政府情報システムのためのセキュリティ評価制度（Information system Security Management and Assessment Program：ISMAP）は、政府機関等のクラウドサービス調達に関する制度です。

　本稿では、クラウドサービス事業者がISMAP制度について知っておくべき基礎の全てをご紹介します。

• ISMAP制度とはどういった制度なのか

• どんなメリットがある制度なのか

• ISMAP制度に対応するにはどうしたら良いのか

• どのくらいの費用がかかるのか

• ISMAP制度の最新状況　←　🆕最終更新：2025年3月

これらを知りたい方は、是非本稿をご覧ください。

政府情報システムのためのセキュリティ評価制度（ISMAP）とは？

　政府情報システムのためのセキュリティ評価制度（ISMAP）とは、政府が求めるセキュリティ水準を満たすクラウドサービスの調達を実現するため、予めクラウドサービスを評価し、登録する制度です。

1. クラウドサービスについて、ISMAP監査機関による外部監査を受ける

2. 提出書類を準備し、ISMAPクラウドサービスリストへの登録を申請する

3. 申請内容について、ISMAP運営委員会の審査を受ける

4. ISMAPクラウドサービスリストに登録される

5. 政府機関等がISMAPクラウドサービスリストに登録されているクラウドサービスを調達する

ISMAP制度発足の経緯

　ISMAP策定の背景として欠かせないのは「クラウド・バイ・デフォルト原則」です。2018年6月に掲げられたこの原則により、政府情報システムの調達において、クラウドサービスの利用を第一候補として検討を行うことが求められるようになりました。

　しかし、クラウドサービスの利用においては、クラウド特有のセキュリティ面の懸念が存在します。オンプレミス環境では、セキュリティリスクの可視性と統制可能性が自組織の範疇にある一方で、クラウドサービスのリスクは、自組織では解決できない、クラウドサービス事業者に依存する領域が多くなるためです。

　こういったセキュリティ上の懸念に対処すべく、2018年8月より、クラウドサービスの安全性評価に関する検討会という名称にてISMAPの検討が開始され、2020年6月にISMAP制度が施行されました。

ISMAP制度の対象

　では、ISMAPの対象となる政府機関等や、対象となるクラウドサービスは、どのような者になるのでしょうか。具体的には、以下の通りです。

　ISMAP登録サービスの利用が求められる政府機関等は、国の行政機関、独立行政法人、指定法人となっています。加えて、地方公共団体のα’モデルにおけるクラウドサービス調達時にも、ISMAP登録サービスの利用が求められています。α’モデル以外では、地方公共団体のクラウドサービス調達上、ISMAPは参照すべき認証・制度として紹介されています。

　上記に加えて、経済安全保障推進法における、基幹インフラ役務の安定的な提供の確保に関する制度においても、重要設備の委託先がISMAPを取得していることで、制度対応上の大幅な負担軽減につながります。

　また、ISMAPの対象となるクラウドサービスは、基本的に要機密情報を取り扱うサービスが対象となりますが、その中でも、セキュリティリスクが小さい業務・情報を取り扱うSaaSに対する仕組みとして、ISMAP for Low-Impact Use（ISMAP-LIU）が2022年11月に発足しています。更に、より高度なセキュリティ水準が求められる一例として、ガバメントクラウドの一要件にISMAP登録が位置付けられていること等、様々な領域でISMAPが参照されつつあります。

ISMAP-LIUについて詳しく知りたい方は、 「ISMAP-LIUとは？ISMAPとの違いやISMAP-LIU費用を徹底解剖」をご参考ください。

ISMAPの目的

　ISMAPの制度の目的は大きく2つです。

1. 安心・安全なクラウド調達を可能とする仕組みの実現

2. 高度な調達プロセスの実現

　1つ目の目的は、安心・安全なクラウド調達の実現です。前述したように、クラウドサービスの調達にはセキュリティ面での不安が多く存在します。また、要機密情報を取り扱う政府の情報システムでは、求められるセキュリティのレベルも相応なものとなります。そのため、ISMAPの枠組みでは、ISMS認証型の文書審査ではなく、民間のセキュリティ監査の枠組みを基にして、実際のセキュリティ対策の導入状況や、セキュリティ対策の運用状況まで踏み込んだ評価を行います。要求されるセキュリティ項目も最大で1,000を超える管理策群から構成されており、要求水準が比較的高い制度となっています。

　また、セキュリティ監査のみならず、準拠法・裁判管轄に関する情報提供や、日本国内法以外の法令適用に対する情報提供等、民間へのサービス提供ではあまり意識がされない事項についても、対応が求められます。セキュリティ監査と併せてこうした情報も踏まえて調達ができるようにすることで、政府機関等が安心・安全なクラウドサービスを利用することに寄与しています。

　２つ目の目的は調達プロセスの高度化です。これまでは、各政府機関等が個別にセキュリティチェックを行っていました。クラウド事業者としても、同様の確認項目に都度の対応を強いられ、非効率性を招いていました。ISMAPでは、セキュリティ監査に関する高度な知見を有した監査機関が評価を行い、その結果として登録されたサービスをホワイトリスト式に調達することができるため、セキュリティチェックの効率性及び品質の両面で、利便性の高い制度となっています。

ISMAPクラウドサービスリスト掲載のメリット

　ISMAPクラウドサービスリストに登録されることによる、クラウドサービス事業者の主なメリットは３つあります。

1. 政府機関等のシステム調達への入札参加

2. 高いセキュリティレベルの証明

3. 民間企業の高まる要求に応える

１．政府機関等のシステム調達への入札参加

　1つ目は、ISMAPの本来の趣旨である政府機関等のシステム調達への参入です。ISMAPの開始以降、政府機関等は、原則としてISMAPに登録されているサービスから調達を行うことになりました。

　したがって、ISMAPクラウドサービスリストに掲載されることで、政府機関等のシステム調達への入札参加が容易になります。また、総務省が地方公共団体向けに公表している「地方公共団体における情報セキュリティポリシーに関するガイドライン」において、地方公共団体のα’モデルにおけるクラウドサービス調達時において、ISMAP登録サービスの利用が求められています。α’モデル以外では、地方公共団体のクラウドサービス調達上、ISMAPは参照すべき認証・制度の１つにISMAPが位置づけられています。

２．高いセキュリティレベルの証明

　ISMAPの要求事項は主に、ISO/IEC27017等の国際標準に基づいて作成されています。そういった国際的にも広く参照されている規格に適合しているという点で、政府機関等への案件入札だけではなく、民間に対する広いアピールが可能です。

　また、セキュリティ要求事項（管理策）のみならず、セキュリティ対策状況の評価基準（監査基準）も、ISMS認証等よりはるかに厳しいため、一見すると似たセキュリティ要求事項であっても、ISMAPの方がより安心感があるという点が、アピール材料になり得ます。

ISMAPクラウドサービスリストは、公式サイトで公開されているため、対外的に高いセキュリティレベルを維持していることを証明できます。

３．民間企業の高まる要求に応える

　民間企業のクラウドサービス調達におけるセキュリティ重視の傾向は年々高まってきています。特に経済安全保障の観点から、重要インフラ企業はサプライチェーン全体で高いセキュリティレベルを確保することが求められており、場合によっては、こうした需要の高まりに応える有効な手段となります。

ISMAP管理基準のすべて

　ISMAP管理基準とは、クラウドサービス事業者が ISMAP クラウドサービスリストへの登録申請を行う上で実施すべきセキュリティ対策であり、かつ、監査機関が監査の前提として用いる基準です。

　なお、ISMAP制度改善の取り組みとして、JIS Q 27002規格の改定に伴い、ISMAP管理基準は2026年度中を目標に更新されることが発表されています。更新に伴い、管理基準数や構成が大きく変化することが見込まれています。こちらは情報が公開され次第、解説を追加いたします。

　上記、図の通り、管理基準は、「ガバナンス基準」、「マネジメント基準」、及び「管理策基準」から構成されています。

• ガバナンス基準 組織の情報セキュリティ活動を指導し、管理するシステムとして、情報セキュリティの目的及び戦略を、事業の目的及び戦略に合わせて調整し、法制度、規制及び契約を遵守するための実施事項。また、情報セキュリティガバナンスは、内部統制の仕組みによって遂行されるリスクマネジメント手法を通じて、評価、分析及び実施する。原則としてすべて実施しなければならない。

• マネジメント基準 情報セキュリティマネジメントの計画、実行、点検、処置、及び、リスクコミュニケーションに必要な実施事項。原則としてすべて実施しなければならない。

• 管理策基準 組織における情報セキュリティマネジメントの確立段階において、リスク対応方針に従って管理策を選択する際の選択肢を与えるもの。管理目的と詳細管理策で構成される。詳細管理策の内、統制目標を満たすために採用している詳細管理策および末尾に B が付された詳細管理策は原則としてすべて実施しなければならない。

ISMAP監査のすべて

　ISMAP監査は、ISMAPクラウドサービスリストに登録する上で必須のプロセスとなっています。監査は、ISMAP監査機関リストに登録されている監査機関から受ける必要があります。

• ＥＹ新日本有限責任監査法人

• 有限責任監査法人トーマツ

• 有限責任あずさ監査法人

• ＰｗＣ Ｊａｐａｎ有限責任監査法人

• 三優監査法人

（記事公開・更新時点）

　監査は「個別管理策」に基づいて実施されます。個別管理策とは、クラウドサービス事業者が、自身の選択した詳細管理策のそれぞれに対して、自身のクラウドサービスにおいて具体的に設計した個々の統制のことを言います。クラウドサービス事業者は、監査の前までにこの個別管理策を作成しておく必要があるということです。

　監査プロセスでは、「整備状況評価」と「運用状況評価」が実施されます。特に「運用状況評価」ではサンプリング手法に基づき、複数の証跡をもって統制の運用実態が確認されることになります。

• 整備状況評価 クラウドサービス事業者が ISMAP 管理基準に準拠して統制目標及び詳細管理策を選択し、必要な統制を監査の対象期間内のある時点において整備していることを評価することをいう。

• 運用状況評価 クラウドサービス事業者が ISMAP 管理基準に準拠して統制目標及び詳細管理策を選択し、整備した統制が監査の対象期間にわたり有効に運用していることを評価することをいう。

ISMAP登録までの流れ（クラウドサービス事業者）

事前準備

　まず初めに、クラウドサービス事業者は、ISMAP管理基準に規定される1,163個もの詳細管理策に対して、監査を受けるための準備として採用するものに対しては「個別管理策」、非採用にするものに対しては「非採用理由」を作成する必要があります。「個別管理策」を作成するためには、統制目標を満たすために採用している詳細管理策を見極め、ISMAP管理基準に対して自組織が設計している統制セキュリティ対策内容を記述します。個別管理策を作成する中で、ISMAP管理基準を満たさない部分が見つかった場合には、不適合の改善対応が必要になるため、自社のセキュリティ対策の実施状況が制度の要求事項に照らして不足がなさそうか、適合状況を確認します。

　SOC2や米国のFedRAMPといった類似制度に対応している場合は、一般的に必要なセキュリティ対策はある程度担保されていると想定できますが、ISMS認証のみ取得している場合は注意が必要です。ISMS認証（ISO/IEC 27001）やそのアドオンであるISMSクラウドセキュリティ認証（ISO/IEC 27017）の審査は文書審査やマネジメントシステムの審査が中心である一方、ISMAPは情報セキュリティ"監査"の枠組みを基礎としているため、統制の実装や運用状況まで踏み込んで、証跡提出を伴う監査項目も多数存在しています。ISMS認証の延長でISMAP登録に臨んだ結果、費用の増大や登録の遅れが発生しているケースが非常に多くありますので、ISMAP制度への登録を検討されている方は、規程類の整備のみならず、統制の実装や運用まで含めて、事前に適合状況を確認すると良いでしょう。

ISMS認証を取得していることで、ISMAP登録にどれほど影響を及ぼすのかについては、「ISMS認証はISMAP登録対応にどう影響を及ぼすのか？工数への影響などを解説」をご参考ください。

セキュリティ対策の運用

　ISMAPでは、セキュリティ対策の運用について詳細な監査を受けることになるため、実装や運用を裏付ける活動の証跡が必要になります。また、監査は特定の期間を対象として実施されるため、ISMAP登録を目指す上では「どの期間の運用を対象に監査を受けるのか（＝監査対象期間）」を定める必要があります。この監査対象期間は、３か月～１年の間で任意に定めることが可能ですが、「セキュリティ対策の運用」の期間は最低でも3か月は確保する必要があるということになります。

　その際、例えばSOC2やISMS認証を取得している企業の場合、ISMAPの監査対象期間をその他の制度の対象期間や審査日付と整合させると、複数制度に対する監査対応が一括で行えるため、実務上の負荷を軽減することができます。注意点としては、ISMAPは毎年の更新が求められる制度のため、更新申請にあたっても監査対象期間を定める必要があるのですが、この際、上記の引用にもあるように、初回登録時に定めた期間から切れ目なく対象期間を３か月～１年の間で任意に定める必要があります。つまり、仮に対象期間を6か月とするのであれば、年に２回監査を受ける必要があることになります。

監査・申請

１．外部監査機関による監査

　個別管理策の作成が完了し、個別管理策通りに運用が実施できたら、ISMAP監査機関リストに登録されている監査機関から監査を受けます。監査は、セキュリティ対策の整備・運用状況についての確認が約6カ月間ほどの期間で実施されます。クラウドサービス事業者は、監査機関から要求される資料の提出や質疑への応答を実施し、発見事項が見つかった際には改善計画書を作成するといった対応が必要になりますします。監査の終了時には、監査機関により取りまとめられる実施結果報告書を受領します。制度規程上、この実施結果報告書は監査対象期間末日から３か月以内に提出することが求められています。　

　しかし、前述したようにISMAPの要求項目は多岐に渡り、対象期間末日から３か月間で監査を終わらせるのは困難なため、実務としては、監査対象期間の途中から監査をスタートし、着手できるところから監査を進めていくことが一般的です。

２．申請書類の準備・提出

　外部監査が終了し、監査結果（＝実施結果報告書）を受領したら、いよいよ申請を行います。申請は、実施結果報告書の日付から１か月以内に行う必要があります。

　CSPが制度に提出する必要がある書類は、外部監査の報告書のみならず、自身のサービス内容を記述する言明書や、準拠法・裁判管轄に関する情報、ペネトレーションテストに関する情報等、多岐に渡ります。これら書類を外部監査が終了してから一斉に準備すると、万が一間に合わなかった時、取り返しがつかなくなってしまいます。したがって、実際には、外部監査の対応と並行して、準備できる書類から順々に準備していくことが望ましいでしょう。

審査

　申請を行うと、その後はISMAP制度側による審査がスタートします。まず、審査実務を担うISMAP運用支援機関（＝IPA）が、申請書類一式に不備がないかを２週間以内に確認します。

　ここで書類不備や不足があると、追加の資料提出や書き直しを求められたり、質疑対応がかさんでしまいます。前項の申請書類の提出にあたっては、制度規程や手引書を熟読したり、制度への理解に富んでいる者に確認してもらうのが安心です。

　上記の対応が終了し、無事に申請を受理されると、IPAによって技術的な審査（監査結果等の内容の精査）が行われ、その結果を踏まえ、最終的に、制度の最高意思決定機関であるISMAP運営委員会によって登録決定がされます。制度規程上は、申請が受理されてから６か月以内に登録の是非を判断するとしており、場合によっては審査に時間がかかります。

　その際、制度のFAQには以下のような記述もあり、必ずしも常に６か月かかるわけではなく、申請書類の出来栄え等によっては３か月で登録できるケースも存在します。いずれにしても、いかに前項の申請書類を過不足なく対応できるかが重要です。

　ISMAPクラウドサービス登録規則6.3において、ISMAP運営委員会は、ISMAP運用支援機関がクラウドサービスの登録申請を受理した日から原則として6か月以内に登録の是非を判断することとしております。　実態としては、クラウドサービスの登録申請から登録まで、少なくとも3か月程度の期間を要しており、申請内容によって（※）は、それ以上の期間が必要となることもあります。　また、クラウドサービスの登録の是非を判断するISMAP運営委員会は、四半期に一回（通例的に、３月、６月、９月及び１２月）開催されます。ただし、状況に応じて、開催時期が前後することや追加の開催を行う場合もあります。

※例えば、基本言明要件として原則実施しなければならない統制目標及び詳細管理策を対象外とした場合、対象外とした理由について妥当性の確認などに時間を要する場合があります。

ISMAP費用の相場

　ISMAPサービスリストへの登録に係る費用は、主に監査機関に支払う費用になります。各監査機関は主に2つのサービスを提供しており、1つが必須である本監査・本番評価であり、もう1つが、任意で受けることができる事前診断・プレ評価サービスとなっています。各監査機関が提供するサービスの内容及び費用には差があるという前提で、ISMAPサービスリストへの初回登録にかかる各種費用の相場感をまとめました。なお、詳細な費用については、各監査機関にお問い合わせください。

ISMAP制度に関する直近の動き①（更新：2023/12）

　ISMAP制度の運用の中で明らかになった「外部監査の負担軽減」や「審査の迅速化・効率化」などの課題に対して、改善を施した枠組みが2023年10月より運用開始されました。

• 外部監査の枠組みの見直し

• モデル審査機関の枠組み

• 発見事項への対応の充実

• ISMAP-LIU登録促進のための特別措置について

• ISMAP関係主体とのコミュニケーションの深化

詳細はこちらから

ISMAP制度に関する直近の動き②（2024年12月）

　内閣府による、第4回 公共ワーキング・グループにおいて、ISMAP制度が議題として取り上げられ、以下の通り、ISMAP制度及びその見直しの検討状況についての報告がされました。

＜2026年3月までの改善＞

1. ISMAP管理基準の抜本的な見直し等

   1. ISO 27000シリーズの改訂等を取り込み、統制目標と詳細管理策の粒度を見直し、リスクベースアプローチを活用することにより、管理策数を数百まで削減

   2. ISMAP登録の他のサービスで監査済みの管理基準について重複監査を排除・ISMAP-LIUの更なる改善を含め、ISMAP登録されたIaaS・PaaSを基盤としたSaaSの取扱いを明確化し、SaaS事業者の負担を軽減・新たな監査機関の参入等による競争の促進

2. ISMAP運営委員会の透明性の向上

   1. ISMAP運営委員会の議事の詳細や委員名の公表について、個々のサービスのセキュリティに関する機微な情報を扱っていることも勘案しつつ、透明性の向上に向けて検討

   詳細はこちらから

　いかがでしょうか。今回は、ISMAP制度について知るべき基礎の全てをご紹介しました。ISMAPはセキュリティコンプライアンスの領域では非常に価値が高く、注目されてきている制度です。今後、より詳細な制度説明も行っていきますので、ぜひそちらもご覧ください

　本サイトでは、ISMAP制度における疑問・質問はどんな内容でも受け付けております。その他、制度理解や対応に役立つコンテンツをどんどん配信しているので、是非チェックしてみてください！

執筆者

東海林 和広

• 株式会社 X-Regulation 取締役

• 大手監査法人において、ISMAP監査やクラウドサービスに対するセキュリティ監査等を多数経験