広報資料「はじめてのISMAP-政府情報システムのためのセキュリティ評価制度の概要-」を公表 NISCほか

掲載:2024年05月20日

サイバー速報

         
目次

内閣サイバーセキュリティセンター(NISC)、デジタル庁、総務省、経済産業省は4月26日、「政府情報システムのためのセキュリティ評価制度(ISMAP=イスマップ)」の認知度と理解度の向上を図る目的で、ISMAP制度の基本的な枠組みなどを紹介するパンフレットを作成、公開しました。

ISMAPはセキュリティ要件を満たすクラウドサービスを評価・登録する制度であり、政府機関は原則としてISMAPに登録されているクラウドサービス(ISMAPクラウドサービスリスト)から調達します。政府による統一的なセキュリティティー基準であるため、クラウドサービスを調達する側は政府機関に限らず、リストを活用することで効率的に一定のセキュリティ水準を確保したクラウドサービスを検討できます。

2020年6月に運用が始まり、2021年3月から実際にリストにサービスが登録されて政府機関による利用が開始されました。2022年11月からはリスクの小さな業務・情報の処理に用いるSaaSサービスを対象にした「ISMAP-LIU」の運用も始まりました。こちらはリスト登録までの負担を軽減する狙いがあり、ISMAP-LIUに該当すると認められれば外部監査の管理策数は5分の1程度に縮小されると想定されています。

パンフレットは主にクラウドサービス事業者および情報システム調達者を対象としています。クラウドサービス事業者向けには制度を活用するメリットとしてセキュリティ要件への対応をまとめられること、政府から安全性について一定の評価を受けたことの証明になることを挙げています。リストに登録するにはISMAP管理基準に基づいて管理体制を整備した上で外部監査および審査を受ける必要があります。

一方、システム調達者向けには、第三者監査を受けたサービスを選べること、自社サービスの安全性確認の一部に活用できること、自社でのクラウドサービス利用に対外的な信頼感が得られることを活用メリットとして挙げています。