別添４ 政府機関等における情報セキュリティ対策に関する統一的な取組
別添４−２ 政府情報システムのためのセキュリティ評価制度（ISMAP）

別添４−２
１

政府情報システムのためのセキュリティ評価制度（ISMAP）

概要
ISMAP は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登
録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、
政府機関等におけるクラウドサービスの円滑な導入に資することを目的とする制度で、2020
年６月に運用を開始した。
ISMAP の基本的な枠組みは、国際標準等を踏まえ、クラウドサービスに対して要求すべき情
報セキュリティ管理・運用の基準（ISMAP 管理基準）を定め、情報セキュリティ監査の枠組み
を活用した評価プロセスに基づき、各基準が適切に実施されているかを第三者（ISMAP 登録監
査機関）が監査するプロセスを経て、要求する基準に基づいたセキュリティ対策を実施して
いることが確認されたクラウドサービスを、
「ISMAP 等クラウドサービスリスト1」に登録する
ものである。
各政府機関等がクラウドサービスを調達する際には、原則として、
「ISMAP 等クラウドサー
ビスリスト」に掲載されたサービスから調達を行うこととなる。
ISMAP の基本的な流れは、図表４−２−１のとおりである。
図表４−２−１

ISMAP の基本的流れ

また、「デジタル社会の実現に向けた重点計画」（2021 年 12 月 24 日閣議決定）において、
セキュリティリスクの小さい業務・情報を扱うシステムが利用するクラウドサービスに対す
る仕組みを策定し、クラウド・バイ・デフォルトの拡大を推進する旨の方向性が示されたこ
とを踏まえ、ISMAP の枠組みのうち、リスクの小さな業務・情報の処理に用いる SaaS サービ
スを対象とした仕組みである「ISMAP-LIU（ISMAP for Low-Impact Use）
」を新たに設け、2022
年 11 月から運用を開始した。
ISMAP-LIU の基本的な仕組みは、図表４−２−２のとおりである。

1

「ISMAP クラウドサービスリスト」及び「ISMAP-LIU クラウドサービスリスト」をいう。

別添４ - 7 -