ISMAPは「政府情報システムのためのセキュリティ評価制度」の通称で、日本政府によるクラウド・サービスの安全性評価です。ISMAP運営委員会が認定した監査機関が監査することで、政府として十分なセキュリティ基準を満たしていると認めたクラウド・サービスを選定、一覧化します。政府情報システムに対し2018年6月にクラウド・バイ・デフォルト方針が出されたことを受け、米国のFedRAMPを参考に作られました。現時点では政府内で最も多く扱われる情報の機密性の格付け(機密性2)を想定したレベルの管理基準(レベル2)のみが策定されています。
ISMAPは、国の行政機関、独立行政法人及び指定法人(「政府機関」)がクラウド・バイ・デフォルトを推進するためのクラウド・サービス・リストとして策定されました。しかし、政府が作成・公開するクラウド・サービス・リストに載るということは「国が安全性を認めたサービス」とも取れるため、市場においてはサービスの信頼性向上につながります。このような思惑から、現在多くのクラウド・サービス提供業者がリストへの掲載を目指しています。
2021年5月時点では各社からの審査希望が殺到しているため、政府機関が既に利用しているクラウド・サービスを優先して審査するという方針がとられています。ISMAPのクラウド・サービス・リストへの掲載を目指す企業は、IPAや認定監査機関と継続的にコミュニケーションを続けながら動向の把握をしておくことが望まれます。
このホワイトペーパーでは、ISMAPの制度について説明し、クラウド・サービス・リストへの登録を目指すクラウド・サービス事業者がとるべき対応について解説します。
※フォーム送信完了後、メールにてPDFファイルのダウンロードURLをお知らせします。