クラウドセキュリティ認証（ISMAPリスト登録）

ISMAPとは何のための制度か

ISMAP（政府情報システムのためのセキュリティ評価制度）は、政府機関が調達するクラウドサービスに求めるセキュリティ水準をあらかじめ評価し、基準を満たしたサービスを「ISMAPクラウドサービスリスト」に登録・公開する制度です。各府省庁は、原則としてこのリストに載ったサービスの中からクラウドを調達します。つまり登録は許認可というより「政府調達の入口に立つための資格」であり、官公庁向けにSaaS・IaaS・PaaSを提供したいクラウド事業者が対象になります。

リスクの低い業務・情報を扱うサービス向けには、要件を簡素化した「ISMAP-LIU」も別枠で用意されています。自社サービスがどちらの対象になるかを最初に見極めることが出発点です。

取得の必須要件

登録の核心は、自社で完結できない点にあります。

• ISMAP管理基準（NIST SP800-53、ISO/IEC 27001・27017等を踏まえた管理策）に準拠した情報セキュリティ管理体制を整備していること
• ISMAP運営委員会に登録された「監査機関」による第三者監査を受け、基準への適合を証明すること
• 統制（ガバナンス・マネジメント・事業継続等）と個別管理策の双方について、規程・運用記録・証跡を整備していること

ISO/IEC 27001（ISMS）認証を取得済みであれば土台になりますが、ISMAPはそれより管理策の範囲が広く深いため、ISMS取得＝登録可ではありません。

申請の流れ

1. 自社サービスのスコープ確定と、ISMAP管理基準に基づくギャップ分析 2. 不足する管理策の整備・運用実績の蓄積（ここが最も時間を要する） 3. 登録監査機関の選定・契約と、内部監査・外部監査の実施 4. 監査報告書を添えてISMAP運営支援機関へ申請 5. 運営委員会の審査を経てクラウドサービスリストへ登録

着手から登録まで1年以上かかることが珍しくありません。

費用の内訳

申請費用の目安が100万〜500万円と幅広いのは、費用の大半が監査機関への報酬であり、サービスの規模・構成（マルチクラウド、対象システム数、管理策の充足度）で大きく変動するためです。これに加え、社内体制整備のコンサルティング費、不足管理策の実装コスト、登録後の年次更新監査費が継続的に発生します。実際の総額は対象サービスの構成により異なるため、複数の監査機関に見積もりを取ることを推奨します。

よくある差し戻し・つまずき

• 監査範囲（スコープ）の定義が曖昧で、評価対象システムの線引きが不明確
• 規程は存在するが運用証跡（ログ・記録）が伴っておらず、管理策の「運用」を証明できない
• 再委託先・利用する外部クラウド基盤の管理策まで統制が及んでいない

更新と維持

登録は一度きりではなく、原則1年ごとの更新と継続的な監査・モニタリングが前提です。サービス構成や管理策に重要な変更があれば、その都度の報告・再評価が必要になります。登録維持には毎年の監査費用と運用負荷が続くため、登録後のランニングコストまで含めた予算計画を立てておくことが重要です。