内閣サイバーセキュリティセンター(NISC)

文字サイズ

政府機関総合対策グループ

政府情報システムのためのセキュリティ評価制度(ISMAP)

政府情報システムのためのセキュリティ評価制度(ISMAP)について

「政府情報システムのためのセキュリティ評価制度」(ISMAP(イスマップ):Information system Security Management and Assessment Program)は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、政府機関等(各府省庁等及び独立行政法人等)におけるクラウドサービスの円滑な導入に資することを目的とする制度で、令和2年6月に運用を開始しました。


(1)ISMAP制定の背景・趣旨

『政府情報システムにおけるクラウドサービスの利用に係る基本方針』(平成30年6月7日 各府省情報化統括責任者(CIO)連絡会議決定)において、政府情報システムは、「クラウド・バイ・デフォルト原則」、すなわち、クラウドサービスの利用を第一候補として、その検討を行うものとするとされました。

一方で、クラウドサービスに要求する統一的なセキュリティ要求基準は存在せず、『政府機関等の情報セキュリティ対策のための統一基準』を踏まえ、各政府機関等が調達の際、個別にクラウドサービスのセキュリティ対策を確認を行っていました。

このような状況から、『デジタル・ガバメント実行計画』(令和元年12月20日 閣議決定)において、「クラウド・バイ・デフォルト原則」を踏まえた政府情報システムの整備がされること、及び、安全性評価基準・安全性評価の監査の仕組みを活用して、安全性が評価されたクラウドサービスの利用を開始できるよう、環境整備等について検討を進めることが位置付けられました。


そして、政府機関等におけるクラウドサービスの導入に当たり、情報セキュリティ対策が十分に行われているサービスを効率的に調達できるようにするため、令和2年6月に、NISC・デジタル庁・総務省・経済産業省を所管省庁とする「政府情報システムのためのセキュリティ評価制度」(ISMAP)の運用を開始しました。

本制度を利用することにより、政府機関等は、情報セキュリティ対策の実施状況の直接確認が省略できるとともに、サービスの範囲やセキュリティ対策の範囲について情報提供がなされることで、一定の情報セキュリティ対策の実施が確認されたクラウドサービスを効率的に調達することが可能となります。

ISMAPの歩み

(2)ISMAPの基本的な枠組み

ISMAPの基本的な枠組みは、国際標準等を踏まえ、クラウドサービスに対して要求すべき情報セキュリティ管理・運用の基準(ISMAP管理基準)を定め、情報セキュリティ監査の枠組みを活用した評価プロセスに基づき、各基準が適切に実施されているかを第三者(ISMAP登録監査機関)が監査するプロセスを経て、要求する基準に基づいたセキュリティ対策を実施していることが確認されたクラウドサービスを、「ISMAP等クラウドサービスリスト」に登録するものです。

各政府機関等がクラウドサービスを調達する際には、原則として、「ISMAP等クラウドサービスリスト」に掲載されたサービスから調達を行います。

なお、「ISMAP等クラウドサービスリスト」からの調達は、政府機関等において要求されるものですが、公開されるリスト等を民間等においても参照することにより、ISMAPにより安全性を評価されたクラウドサービスの適切な活用が推進されることが期待されます。

「ISMAP等クラウドサービスリスト」は、令和3年3月に初回の登録・公開を行い、政府機関等による本制度の利用を開始しました。なお、「ISMAP等クラウドサービスリスト」は、ISMAP運用支援機関である独立行政法人情報処理推進機構(IPA)が運用するISMAPポータルサイトにおいて公開されています。

制度の基本的な枠組み

(3)ISMAP-LIU(イスマップ・エルアイユー:ISMAP for Low-Impact Use)について

ISMAPの対象である主に機密性2情報を扱う情報システムのうち、SaaSについては、そのサービス幅が広く、用途や機能が極めて限定的なサービスや、機密性2情報の中でも比較的重要度が低い情報のみを取り扱うサービス等もあり、現行ISMAPと一律の取扱いとした場合、過剰なセキュリティ要求となる場合も考えられます。

このため、ISMAPの枠組みのうち、リスクの小さな業務・情報の処理に用いるSaaSサービスを対象にした仕組みである「ISMAP-LIU」を新たに設け、令和4年11月1日から運用を開始いたしました。このことにより、クラウド・バイ・デフォルトの更なる拡大を推進していくことが期待されます。

ISMAPとISMAP-LIUの比較

(4)ISMAP制度改善の取組み

ISMAPは令和2年6月の運用開始以降、政府機関等がクラウドサービスを調達する際のセキュリティ・信頼性を評価する制度として定着してきました。一方で、運用開始から一定期間経過し、運用を通じた課題も明らかになってきたことから、ISMAPの信頼性・安定性の保持を前提としつつ、制度運用を合理化・明確化するため、令和4年10月より「ISMAP制度改善の取組み」を継続して実施しております。

「外部監査の負担軽減」や「審査の迅速化・効率化」などの諸課題について、令和5年10月より、改善した枠組みによる本格運用を開始いたしました。引き続き、ISMAP制度が担保している安全性・信頼性を保持しつつ、変化の速いクラウド分野に対応できる制度であるよう、常に変革してまいります。

設置根拠

ISMAPの利用の在り方に関する会議決定

ISMAP運用支援機関(独立行政法人情報処理推進機構)が運用するISMAPポータルサイト

ISMAP運営委員会

ISMAP運営委員会開催状況

イベント・セミナー

ISMAPに関するイベント・セミナーの開催状況
▲ このページの先頭へ