ISMAPとは｜政府・自治体のクラウド調達で必要な要件と確認ポイント

ISMAP（Information system Security Management and Assessment Program）とは、政府情報システムで利用されるクラウドサービスのセキュリティを評価・登録する日本の制度です。

政府や自治体のシステムでは、原則としてISMAPに登録されたクラウドサービスの利用が求められます。
近年は政府調達だけでなく、企業のクラウドガバナンスやデータ主権の観点からも重要な基準として認識されています。

2026年現在、ISMAPは「政府調達の必須条件」だけでなく、企業の信頼性を示すセキュリティ基準としての役割も広がっています。
公共案件だけでなく、重要データを扱う企業やインフラ事業者にとっても、クラウド選定の重要な判断材料となっています。

本記事では、ISMAP制度の全体像と実務上のポイントを整理します。

ISMAPとは何か？制度の全体像

「このクラウドサービスは本当に安全なのか？」

調達担当者なら、一度は感じたことのある不安ではないでしょうか。ISMAPは、その不安を共通の基準で解消するために生まれた制度です。

なぜISMAPが必要になったのか？

2018年、政府は情報システム整備でクラウドを第一候補とする方針（クラウド・バイ・デフォルト）を打ち出しました。一方で、クラウドの安全性を評価する統一基準がなく、各府省庁が調達のたびに個別監査を行う非効率が発生しました。

ISMAPは、事前に評価したクラウドをリスト化し、原則そこから調達することで、監査の重複と負担を減らすための仕組みです。

ISMAPクラウドサービスリストとは

ISMAPに登録されているクラウドサービスの一覧や登録状況は、ISMAPクラウドサービスリストの解説記事で詳しくまとめています。ISMAPクラウド自体の考え方は、ISMAPクラウドとはの記事でも解説しています。

ISMAPの対象となるクラウドサービス

ISMAPクラウドサービスリストには、国内外の主要クラウドサービスが登録されています。代表的なサービスには次のようなものがあります。

これらのクラウドサービスは、政府情報システムで利用可能なクラウドとして登録されています。

ただし、重要なのは すべての機能が評価対象になるわけではない という点です。
ISMAPではクラウドサービスごとに 言明対象範囲（Scope）が定められており、登録されているサービスでも利用する機能が評価対象に含まれているかを確認する必要があります。

特に公共案件では、クラウドサービスの登録状況だけでなく、利用予定の機能が言明対象範囲に含まれているかを確認することが重要です。

ISMAPで何が評価されるのか？（評価の枠組み）

ここが最も誤解されやすいポイントです。ISMAPは「技術対策」だけでなく、体制・運用・文書化まで含めて評価します。

補足：評価基準はISO/IEC 27001やNIST SP800-53等の国際標準を参照して設計されています。

ISMAP対応で企業が確認すべき実務チェックポイント

実務でそのまま使えるチェックリストからご確認ください

言明対象範囲を確認する

ISMAP登録は、クラウドサービス全体ではなく特定の範囲に対して行われることがあります。

「登録されているから安心」と判断する前に、使いたい機能が言明対象範囲に含まれているかを必ず確認してください。提案評価や仕様書作成では、ベンダーに「利用予定機能が範囲内であること」を書面で確認するのが安全です。自治体案件での確認ポイントは、自治体向けセキュリティチェックシートの解説も参考になります。

管理策の実施状況（非該当の扱い）

管理策はすべて「実施」である必要はありません。事業者はリスク評価に基づき「実施／一部実施／非該当」を選択できます。

重要なのは、非該当が自社のセキュリティポリシーに抵触しないかです。もし要件に影響する場合は代替策・追加策の検討や、サービス選定の見直しが必要です。

データ保存場所（リージョン）を確認する

クラウドによってデータ保存場所が限定される場合があります。海外リージョンが含まれる場合は法務・ガバナンスの観点も含めて判断が必要です。ISMAP登録内容におけるリージョン条件も、必ず合わせて確認してください。

登録更新期限（有効期限）を確認する

ISMAP登録には有効期限があります。継続利用・長期契約では特に重要な確認項目です。契約期間中に更新期限が来る場合は、更新されなかった場合の取り扱いを契約書に盛り込むことを推奨します。

ISMAPは民間企業にも関係がある？

ISMAPは政府情報システム向けの制度ですが、民間企業にとっても重要な指標になっています。

その理由は主に次の3つです。

・公共案件でクラウド選定の基準になる
・クラウドセキュリティのガバナンス基準として参考になる
・データ主権や国内要件の議論と関係する

特に金融機関やインフラ事業者など、重要データを扱う企業では、クラウドの安全性を判断する際にISMAP登録状況を確認するケースが増えています。

そのため、政府案件だけでなく、企業のクラウドガバナンスの観点からもISMAP制度の理解が重要になっています。

政府のクラウド政策やデータ主権の考え方については、ガバメントクラウドとはの記事でも解説しています。国内要件やデータ主権を重視する場合は、さくらのクラウド（ソブリンクラウド）のような選択肢も検討対象になります。

ISMAPとAWS・CDN・WAFの関係

ISMAPとAWS（責任分界点の考え方）

AWSがISMAP登録されている範囲でも、利用者側の責任は残ります。特にアクセス権限・ログ・設定ミス対策などは、どう運用し、どう説明できるかが重要です。

ISMAPとCDN（通信・可用性・ログ）

CDNは可用性や通信保護、ログ保全の観点で重要になります。TLSやアクセス制御など、要件と整合する設定・運用が必要です。CDNの仕組みや代表的なサービスについては CDNとは や Cloudflareの解説で詳しく解説しています。

ISMAP要件とWAF・IAM（統制の中核）

WAFはWeb攻撃対策、IAMは権限統制の中心です。ISMAP文脈では「導入しているか」より、運用と証跡（ログ・監査）が問われます。具体的な対策としてはAWS WAFやIAMなどの設定と運用が重要になります。

また、クラウド運用ではWebや認証基盤だけでなく、メールセキュリティの統制も重要です。なりすまし対策としては、DMARC、SPF、DKIMなどの設定状況も説明できる状態にしておくことが望まれます。

ISMAP-LIUとは？通常ISMAPとの違い

ISMAP-LIU（Low-Impact Use）は、セキュリティリスクが小さい用途向けの軽量版制度です。
通常ISMAPとの違いは主に「扱う情報の機密性レベル」です。情報分類に応じて適切に選びます。制度の違いや使い分けは、ISMAP-LIUとはの記事でも詳しく解説しています。

ISMAPでよくある誤解

近年のサイバー攻撃の動向については、IPAが公表している情報セキュリティ10大脅威も参考になります。

まとめ｜ISMAPを理解し、説明責任を果たせるクラウド調達へ

• ISMAPは政府情報システム向けクラウドの評価・登録制度
• 判断の鍵は、言明対象範囲・管理策・リージョン・更新期限
• 「登録されているか」だけでなく、説明できる運用まで設計する

ISMAPに関するよくあるご質問（FAQ）