティを評価・登録する日本の制度です。

ISMAPとは何か？制度の全体像

「このクラウドサービスは本当に安全なのか？」

調達担当者なら、一度は感じたことのある不安ではないでしょうか。ISMAPは、その不安を共通の基準で解消するために生まれた制度です。

なぜISMAPが必要になったのか？

2018年、政府は情報システム整備でクラウドを第一候補とする方針（クラウド・バイ・デフォルト）を打ち出しました。一方で、クラウドの安全性を評価する統一基準がなく、各府省庁が調達のたびに個別監査を行う非効率が発生しました。

ISMAPは、事前に評価したクラウドをリスト化し、原則そこから調達することで、監査の重複と負担を減らすための仕組みです。

ISMAPクラウドサービスリストとは

ISMAPに登録されたサービスは「ISMAPクラウドサービスリスト」として公開されます。

登録は第三者監査と審査を経て行われ、有効期限（原則：監査対象期間末日の翌日から1年4か月）があります。長期利用を前提にする場合は、更新期限の確認が欠かせません。

ISMAPで何が評価されるのか？（評価の枠組み）

ここが最も誤解されやすいポイントです。ISMAPは「技術対策」だけでなく、体制・運用・文書化まで含めて評価します。

補足：評価基準はISO/IEC 27001やNIST SP800-53等の国際標準を参照して設計されています。

ISMAP対応で企業が確認すべき実務チェックポイント

実務でそのまま使えるチェックリストからご確認ください

言明対象範囲を確認する

ISMAP登録は、クラウドサービス全体ではなく特定の範囲に対して行われることがあります。

「登録されているから安心」と判断する前に、使いたい機能が言明対象範囲に含まれているかを必ず確認してください。提案評価や仕様書作成では、ベンダーに「利用予定機能が範囲内であること」を書面で確認するのが安全です。

管理策の実施状況（非該当の扱い）

管理策はすべて「実施」である必要はありません。事業者はリスク評価に基づき「実施／一部実施／非該当」を選択できます。

重要なのは、非該当が自社のセキュリティポリシーに抵触しないかです。もし要件に影響する場合は代替策・追加策の検討や、サービス選定の見直しが必要です。

データ保存場所（リージョン）を確認する

クラウドによってデータ保存場所が限定される場合があります。海外リージョンが含まれる場合は法務・ガバナンスの観点も含めて判断が必要です。ISMAP登録内容におけるリージョン条件も、必ず合わせて確認してください。

登録更新期限（有効期限）を確認する

ISMAP登録には有効期限があります。継続利用・長期契約では特に重要な確認項目です。契約期間中に更新期限が来る場合は、更新されなかった場合の取り扱いを契約書に盛り込むことを推奨します。

ISMAPとAWS・CDN・WAFの関係

ISMAPとAWS（責任分界点の考え方）

AWSがISMAP登録されている範囲でも、利用者側の責任は残ります。特にアクセス権限・ログ・設定ミス対策などは、どう運用し、どう説明できるかが重要です。

ISMAPとCDN（通信・可用性・ログ）

CDNは可用性や通信保護、ログ保全の観点で重要になります。TLSやアクセス制御など、要件と整合する設定・運用が必要です。

ISMAP要件とWAF・IAM（統制の中核）

WAFはWeb攻撃対策、IAMは権限統制の中心です。ISMAP文脈では「導入しているか」より、運用と証跡（ログ・監査）が問われます。

ISMAP-LIUとは？通常ISMAPとの違い

ISMAP-LIU（Low-Impact Use）は、セキュリティリスクが小さい用途向けの軽量版制度です。
通常ISMAPとの違いは主に「扱う情報の機密性レベル」です。情報分類に応じて適切に選びます。

ISMAPでよくある誤解

まとめ｜ISMAPを理解し、説明責任を果たせるクラウド調達へ

• ISMAPは政府情報システム向けクラウドの評価・登録制度
• 判断の鍵は、言明対象範囲・管理策・リージョン・更新期限
• 「登録されているか」だけでなく、説明できる運用まで設計する

ISMAPに関するよくあるご質問（FAQ）