「ISMAP(イスマップ)」とは、政府機関のクラウドサービスに関するセキュリティ評価制度です。本記事では、その概要やメリット、登録の流れについて詳しく解説します。さらに、取得までにかかる費用や期間、よくある質問なども紹介しますので、ISMAPへの理解を深める参考にしてください。
ISMAP(イスマップ)とは?
ISMAPの正式名称は「Information system Security Management and Assessment Program」で、日本語に訳すと「政府情報システムのためのセキュリティ評価制度」を意味します。これは、日本の政府機関がクラウドサービスを導入する際に、一定のセキュリティ水準を確保するために設けられた評価制度です。
この制度は、国家サイバー統括室(NCO)、デジタル庁、総務省、経済産業省の4つの公的機関が連携して運用しています。加えて、独立行政法人情報処理推進機構(IPA)も技術支援として関わっています。
ISMAPが重要視される背景
政府は、情報システムの導入や更新の際、クラウドサービスの利用を第一候補として検討する「クラウド・バイ・デフォルト原則」を掲げています。
クラウドサービスの利用が推進される理由としては、場所を選ばずシステムを利用できることや、一元管理が可能なことにより、働き方改革や業務効率化、災害時の運用などにおいて多くのメリットがある点が挙げられます。
当初、クラウドサービス調達時のセキュリティ要件は、省庁ごとに存在していました。しかし、それではクラウドサービスの利用が拡大していくと、セキュリティ要件を満たしているかの確認作業が煩雑になってしまいます。そこで、安全で円滑にサービスを調達できるよう、統一されたセキュリティ基準を求める声が高まり、採用されたのがISMAPです。
ISMAPの導入により、政府機関がクラウドサービスを選ぶ際のセキュリティ基準が標準化され、より迅速なクラウドサービスの導入が可能になっています。
ISMAPの対象となる事業者
ISMAPの対象となる事業者は、政府機関や重要インフラ企業への導入を目指すCSP(Cloud Solution Provider)です。CSPとは、IaaS、PaaS、SaaSなどのクラウドサービスを提供するプロバイダーを指します。
IPAのポータルサイトには「ISMAPクラウドサービスリスト」が公開されており、2026年2月2日時点でリストに掲載されているサービスは88にのぼります。
参照元:独立行政法人情報処理推進機構(IPA)「ISMAPクラウドサービスリスト」
ISMAP-LIUとの違い
IPAのポータルサイトでは、ISMAPとともに「ISMAP-LIU(Low Impact Use)」のクラウドサービスリストも公開されています。ISMAP-LIUとは、セキュリティリスクの低い業務や情報を扱うSaaSが対象となるISMAPの枠組みです。
ISMAP-LIUは通常のISMAPと比べ、外部監査の対象範囲が絞り込まれているのが特徴です。そのため、登録までの審査期間の短縮や、登録にかかるコストの軽減が見込めます。
ISMAPを取得するメリット
ISMAPを取得すると、政府機関のシステムを受注できる資格が得られるだけでなく、他にもさまざまなメリットがあります。主な3つのメリットについて、詳しく解説します。
セキュリティレベルの向上と信頼性の獲得
ISMAPの管理基準は、経営者向けの「ガバナンス基準」、管理者向けの「マネジメント基準」、業務実務者向けの「管理策基準」の3つで構成されています。ISMAP取得のためには、「マネジメント基準」と「管理策基準」に関しては、すべての項目を満たすことが必要です。
「管理策基準」は、「統制目標」および「詳細管理策」から成っており、審査の項目は複数のカテゴリで1,000以上にのぼります。「詳細管理策」については一部選択制の項目もありますが、「統制目標」はすべての項目を満たさなければなりません。
このような厳しい基準が設けられているため、ISMAPの取得は、自社サービスのセキュリティ品質の証明になります。また、「政府認定のクラウドサービス」というお墨付きも得られるため、サービスに対する信頼度の向上も期待できます。
コンタクトセンターでは、顧客の氏名、住所、電話番号などに加え、場合によってはクレジットカード情報や健康状態など、デリケートな個人情報を扱うことも少なくありません。顧客にとって、コンタクトセンターが厳格な要件をクリアしている事実は大きな安心感に繋がります。その意味で、ISMAPなど高いセキュリティ基準の充足を対外的に示すことは、単なる安全性の保証に留まらず、顧客体験(CX)の質を構成する重要な要素の一つと言えるでしょう。
政府機関のシステムではなくても、システムの受注においてISMAP登録程度のセキュリティレベルが求められる場合もあるため、取得によるメリットは大きいでしょう。
入札参加資格の取得
政府機関がクラウドサービスを選ぶ際は、原則的にISMAPクラウドサービスリストの中から選定します。そのため、政府案件の入札を希望する場合は、ISMAPの取得が必須条件です。
官公庁でもお客様窓口の業務委託などで、コンタクトセンターが入札に参加する機会は少なくありません。案件取得の機会を逃さないためにも、ISMAPの取得は重要です。
競争力の強化
前述の通り、ISMAP取得には厳しいセキュリティ要件をクリアする必要があるため、ISMAPクラウドサービスリストに名前が載っていること自体が、信頼性の保証になります。
官公庁だけでなく、機密情報を扱う金融機関や大手民間機関などでも、ベンダー選定の際に高いセキュリティレベルを求める傾向があります。ISMAPを取得していれば、他社と比べて高いセキュリティ品質を保持していることをアピールできるため、こうした規模の大きなクライアントのシステムを受注できる可能性が高まります。同様に、機密情報を扱う業種のコンタクトセンターにおいても、ISMAPの取得は大きなアピールポイントになるでしょう。
ISMAPクラウドサービスリスト登録の流れ
ISMAPクラウドサービスリストの事前準備から登録に至るまでの流れを、4つの段階に分けて詳しく解説します。
事前準備
ISMAPの申請には、言明書の作成が必要です。言明書とは、対象となるサービスの範囲や、内部統制の状況、統制目標実現のための管理策の実施状況や対象期間などを記載した書面をいいます。ISMAPクラウドサービス登録規則で定められた様式を用いて記載します。
要件を満たしていることを自社で確認できれば、外部監査を受ける必要があります。監査を担当するのは、ISMAPが委託している監査機関に限られます。そのため、準備段階でISMAP監査機関リストをチェックし、監査を受ける機関の選定と契約も行っておきましょう。
IPAでは、申請後の監査の手戻りを防ぐため、提出書類の事前相談も受け付けています。初めての申請で勝手が分からない場合や、迅速に手続きを進めたい場合などは活用すると便利です。
申請
事前準備が終われば、依頼した外部監査機関より監査を受けます。監査は「ISMAP情報セキュリティ監査ガイドライン」に従って実施され、完了すれば監査機関から事業者へ監査結果の報告書が発行されます。その報告書と言明書、登録申請書などの必要書類をそろえた上で、IPAへ申請を行ってください。
審査
申請時に提出された書類に基づき、IPAによって基準を満たしているかの技術的な審査が行われます。その際、追加で情報提供が必要になる場合もあります。
技術的な確認が終われば、ISMAP運営委員会によって、最終的に登録が可能かどうかの判断が下されます。
登録
ISMAP運営委員会が登録を許可すれば、サービスや事業者の名称、事業者の住所や有効期限などが「ISMAPクラウドサービスリスト」へ速やかに公開されます。
有効期限は、監査対象期間における末日の翌日から1年4か月後です。登録を継続したい場合は、期限までに更新の申請を行いましょう。
ISMAPに関するFAQ
ISMAPの取得の際、費用や審査期間について気になる人も多いでしょう。以下では、ISMAPに関するよくある質問と回答を紹介します。
ISMAPの費用はどのくらいかかりますか?
ISMAPの申請自体には、料金は発生しません。ただし、申請前に行う外部監査には費用がかかります。監査法人に支払う金額は、サービスの種類や範囲によって異なりますが、数百万円〜数千万円規模の費用が発生します。
加えて、外部監査の前にリスク分析や内部監査を行う際、専門家のアドバイスを受ける場合には、コンサルティング費用も必要です。金額はサービスにより異なりますが、こちらも数百万円〜数千万円が相場です。
さらに脆弱性のテストやセキュリティ対策など、社内対応の費用も予算に含めておかなければなりません。これらを合わせると、場合によっては総額数千万円~1億円程度のコストがかかる可能性があります。
ISMAPの審査期間はどのくらいですか?
ISMAPクラウドサービス登録規則では、ISMAP運営委員会は原則として登録申請の受理日から6か月以内に、登録の是非を判断すると定められています。
さらに、申請前の外部監査にも数か月の期間がかかります。内部での各種テストの実施や事前相談、コンサルティングの期間も含めると、準備開始から登録完了までは、一般的に1年程度を要します。長期的なプロジェクトになる傾向があるため、登録を済ませたいスケジュールが決まっている場合は、早めに準備を開始しましょう。
ISMAPの管理基準とは何ですか?
ISMAPの管理基準は、JIS Q 27001:2014(ISO/IEC 27001:2013)・JIS Q 27002:2014(ISO/IEC 27002:2013)・JIS Q 27017:2016(ISO/IEC 27017:2015)を準拠した「クラウド情報セキュリティ管理基準」をベースに作成されています。JISは、国際規格であるISO規格やIEC規格を翻訳した、日本の国内規格です。
さらに政府の統一基準や、米国連邦政府のセキュリティ基準であるNIST SP800-53も参考にしています。
また、ISMAPの管理基準は「ガバナンス基準」、「マネジメント基準」、「管理策基準」から構成されていますが、「ガバナンス基準」に関しては、クラウド情報セキュリティ管理基準策定後のJIS Q 27014:2015(ISO/IEC 27014:2013)を参考にしています。このようにISMAPの管理基準は、国内外のさまざまな規格を参照した網羅性の高い基準です。
ISMAPとISO27001の違いは何ですか?
ISO27001は、情報セキュリティマネジメントシステム(ISMS)における国際規格です。情報漏洩や不正アクセスなどのリスクを組織がどう管理するかを具体的に定めたもので、クラウドサービスに特化したものではありません。
対して、ISMAPは政府機関のクラウドサービスにおけるセキュリティ基準を評価する、国内の制度です。ISO27001を基にしながら、政府の統一基準やNIST SP800-53も参考にしており、クラウドサービスに特化した管理策がより具体的に規定されています。
ISMAPの他にクラウドサービス向けの規格としては、ISO27001に追加で認証できる「ISO27017」という規格も存在します。こちらはISMAP同様、クラウドサービスのリスクに対する管理策を定めた規格です。ISMAPとは審査期間や有効期限などが異なり、取得にかかる費用や合格の難易度は、ISMAPより低い傾向にあります。
日本の政府機関をはじめ、機密性の高い企業の案件獲得を目指すなら、ISMAPを取得する必要があります。一方、国内外の民間企業に対し広く信頼性をアピールしたいなら、ISO27001でも充分に対応可能です。
まとめ
ISMAP取得は、政府機関のクラウドサービス案件の入札を希望する事業者にとっては、必須の条件です。ISMAP取得のためには、外部監査に加え、ISMAP運営委員会などによる厳しい審査に合格しなければなりません。それゆえにISMAPを取得していること自体が、信頼性の証明になります。
たとえ政府機関の案件を受注しないとしても、取得により競争力を高められ、機密性の高い情報を扱う組織や大企業の案件を得やすくなる可能性があります。政府機関のクラウドサービス案件には、コンタクトセンターやコールセンター業務の案件も多数存在しており、ISMAPの取得は他社と差別化を図る上で大きな強みになります。
