ISMAP 【Information system Security Management and Assessment Program】政府情報システムのためのセキュリティ評価制度

概要

ISMAP（Information system Security Management and Assessment Program）とは、日本の政府機関が構築・運用する情報システムに求められるセキュリティ要件を満たしたクラウドサービスを認定・登録する制度。内閣サイバーセキュリティセンター(NISC)、デジタル庁、総務省、経済産業省が共同で運用しており、実務は情報処理推進機構(IPA)が担当している。

政府では行政機関の情報システムの運用基盤として、民間事業者によるIaaS型やPaaS型のクラウドサービスの利用を推進（クラウドバイデフォルト原則）しているが、従来は各官庁が個別にセキュリティ基準などを定めてサービスの選定を行っていた。

政府として統一されたセキュリティ対策の元でシステムを運用するため、2020年にNISC、デジタル庁、総務省、経産省が共同でISMAP制度を立ち上げ、事業者から申請のあったクラウドサービスについて審査および外部機関による監査を行っている。審査を通過したサービスは登録リストに記載され、Webサイト等を通じて公表される。

仮想化されたサーバやアプリケーション実行基盤を貸し出すIaaS/PaaSとしては、民間でもすでに広く利用されている米アマゾンドットコム（Amazon.com）社の「Amazon Web Services」や米マイクロソフト（Microsoft）社の「Microsoft Azure」、米グーグル（Google）社の「Google Cloud Platform」、米オラクル（Oracle）社の「Oracle Cloud Infrastructure」などの世界的な大手サービスのほか、NTTデータや野村総研、日立、NEC、富士通、KDDI、ソフトバンク、IIJ、サイボウズ、さくらインターネットなど国内勢のサービスも登録されている。

個別用途のアプリケーションをクラウドで提供するSaaS型のサービスも登録されている。オフィスソフトの「Microsoft 365」や「Google Workspace」、オンラインストレージの「Box」、ビジネスチャットの「Slack」、ビデオ会議の「Webex」、ERPパッケージの「COMPANY」などである。

(2023.9.5更新)