用語集 › 🔒 セキュリティ › ISMAP
【いすまっぷ】

ISMAP とは?

💡 政府お墨付きのクラウド安全リスト、セキュリティの通信簿
📌 このページのポイント
ISMAP(政府クラウドセキュリティ評価制度) クラウド事業者 セキュリティ自己評価 申請 第三者監査機関 管理策の検証・評価 合格 ISMAPリスト 登録クラウドサービス 政府のお墨付き 政府機関 安心して調達 2つのレベル ISMAP(標準): 高リスク業務向け ISMAP-LIU: 低リスク業務向け
ISMAPの評価・登録フローと2つのレベル
ひよこ ひよこ

ISMAPって何のための制度なの?

ペンギン先生 ペンギン先生

政府機関がクラウドサービスを使うとき、そのサービスが十分に安全かどうかを事前に評価して登録しておく制度だよ。ISMAPに載っているサービスなら安心して使えるという「お墨付き」のようなものだね

ひよこ ひよこ

なんで政府専用の制度が必要なの?ISO 27001とかじゃダメなの?

ペンギン先生 ペンギン先生

ISO 27001は汎用的な規格だけど、政府のシステムには国民の個人情報や機密情報が含まれるから、より厳格な基準が必要なんだ。ISMAPはISO 27001をベースにしつつ、政府特有の要件を上乗せしているよ

ひよこ ひよこ

どうやって評価されるの?

ペンギン先生 ペンギン先生

クラウド事業者が自己評価を行い、それをISMAP認定の第三者監査機関が検証する仕組みだよ。管理策は1000以上の項目があって、かなり網羅的に見られるんだ

ひよこ ひよこ

ISMAP-LIUっていうのも聞いたことあるけど?

ペンギン先生 ペンギン先生

ISMAP-LIUは「Low Impact Use」の略で、機密性の低い業務向けの簡易版だよ。通常のISMAPより評価項目が少なくて取得しやすい。SaaSなど比較的リスクの低いサービス向けに作られたんだ。政府のクラウド活用を加速するための仕組みだね

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「ISMAP」って出てきたら「政府が認めたクラウドセキュリティ認証制度」と思えればだいたいOK!
📖 おまけ:英語の意味
「Information system Security Management and Assessment Program」 = 情報システムのセキュリティ管理・評価プログラム
💬 ISMAPは日本独自の制度で、2020年に始まったよ。政府のクラウド利用を安全に進めるための仕組みだね
🔗 あわせて読みたい
← 用語集にもどる