【用語解説】ISMAPとは？クラウド調達で失敗しないための必須知識

ISMAP（政府情報システムのためのセキュリティ評価制度）とは、 政府や自治体が利用するクラウドサービスの安全性を事前に評価・登録する仕組みです。

クラウド調達の「共通言語」として浸透したISMAP

「このクラウドサービス、本当に安全なんだろうか？」

調達担当者であれば、一度は感じたことのある不安ではないでしょうか。便利で効率的なクラウドサービスを導入したい一方で、セキュリティ面での懸念から慎重にならざるを得ない――そんなジレンマを解消するために生まれたのが、ISMAP（イスマップ）という制度です。

2020年6月の運用開始以降、政府機関等の調達では、原則としてISMAP等クラウドサービスリストに掲載されたサービスから調達が行われることになりました。また、2024年10月に改定された地方自治体向けガイドラインでも、その重要性がより明確になっています。

本記事では、調達業務に携わる皆様が最低限押さえておくべきISMAPの基本知識と、実務での活用ポイントをわかりやすく解説します。

ISMAPが生まれた背景｜個別監査からの脱却

ISMAPの正式名称は「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)」といいます。国家サイバー統括室、デジタル庁、総務省、経済産業省の4省庁が共同で運営する、政府公認のクラウドサービス評価制度です。

この制度が生まれた背景には、政府全体で推進してきた「クラウド・バイ・デフォルト原則」があります。2018年6月、政府は情報システムを整備する際、クラウドサービスを第一候補として検討する方針を打ち出しました。従来のオンプレミス型と比較して、コスト削減や柔軟な拡張性、最新のセキュリティ対策といったメリットがあるためです。

しかし、ここで大きな問題が浮上しました。クラウドサービスのセキュリティを評価する統一的な基準が存在しなかったのです。その結果、各府省庁が調達のたびに個別にセキュリティ監査を実施する必要があり、時間とコストが膨大にかかっていました。同じクラウドサービスに対して、複数の省庁が別々に監査を行うという非効率な状況も生じていたのです。

調達を受ける側のクラウドサービス事業者にとっても、この状況は大きな負担でした。顧客ごとに異なる監査要求に対応し、膨大な資料を何度も準備しなければならない。中小規模の事業者にとっては、政府向けビジネスへの参入障壁となっていました。

こうした課題を一気に解決するために誕生したのがISMAPです。事前に厳格な評価をクリアしたクラウドサービスを「ISMAPクラウドサービスリスト」として公開し、政府機関等は原則としてこのリストから調達を行う。これにより、個別監査の手間を省き、調達プロセスを大幅に効率化できるようになりました。

ISMAPの仕組み｜評価軸・登録プロセス・有効期限

ISMAPの評価は、ガバナンス、マネジメント、管理策という3つの基準で構成されています。

• ガバナンス：経営層がセキュリティに責任を持つ体制
• マネジメント：組織として管理・運用できる仕組み
• 管理策：具体的な対策が実装されているか

難しく聞こえるかもしれませんが、要するに「経営層がセキュリティに真剣に取り組んでいるか」「組織的な管理体制が整っているか」「具体的なセキュリティ対策が実装されているか」を確認する枠組みです。

評価基準は、ISO/IEC 27001などの国際標準や、米国政府が採用するNIST SP800-53 rev4といった世界的に認められた基準を参照して作られています。つまり、ISMAP登録サービスは国際的にも通用するセキュリティ水準を満たしているということです。

ISMAPの認定プロセスは厳格に設計されています。クラウドサービス事業者は、まず自社のセキュリティ対策を詳細に文書化し、ISMAP認定の監査機関による第三者監査を受けます。その後、有識者等で構成されるISMAP運営委員会が最終審査を行い、合格したサービスのみがリストに登録されます。ISMAP登録には有効期限があり、原則として監査対象期間末日の翌日から1年4か月後までです。期限までに更新申請が必要なため、継続的なセキュリティ品質の維持が求められます。

現在、AWS、Microsoft Azure、Google Cloudといった大手クラウドベンダーから、さくらのクラウドなどの国内事業者、Microsoft 365やZoomなどのSaaSサービスまで、幅広いクラウドサービスが登録されています。2025年1月時点で継続的にリストは更新されており、新たなサービスが追加され続けています。

実務でのチェックポイント｜言明対象範囲・管理策

調達時にまず確認したいのは次の3点です。

• 言明対象範囲（使いたい機能が含まれるか）
• 管理策の実施状況（非該当が要件に影響しないか）
• データ保存場所（リージョン）

調達担当者として最も重要なのは、ISMAPクラウドサービスリストを正しく理解し活用することです。リストはISMAPポータルサイトで誰でも閲覧できますが、ただ「登録されているから安全」と考えるのは早計です。

ここで押さえておくべき重要な概念が「言明対象範囲」です。ISMAP登録は、クラウドサービス全体ではなく、特定の範囲に対して行われることがあります。たとえば、Microsoft 365の場合、Exchange OnlineやSharePoint Online、Teamsなどの主要サービスは登録対象ですが、すべての新機能やプレビュー機能が含まれるわけではありません。また、データの保存場所が日本リージョンに限定されているケースもあります。

調達仕様書を作成する際は、導入を検討しているクラウドサービスの「言明対象範囲」に、実際に利用したい機能がすべて含まれているかを必ず確認してください。ベンダーからの提案を評価する際も、この点を重点的にチェックすることをお勧めします。

もう一つ確認すべきなのが「管理策の実施状況」です。ISMAPでは多数の管理策がありますが、すべてを実施している必要はありません。クラウドサービス事業者は、リスク評価に基づいて「実施」「一部実施」「非該当」を選択できます。
※管理策は今後の改訂で内容や項目数が変更される可能性があります。

たとえば、特定の暗号化方式が「非該当」となっている場合、それが自組織のセキュリティポリシーに抵触しないか確認が必要です。不足している管理策がある場合は、代替手段や追加対策を検討するか、より要件に合致したサービスを選ぶ判断が求められます。

ISMAP-LIU　もう一つの選択肢を知る

2022年11月から、ISMAPには「ISMAP-LIU(ISMAP for Low-Impact Use)」という軽量版の制度が追加されました。これは、セキュリティリスクの小さい業務や情報を扱うSaaSサービスを対象とした仕組みです。

通常のISMAPとISMAP-LIUの違いは、取り扱う情報の機密性レベルにあります。個人情報や機密性の高い行政情報を扱うシステムには通常のISMAP登録サービスが必要ですが、一般的なプロジェクト管理ツールやコミュニケーションツールなど、機密性の低い情報のみを扱う場合はISMAP-LIUで十分なケースがあります。

ISMAP-LIUは通常のISMAPと比べて評価基準が軽減されているため、中小規模のSaaS事業者も登録しやすい設計になっています。これにより、政府・自治体が利用できる安全なクラウドサービスの選択肢が広がりました。

調達担当者としては、導入するシステムが扱う情報の機密性を正確に分類し、通常のISMAPとISMAP-LIUのどちらが適切か判断することが重要です。過度に厳格な要件を設定すると選択肢が狭まりコストも上昇しますし、逆に要件が緩すぎるとセキュリティリスクが高まります。適切なバランスを見極めることが求められます。

調達実務で押さえるべき5つのポイント

ここまでの内容を踏まえ、調達実務で最低限押さえておくべきポイントを5つにまとめます。

ポイント1：仕様書にISMAP登録を明記する

調達仕様書を作成する際は、「ISMAPクラウドサービスリストに登録されたサービスであること」を要件として明記しましょう。ただし、単に「ISMAP登録済み」と書くだけでなく、必要に応じて「機密性○以上の情報を扱うため通常のISMAP登録が必要」など、具体的な理由も記載すると、ベンダー側も適切な提案がしやすくなります。

ポイント2：言明対象範囲を必ず確認する

提案されたクラウドサービスがISMAP登録されていても、実際に使いたい機能が言明対象範囲に含まれているかは別問題です。ベンダーに対して、使用予定の機能すべてが言明対象範囲内であることを書面で確認するよう求めましょう。特に複数のサービスを組み合わせて使う場合は、それぞれのサービスで確認が必要です。

ポイント3：データ保存場所を把握する

クラウドサービスによっては、データの保存場所(リージョン)が限定されているものがあります。海外にデータが保存される場合、国内法との関係や情報主権の観点から問題がないか、法務部門とも相談の上で判断してください。ISMAP登録時のデータ保存場所が日本国内に限定されているサービスも多いので、その点も確認ポイントです。

ポイント4：更新期限をチェックする

ISMAP登録には有効期限があるため、長期契約や継続利用を前提とする場合は、契約期間中に登録更新のタイミングが含まれないかを必ず確認しておきましょう。長期契約を結ぶ場合、契約期間中にISMAP登録の更新期限が来ないか確認しましょう。

万が一、登録更新がされなかった場合の対応についても、契約書に盛り込んでおくことをお勧めします。更新期限はISMAPクラウドサービスリストで確認できます。

ポイント5：最新のリストを参照する

ISMAPクラウドサービスリストは適宜更新されています。（更新の都度、デジタル庁等から更新告知が出る）提案書の評価時や契約前には、必ず最新のリストで登録状況を確認してください。過去に登録されていたサービスが削除されているケースもゼロではありません。

ISMAPポータルサイト(https://www.ismap.go.jp/)で最新情報を確認することを習慣づけましょう。

まとめ　ISMAPを味方につけたクラウド調達を

ISMAPは、調達担当者にとって心強い味方です。膨大な時間とコストをかけて個別にセキュリティ評価を行う必要がなくなり、政府公認の安全なクラウドサービスを効率的に選定できます。ベンダーとの交渉においても、「ISMAP登録」という客観的な基準があることで、セキュリティ要件を明確に伝えやすくなります。

一方で、ISMAPは万能ではありません。登録されているからといって、自組織のすべての要件を自動的に満たすわけではありません。言明対象範囲、管理策の実施状況、データ保存場所など、細部まで確認することが重要です。

また、2025年には管理基準の大幅な改訂が予定されており、多数あった管理策が数百項目に削減される見込みです。クラウドサービス事業者の負担軽減により、今後さらに多くのサービスが登録されることが期待されます。地方自治体におけるα'モデルの普及も相まって、ISMAP登録サービスを活用したクラウド調達はますます加速するでしょう。

調達担当者として大切なのは、ISMAPの仕組みを正しく理解し、自組織のニーズに合ったクラウドサービスを見極める力を養うことです。本記事で紹介したポイントを参考に、安全で効率的なクラウド調達を実現してください。