Written by WizLANSCOPE編集部
目 次
ISMAP(イスマップ)とは、政府機関がクラウドサービスを調達する際に、セキュリティ基準を満たした信頼できるサービスをスムーズに選定するための指針として設けられた制度です。
クラウドサービス事業者側は、提供するクラウドサービスがISMAPに登録されることで、セキュリティ基準を満たした信頼できるサービスであることを証明できるなどのメリットがあります。
本記事では、ISMAPとは何かをわかりやすく解説することに加えて、クラウド事業者・利用者それぞれにとってのメリットや、ISMAPに登録するまでの流れなどを解説します。
▼本記事でわかること
- ISMAPの概要
- ISMAPのメリット
- ISMAP登録の流れ
「ISMAPとは何か」「ISMAPを活用もしくは登録することでどのようなメリットがあるのか」などを知りたい方はぜひご一読ください。
また、昨今のクラウドサービスの普及を受け、「どれだけの企業がクラウドサービスを利用しているか」「どのような課題があるか」などを情シス1,000名に調査した「クラウドサービスの利用実態調査」の資料もご用意しています。
無料でダウンロードできるので、本記事とあわせてぜひご活用ください。
【情シス1,000名に調査】クラウドサービスにおけるセキュリティ対策の実態調査
従業員300名以下の中小企業を対象に「クラウドサービスのセキュリティ対策」における、導入事情や課題についてお聞きしました。
ISMAPとは
ISMAP(イスマップ)とは、簡単に言えば、政府がクラウドサービスを利用する際に、信頼できるサービスのみを導入できるよう定められたセキュリティ評価制度です。
「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)」とも言われます。
政府機関がクラウドサービスを調達する際に、セキュリティ基準を満たした信頼性の高いサービスのみを効率的に選定できるようにする指針として、2020年から運用が開始されました。
ISMAPでは、登録申請をしたクラウドサービスのうち、政府が定める「セキュリティ要求」を満たしていると認められたサービスのみが「ISMAPクラウドサービスリスト」に掲載されます。
ISMAPクラウドサービスリストとは
「ISMAPクラウドサービスリスト」とは、 ISMAPを通じて安全性・信頼性が評価されたクラウドサービスをリスト化したものです。
このリストは政府以外の一般企業や組織も自由に閲覧できるため、国の基準を満たした安全性の高いクラウドサービスを選定したい場合に非常に役立ちます。
ISMAPのクラウドサービスリストは、独立行政法人情報処理推進機構(IPA)のISMAP専用ポータルサイトで公開されており、定期的に内容が更新されます。
ISMAPの運営組織
ISMAPを運営する組織は「ISMAP運営委員会」と呼ばれ、以下4つの制度所管省庁で構成されています。
- 総務省
- 経済産業省
- 内閣サイバーセキュリティセンター
- デジタル庁
出典:ISMAP概要|ISMAP- 政府情報システムのためのセキュリティ評価制度
「ISMAP運営委員会」では、クラウドサービスリストの円滑な運用を目的として、主に以下3つの対応を行っています。
- クラウドサービス登録申請者に対する「要求事項」の制定
- 情報セキュリティ管理および運用の基準となる「管理基準」の制定
- 監査機関登録申請者に対する「要求事項」の制定
ISMAP運営委員会は、クラウドサービス事業者が「ISMAPクラウドサービスリスト」に登録する際、以下の流れに沿って手続きを進めます。
- ISMAPが信頼できる「監査機関」を、「ISMAP監査機関リスト」へ登録する
- クラウドサービス事業者は「ISMAP監査機関リスト」に登録されている機関に対して「監査」を依頼する
- 監査が完了したクラウドサービス事業者は、ISMAP運営委員会へ「クラウドサービス登録申請」をあげる
- 申請を受けたISMAP運営委員会は、そのクラウドサービス事業者が「要求事項」を満たしているかを審査し、妥当であれば「ISMAPクラウドサービスリスト(もしくは ISMAP-LIU)」に登録する
また「ISMAP運営委員会」に加えて、独立行政法人情報処理推進機構(IPA)も、ISMAPの「制度運用に係る実務」や「評価に係る技術的な支援」などの実務的なサポートを担っています。
ISMAPに関わる組織図は以下の通りです。
▼ISMAPに関わる組織図
出典:ISMAP概要|ISMAP- 政府情報システムのためのセキュリティ評価制度
ISMAPが施行された背景
ISMAPが試行された背景には、日本政府がクラウドサービスの導入を行う際に、「セキュリティリスクを回避し、安全性を担保するための仕組みづくり」が必要になったことが、挙げられます。
2018年以前の日本政府では、オンプレミス型のシステムが普及しており、クラウドサービスの導入に積極的ではありませんでした。
しかし、世間のクラウドサービス活用の流れを受けて、政府でも2018年6月より、「クラウド・バイ・デフォルト原則」が発表されました。
クラウド・バイ・デフォルト原則とは、政府にて情報システムを構築する際、オンプレミスではなく「第一候補として、クラウドサービスの利用を優先的に検討しよう」という方針です。
クラウド型のシステムは、オンプレミス型と比較して、「導入コストの削減」「柔軟性」「使い勝手の良さ」など、複数のメリットがあります。
また、DX(デジタルトランスフォーメーション)推進の観点からも、システムのクラウド化は欠かせない要素となっています。
こうした背景を踏まえ、経済産業省と総務省を事務局として「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」が策定されました。
また、同書の「3本制度の所管と運用体制 」に基づき、ISMAPを立ち上げ、安全なクラウドサービスの評価・登録・管理を行う仕組みが整備されました。
【情シス1,000名に調査】クラウドサービスにおけるセキュリティ対策の実態調査
従業員300名以下の中小企業を対象に「クラウドサービスのセキュリティ対策」における、導入事情や課題についてお聞きしました。
ISMAP for Low-Impact Use(ISMAP-LIU)とは
ISMAPの中には、セキュリティリスクが小さい業務や重要度の低い情報処理に用いるSaaSサービスを対象とした、「ISMAP for Low-Impact Use(以降、ISMAP-LIU )」という仕組みもあります。
この「ISMAP-LIU(イスマップ・エルアイユー)」は、ISMAPに比べ、セキュリティ要求事項を限定的にすることで、クラウドサービス提供者の負担を軽減することを目的としています。
「ISMAP」と「ISMAP-LIU」の主な違いは、以下の通りです。
| 対象サービス | 外部監査対象範囲 | |
|---|---|---|
| ISMAP | ・セキュリティリスクが高い業務向けのクラウドサービス ・情報の処理に用いるクラウドサービス全般(IaaS・PaaS・SaaS) |
・ISMAP管理基準で定められたすべての項目 |
| ISMAP-LIU | ・セキュリティリスクが比較的低い業務向けのクラウドサービス ・主にSaaSサービス |
・クラウド基盤や構成に深刻な影響を与えるリスクに関連する管理策 |
クラウドサービスの中でも、特にSaaS系のサービスには、機能や用途が限定的なものや、機密性の低い情報を取り扱うものも少なくありません。
このようなサービスにとって、ISMAPのセキュリティ基準を満たすことはハードルが高く、「品質は良いのに、ISMAPに登録できない」という課題が生じていました。
こうした課題を解消するために、2022年11月1日から新たに開始されたのが「ISMAP-LIU」です。
ISMAP-LIUでは、ISMAPと異なり登録のための事前申請が必要ですが、外部監査の対象範囲が限定されているため、登録のハードルが低いという特徴があります。
「ISMAP-LIUクラウドサービスリスト」は、ISMAP専用ポータルサイトから閲覧することが可能です。
ISMAPの管理基準
ISMAPの管理基準とは、クラウドサービス事業者が登録申請を行う上で、実施すべき「情報セキュリティ対策の一覧」と「実施方法」を示したものです。
ISMAPの管理基準は、以下の3つの要素で構成されています。
- ガバナンス基準
- マネジメント基準
- 管理策基準
ガバナンス基準は「経営陣」、マネジメント基準は「管理者」、管理策基準は「業務実施者」がそれぞれ実施すべき事項であると定められています。
| 対象者 | 概要 | |
|---|---|---|
| ガバナンス基準 | 経営層 | ・経営陣に対する「情報セキュリティ戦略方針の策定・実施」に関する基準 ・情報セキュリティを統治するために経営陣が実施すべき項目(評価・指示・モニタ・コミュニケーションなど)がまとめられている |
| マネジメント基準 | 管理者 | ・管理者に対する「情報セキュリティ戦略方針の策定・実施」に関する基準 ・情報セキュリティマネジメントを行う管理者が実施すべき項目(情報セキュリティマネジメントの計画、実行、点検、維持、リスクコミュニケーションなど)がまとめられている |
| 管理策基準 | 業務実施者 | ・業務実施者に対する「情報セキュリティ戦略方針の策定・実施」に関する基準 ・セキュリティ管理の具体的な施策(人的資源のセキュリティ、資産の管理、アクセス制御など)がまとめられている |
ISMAPの3つの管理基準は、国際規格や統一基準に準拠して作成されているため、ISMAPに登録されているクラウドサービスは、必然的に「国際的に信頼性の高いサービス」であることを証明できます。
このように、ISMAPへの登録は、サービスの信頼性向上につながり、結果として市場における競合優位性の向上や新たなビジネスチャンスの拡大にも寄与します。
さらに詳しい管理基準について知りたい方は、ISMAP運営委員会が公開する「ISMAP管理基準」の資料をご参照ください。
ISMAPのメリット
ISMAPは、「クラウドサービスを提供する事業者」「クラウドサービスを導入する利用者」の双方にメリットがある制度です。
具体的にどのようなメリットが期待できるのかを、それぞれの視点から解説します。
クラウドサービス事業者側のメリット
「クラウドサービス事業者」がISMAPクラウドサービスリストに登録されるメリットとしては、以下の2点が挙げられます。
- 安全性を公的に証明できる
- ビジネスチャンスが広がる
「ISMAP」のクラウドサービスリストに登録されているということは、政府が定めたセキュリティ基準を十分に満たし、政府機関が安心して導入できるサービスであることの証明になります。
また、企業がクラウドサービスを選定する際にISMAPのクラウドサービスリストを活用すれば、登録済みのサービスは必然的に導入候補にあがりやすくなります。
このようにISMAPへの登録は、製品の信頼性と認知度向上につながり、ビジネスチャンスの拡大という観点からも非常に大きなメリットがあると言えます。
クラウドサービス利用者側のメリット
「クラウドサービス利用者」側が、ISMAPクラウドサービスリストを活用するメリットとしては、以下の3点が挙げられます。
- クラウドサービスの選定が容易になる
- 信頼できるクラウドサービスを効率的に導入できる
- セキュリティ基準をチェックする手間が省ける
「ISMAPクラウドサービスリスト」に掲載されているサービスは、国が定めた審査基準を満たしている安全性の高いサービスです。
そのため、安全性の低いサービスと契約してしまうリスクを回避しつつ、サービスをいちから選ぶ手間を大幅に削減できます。
【情シス1,000名に調査】クラウドサービスにおけるセキュリティ対策の実態調査
従業員300名以下の中小企業を対象に「クラウドサービスのセキュリティ対策」における、導入事情や課題についてお聞きしました。
ISMAP登録の流れ
ISMAPクラウドサービスリスト登録までの主な流れは以下の通りです。
- ステップ(1):セキュリティの内部統制の整備・運用言明書の作成
- ステップ(2):監査の依頼と実施結果報告書の受領
- ステップ(3):クラウドサービス登録申請・受理
- ステップ(4):クラウドサービス審査・登録
4つのステップについて詳しく解説します。
ステップ(1):セキュリティの内部統制の整備・運用と言明書の作成
クラウドサービスの登録申請書類を作成する前に、まずはセキュリティに関する内部統制の整備・運用と、言明書の作成を行う必要があります。
ISMAPに登録申請を行う際は、「ISMAPクラウドサービス登録規則第3章(申請者に対する要求事項)」に基づき、申請者は自社のセキュリティ対策について、基本言明要件に沿った言明を行うことが定められています。
ステップ(2):監査依頼と実施結果報告書の受領
セキュリティに関する内部統制の整備・運用と言明書の作成が完了したら、監査依頼に進みます。
ISMAPクラウドサービスリストへ登録申請をする際は、政府が公開している「ISMAP監査機関リスト」に登録済みの監査機関に監査を依頼し、実施結果報告書を作成する必要があります。
ISMAPの監査機関リスト一覧(※2025年10月時点)
| 監査機関の名称 | 監査機関の所在地 |
|---|---|
| EY新日本有限責任監査法人 | 東京都千代田区有楽町一丁目1番2号 東京ミッドタウン日比谷 日比谷三井タワー |
| 有限責任監査法人トーマツ | 東京都千代田区丸の内三丁目2番3号 丸の内二重橋ビルディング |
| 有限責任あずさ監査法人 | 東京都新宿区津久戸町1番2号 |
| PwC Japan有限責任監査法人 | 東京都千代田区大手町1-1-1 大手町パークビルディング |
| 三優監査法人 | 東京都新宿区西新宿1丁目24番1号エステック情報ビル15階 |
上記のいずれかの機関に監査を依頼し、「実施結果報告書」を受領することで、登録を申請することができます。
ステップ(3):クラウドサービス登録申請・受理
監査が完了し、実施結果報告書を受領したら、クラウドサービス登録申請に移ります。
申請については、ISMAP公式サイトが提供する「クラウドサービス登録申請の手引き」を参照し、必要書類を抜け漏れなく準備することが重要です。
なお、クラウドサービスの登録申請は「ISMAPポータルサイト」から行います。
システムの操作マニュアルも公開されているため、申請前に目を通しておきましょう。
ステップ(4):クラウドサービス審査・登録
クラウドサービス登録申請が受理されたら、ISMAP運営委員会によって登録の妥当性に関する審査が行われます。
公式には「受理されて6か月以内に登録の判断を行う」と明記されており、実際には少なくとも3か月程度を要するケースが多いとされています。
審査に問題がなければ、申請したクラウドサービスはISMAPクラウドサービスリストに正式に登録され、ポータルサイトの「ISMAPクラウドサービスリスト」が更新されます。
クラウドサービス登録申請の準備で悩んだら?
ISMAPクラウドサービス登録申請の手続きや書類作成で悩んだ場合は、ISMAP運用支援機関(IPA)へ相談することが可能です。
相談できるお問い合わせ内容の例としては、以下のようなものが挙げられます。
【相談内容の例】
- ISMAPの基準・規則や手引きに則り書類を作成したつもりだが、記載に不備がないか確認してほしい
- 利用している「他のクラウドサービス」について言明書に記載したが、記載に不備がないか確認してほしい
- 監査において発見事項があったが、改善計画書の記載に不備がないか確認してほしい
ISMAPポータルで公開されている「クラウドサービス登録に関するFAQ」には、よくある質問とその回答が掲載されています。
準備を進めるなかで悩んだ際は、こちらも参照するようにしましょう。
ISMAPに関するよくある質問
最後に、ISMAPへの登録に関するよくある質問と、その回答を紹介します。
ISMAPへの登録申請を検討している方はぜひご確認ください。
ISMAP登録にかかる費用の相場は?
ISMAP登録にかかる費用は、企業の規模や状況、そしてどのコンサルティングや監査サービスを選択するかによっても異なります。
ISMAP登録に際して発生する主な費用は、次の2種類です。
- コンサルティング費用
- 監査費用
このうち、特に高額になりやすいのは「監査費用」で、場合によっては1,000万円を超えるケースも少なくありません。
ただし、ISMAP運用支援機関(IPA)が直接費用を請求するわけではなく、登録申請に先立って必要となる監査を実施する際に、監査機関への支払いが発生するという仕組みです。
ISMAP登録にかかる期間は?
ISMAPへの登録を判断する期間は、「ISMAPクラウドサービス登録規則」第6.3条によって、ISMAP運用支援機関がクラウドサービスの登録申請を受理した日から原則6か月以内と定められています。
6.3 ISMAP 運営委員会は、ISMAP 運用支援機関が申請を受理した日から原則として 6 カ月以内 に、ISMAP 運用支援機関からの報告内容及び申合せの運用状況を踏まえて、総合的に登録 の是非を判断する。
実際には、登録申請から完了までに3か月以上要するケースが多く、詳細な要件の確認を要する場合は、さらに長い期間がかかる可能性もあります。
登録をできるだけ早く完了させたい場合は、余裕を持って早めの申請を行うことが推奨されます。
なお、登録の可否を審査する「ISMAP運営委員会」は、3月・6月・9月・12月の年4回を基本として開催されます。
「ISMSクラウドセキュリティ認証」との違いは?
ISMSクラウドセキュリティ認証とは、クラウドサービスにおける情報セキュリティ対策の実施状況を第三者が評価・認証する制度です。
この認証を取得することで、クラウドサービスにおけるセキュリティ管理策が適切に実施されていることを客観的に証明できます。
ISMAPとISMSクラウドセキュリティ認証の主な違いは、以下の通りです。
| ISMAP | ISMSクラウドセキュリティ認証 | |
|---|---|---|
| 概要 | ・政府機関がクラウドサービスを選定する際に用いる、セキュリティ評価制度 | ・クラウドサービスが国際規格を満たしているかを第三者機関が評価・認証する制度 |
| 運営母体となる組織 | ・ISMAP運営委員会 | ・情報マネジメントシステム認定センター(ISMS-AC) |
| 登録・認証の判断基準 | ・ISMAP管理基準 | ・JIS Q(ISO/IEC)27001、27002、27017 |
| 有効期限 | ・登録対象となった監査期間末日の翌日から1年4か月 | ・3年ごとに維持審査が必要 |
ISMAPとISMSクラウドセキュリティ認証は、運営母体となる組織や登録の是非を判断する基準などが異なります。
ISMAPが日本政府が定めた情報セキュリティ基準に則る制度であるのに対し、ISMSクラウドセキュリティ認証は、「国際標準化機構(ISO)」の定めるセキュリティ事項をもとに、審査が行われます。
両者はともにクラウドサービスの安全性を証明する制度であり、クラウドサービス事業者・利用者の双方にとっての有益な指針となります。
クラウドサービスのセキュリティ強化に「LANSCOPEプロフェッショナルサービス」
ここまで確認してきた通りISMAPとは、政府がクラウドサービスを利用する際に、信頼できるサービスのみを導入できるよう定められたセキュリティ評価制度です。
ISMAPの認証を受けたクラウドサービスであれば、一般の企業・組織も安心して導入することができます。
しかし、いくら「安全に考慮されたクラウドサービス」を導入しても、初期設定やセキュリティ対策が不十分な場合、以下のようなインシデントが発生する恐れがあります。
- 個人情報や機密データの漏洩
- 重要データの改ざん・消去
- マルウェアへの感染
そこで、ISMAPとあわせて活用を検討いただきたいのが、 LANSCOPE プロフェッショナルサービスの「クラウドセキュリティ診断」です。
クラウドセキュリティ診断では、豊富な知見をもつ診断士が、お客様がご利用中のクラウドサービスにて「アクセス権限」や「ログインの認証方法」など、インシデントの根源となりうる要素確認・対策を実施します。
これにより、クラウドサービス経由のセキュリティ事故を、未然に防ぐことが可能です。
なお対応可能なクラウドサービスは以下の通りです。
▼主要なサービス一覧
- Microsoft 365 セキュリティ診断
- Google Workspace セキュリティ診断
- Salesforce セキュリティ診断
- Amazon Web Services(AWS)セキュリティ診断
- Microsoft Azure セキュリティ診断
- Google Cloud Platfor (GCP)セキュリティ診断
- Zoom セキュリティ診断
- Box セキュリティ診断
- Slack セキュリティ診断
また、昨今特に需要の多い「Microsoft 365」に関しては、診断を重要度の高い項目にしぼり、より低価格で提供する「Microsoft 365 健康診断パッケージ」を提供しています。
ぜひあわせてご覧ください。
まとめ
本記事では「ISMAP」をテーマに、概要やメリット、登録の流れなどを解説しました。
本記事のまとめ
- ISMAPとは、政府機関がクラウドサービスを調達する際、セキュリティ基準を満たした信頼できるサービスだけをスムーズに選定するための指針として創設された制度
- ISMAPの中には「セキュリティリスクが小さい業務」や「重要度の低い情報処理」に用いるSaaSサービスを対象とした「ISMAP for Low-Impact Use」という仕組みもある
- ISMAPクラウドサービスリストに、提供するクラウドサービスが登録されることで、「安全性が公的に証明できる」「ビジネスチャンスが広がる」といったメリットが期待できる
- クラウドサービス利用者がISMAPクラウドサービスリストを活用することで、「クラウドサービスの選定が容易になる」「信頼できるクラウドサービスを効率的に導入できる」「セキュリティ基準をチェックする手間が省ける」といったメリットがある
ISMAPの活用は、サービス事業者・利用者ともにメリットがあり、活用することで「信頼できる良いサービスが国内で循環する」という仕組みを生み出すことができます。
ぜひ積極的にISMAPを利用し、効率的なクラウドサービスの提供・導入を進めてください。
また、本記事で紹介したLANSCOPE プロフェッショナルサービスの「クラウドセキュリティ診断」は、利用が拡大しているクラウドサービスにおけるインシデントを未然に防ぐために有効なサービスです。
アクセス権限やログインの認証方法など、インシデントの原因となりうる要素を可視化・確認し、適切な対策を講じることができるため、安全なクラウドサービス利用に寄与します。
「クラウドサービスの利用が増え、管理が行き届いていない」などの課題をお持ちの企業・組織の方は、ぜひ実施をご検討ください。
また、「どの程度の企業がクラウドサービスを利用しているか」「どのような課題を抱えているのか」などを情シス1,000名に調査した、「クラウドサービスの利用実態調査」のレポートもご用意しています。
以下のダウンロードフォームより無料でダウンロードできるので、ぜひ本記事とあわせてご活用ください。
【情シス1,000名に調査】クラウドサービスにおけるセキュリティ対策の実態調査
従業員300名以下の中小企業を対象に「クラウドサービスのセキュリティ対策」における、導入事情や課題についてお聞きしました。
おすすめ記事
