ISMAP登録済みのクラウドサービスであっても、すべての機能やリージョンが利用可能とは限りません。 重要なのは、「ISMAPに登録されているか」だけでなく、どこまでが評価対象になっているかを確認することです。
本記事では、ISMAPの「言明対象範囲」の意味と、調達・情シス実務で見落としやすい確認ポイントを整理します。
ISMAPの「言明対象範囲」とは?
ISMAPの言明対象範囲とは、登録されたクラウドサービスのうち、実際にセキュリティ評価の対象となった機能・構成・リージョンの範囲を指します。
ISMAP登録は、クラウドサービス全体を一律に評価するものではありません。評価の対象となるのは、あらかじめ定められた「言明対象範囲」に含まれる機能・リージョン・構成のみです。
よくある3つの誤解
誤解1:登録済みなら全機能が対象
ISMAP登録は、サービス全体ではなく特定機能や構成単位で行われます。新機能やオプション機能、プレビュー機能は対象外となっているケースもあります。
誤解2:海外リージョンも自動的に含まれる
登録時の言明対象範囲に、日本国内リージョンのみが評価対象として記載されているケースがあります。 データ保存場所が要件に含まれる場合は、リージョンの明記を必ず確認する必要があります。
誤解3:将来追加機能も自動的に対象になる
ISMAP登録は、監査対象期間中の構成や機能に基づいて評価されます。 その後に追加された機能が自動的に対象となるわけではありません。
実務で確認すべき3つのポイント
- 利用予定機能が言明対象範囲に含まれているか
- データ保存リージョンが要件を満たしているか
- 管理策の実施状況に不足がないか
ISMAPポータルサイトのクラウドサービスリストには、言明対象範囲の概要が掲載されています。 提案評価時には、ベンダーへ書面で確認することを推奨します。
調達仕様書への記載例
調達仕様書には、次のような表現を盛り込むと実務上有効です。
「ISMAPクラウドサービスリストに登録されていること。かつ、本業務で利用予定の機能およびリージョンが言明対象範囲内であることを証明できること。」
単に「ISMAP登録済み」と記載するだけでは不十分です。 対象範囲まで踏み込んだ確認が、後の監査リスクを防ぎます。
ISMAP制度全体の仕組みについては、ISMAPとは?の解説記事もあわせてご確認ください。
まとめ|ISMAPは“前提条件”、範囲確認が本丸
ISMAP登録は、クラウド調達における重要な前提条件です。 しかし、実務上のリスクは「言明対象範囲の誤解」から生じることが少なくありません。
登録の有無だけでなく、どこまでが評価対象かを具体的に確認することが、調達担当者・情シス担当者に求められる実務対応です。
よくある質問(FAQ)
Q1. ISMAPの言明対象範囲はどこで確認できますか?
ISMAPポータルサイトのクラウドサービスリストや、各クラウドベンダーの登録情報で確認できます。利用予定機能が対象範囲に含まれているかを個別に確認することが重要です。
Q2. ISMAP登録済みなら全機能が使えますか?
いいえ。ISMAP登録は特定の機能や構成単位で評価されます。新機能やオプション機能は対象外となる場合があります。
Q3. 海外リージョンも自動的に対象になりますか?
登録時に明示されたリージョンのみが評価対象となります。データ保存場所が要件に含まれる場合は特に注意が必要です。
Q4. 言明対象範囲を確認しないとどうなりますか?
監査や契約上の要件不適合が発生する可能性があります。仕様書段階で対象範囲を明確にしておくことが重要です。
ISMAP対応クラウドの構成確認でお困りですか?
言明対象範囲の読み解きや、構成が要件を満たすかの確認は専門的な判断が必要です。
フューチャースピリッツでは、ISMAP要件を踏まえたクラウド構成設計・確認支援を行っています。
