資料1 サイバーセキュリティ2024(2023年度年次報告・2023年度年次計画)(案)について (241 ページ)
出典
公開元URL | https://www.nisc.go.jp/council/cs/index.html#cs41 |
出典情報 | サイバーセキュリティ戦略本部(第41回 7/10)《内閣官房内閣サイバーセキュリティセンター》 |
ページ画像
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別添4−2 政府情報システムのためのセキュリティ評価制度(ISMAP)
別添4−2
1
政府情報システムのためのセキュリティ評価制度(ISMAP)
概要
ISMAP は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登
録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、
政府機関等におけるクラウドサービスの円滑な導入に資することを目的とする制度で、2020
年6月に運用を開始した。
ISMAP の基本的な枠組みは、国際標準等を踏まえ、クラウドサービスに対して要求すべき情
報セキュリティ管理・運用の基準(ISMAP 管理基準)を定め、情報セキュリティ監査の枠組み
を活用した評価プロセスに基づき、各基準が適切に実施されているかを第三者(ISMAP 登録監
査機関)が監査するプロセスを経て、要求する基準に基づいたセキュリティ対策を実施して
いることが確認されたクラウドサービスを、
「ISMAP 等クラウドサービスリスト1」に登録する
ものである。
各政府機関等がクラウドサービスを調達する際には、原則として、
「ISMAP 等クラウドサー
ビスリスト」に掲載されたサービスから調達を行うこととなる。
ISMAP の基本的な流れは、図表4−2−1のとおりである。
図表4−2−1
ISMAP の基本的流れ
また、「デジタル社会の実現に向けた重点計画」(2021 年 12 月 24 日閣議決定)において、
セキュリティリスクの小さい業務・情報を扱うシステムが利用するクラウドサービスに対す
る仕組みを策定し、クラウド・バイ・デフォルトの拡大を推進する旨の方向性が示されたこ
とを踏まえ、ISMAP の枠組みのうち、リスクの小さな業務・情報の処理に用いる SaaS サービ
スを対象とした仕組みである「ISMAP-LIU(ISMAP for Low-Impact Use)
」を新たに設け、2022
年 11 月から運用を開始した。
ISMAP-LIU の基本的な仕組みは、図表4−2−2のとおりである。
1
「ISMAP クラウドサービスリスト」及び「ISMAP-LIU クラウドサービスリスト」をいう。
別添4 - 7 -