「ISMAP」は政府お墨付きの証 - “クラウドファースト”時代の安全なサービス探し、どうする?
目次を閉じる
クラウドが仕事に欠かせなくなった
テレワーク制度を導入する企業が急増し、自宅などオフィス外から業務データにアクセスしたり、同僚とリモート共同作業したりする必要性が高まって、クラウドサービスの業務利用も増えています。民間企業だけでなく、DX推進に取り組んでいる政府も「クラウド・バイ・デフォルト原則」を掲げ、クラウドサービス利用を積極的に進めています。
IDC Japanが2025年2月に発表した「国内パブリッククラウドサービス市場予測」によると、2024年の国内パブリッククラウドサービス市場は、前年に比べ約26.1%増の4兆1,423億円に達しました。今後も成長が継続すると見られており、2029年には 約8兆8,164億円 の規模に拡大するとIDC Japanは予測しています。もはやクラウドは仕事において不可欠であり、“クラウドファースト”を超えた“クラウド+生成AI/クラウドネイティブ”時代へと移行しています。
※出典:IDC Japan「国内パブリッククラウドサービス市場予測」2025年11月25日閲覧
セキュリティ評価制度「ISMAP」とは
クラウド導入で業務が効率化されると、「ビジネスの加速」という恩恵がもたらされます。その一方、クラウド特有のセキュリティ対策が求められ、セキュリティ人材不足の問題で対応に苦慮している企業も多いようです。
信頼できるクラウドサービスはどのように選択すればよいでしょうか。政府は、「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program:ISMAP)」という制度を新設し対処しています。
政府はクラウド導入を推進しているが…
政府は、クラウド・バイ・デフォルト原則にもとづき積極的にクラウドサービスを利用する方針です。ところが、統一的なセキュリティ要求基準は策定されていません。クラウドを調達しようとする都度、担当者が候補となるサービスのセキュリティ対策を確認しなければなりませんでした。これは、負荷が高く非効率な調達方法といえます。
この問題を解決するために、ISMAP(イスマップ)は制定されました。適切なセキュリティ水準が確保されたクラウドサービスを「信頼できるクラウド」とあらかじめ認めておき、それらサービスのなかから目的に合うものを導入します。こうすれば、適切なサービス選定に伴う作業の負荷は、大きく軽減されるでしょう。
そこで、内閣サイバーセキュリティセンター(NISC)、総務省、経済産業省が連携し、ISMAPの策定に乗り出しました。
政府が定めたクラウドセキュリティ要件
ISMAPは、政府機関などが導入するクラウドサービスに対して要求すべき基本的な情報セキュリティの管理・運用基準を定めています。ISMAPにしたがったクラウドサービスであれば、政府機関は安心して利用できます。
既存の情報セキュリティマネジメントシステム適合性評価制度(Information Security Management System:ISMS)で求められている「JIS Q 27001(ISO/IEC 27001)」のほか「JIS Q 27002 (ISO/IEC 27002)」「JIS Q 27017 (ISO/IEC 27017)」といった国際的なセキュリティ規格をベースに、不足している要件などを追加してまとめました。
政府は、ISMAPに適合するクラウドサービスをリストで公開しますが、適合しているかどうかの監査は行いません。監査は、あらかじめ認定された第三者である監査機関が実施します。クラウドサービスプロバイダーからの申請に応じてセキュリティを確認し、要件を満たしていればリストへ掲載する流れです。
ISMAPリスト掲載サービスは?
原則として政府機関は、ISMAPで登録された、つまり、監査済みリストに掲載されたクラウドサービスのいずれかを選んで導入します。サービスプロバイダーの立場からみると、このリストに掲載されると政府から調達されやすくなるはずです。
ちなみに、第一弾の監査済みクラウドサービスは、2021年3月12日に「ISMAPクラウドサービスリスト」として公開されました。最新のリストは6月22日に掲載され、NTTデータ、富士通、グーグル、セールスフォース・ドットコム、アマゾン・ウェブ・サービシズ、日本電気(NEC)、オラクル、日本マイクロソフト、日立製作所の具体的なサービスが並んでいます。
ISMAPのウェブサイトでは、監査機関のリストも確認可能です。
民間企業のクラウド導入にも活用
ISMAPのリストには、セキュリティ面で安心できる具体的なクラウドサービスが掲載されています。民間企業のITスタッフにも役立つでしょう。
政府機関向けクラウドサービスが目的であるISMAPのセキュリティ要件は、企業にとって過剰で、コストが必要以上に高い可能性もあります。したがって、現時点では参考程度にとどめるリストです。
ただし、政府はISMAPのリストを民間企業にも参照してもらい、クラウドサービスの利用促進を目指しています。企業向けに提供される場合は、要件の緩和されたリストが新たに作られるかもしれません。そうなればISMAPリストの有用性は高まるので、動向を注視していましょう。
