政府情報システムにおけるクラウド利用が加速する中で、近年急速に注目を集めているのが ISMAP(政府情報システムのためのセキュリティ評価制度) です。
「名前は聞いたことがあるが、具体的に何を求められる制度なのか分からない」
「ISOと何が違うのか?」
「費用感や審査の厳しさはどの程度なのか?」
本記事では、ISMAPの制度概要から審査の流れ、監査法人が審査機関となる理由、実務上のポイントやコスト相場まで、できる限り詳しく解説します。
1. ISMAPとは何か?制度の目的と背景
ISMAP(Information system Security Management and Assessment Program/政府情報システムのためのセキュリティ評価制度)とは、日本政府が運営するクラウドサービスのセキュリティ評価・登録制度です。
政府機関がクラウドサービスを導入する際に、
- 各省庁が個別にセキュリティ評価を行う負担を減らす
- 一定水準以上のセキュリティを確実に担保する
- クラウド導入を迅速かつ安全に進める
ことを目的として設計されています。
ISMAPでは、政府が定めた統一的なセキュリティ基準に基づき、クラウドサービスを第三者が評価し、適合したサービスのみを 「政府クラウドサービスリスト」 として公開します。
原則として、政府機関はこのリストに掲載されたクラウドサービスから調達・選定を行うことになります。
2. 政府がISMAPを導入した背景
ISMAPの制度背景として重要なのが、2018年に政府が打ち出した
「クラウド・バイ・デフォルト原則」 です。
これは、
政府情報システムは、原則としてクラウドサービスの利用を第一候補とする
という方針であり、これにより政府システムのクラウド化が一気に進むことになりました。
しかしその一方で、次のような課題が顕在化しました。
- 省庁ごとにセキュリティ要件・評価基準が異なる
- 同じクラウドサービスでも、何度も評価を受ける必要がある
- 事業者側の負担が大きく、調達が進まない
こうした課題を解消するために、セキュリティ評価を一本化し、政府として「使ってよいクラウド」を事前に整理する仕組みとしてISMAPが導入されました。
3. ISMAPの仕組みと構成要素(管理基準)
ISMAPでは、クラウドサービス事業者に対して 統一されたセキュリティ管理基準 を求めています。
この管理基準は、大きく以下の3つで構成されています。
🔐 ① ガバナンス基準
経営層が主体となって情報セキュリティを統制しているかを評価する基準です。
主な内容は以下のとおりです。
- 情報セキュリティ方針の策定と承認
- 経営層によるリスク認識・意思決定
- 内部監査・マネジメントレビューの実施
- セキュリティ体制・責任分担の明確化
「現場任せではなく、経営としてセキュリティを管理しているか」 が厳しく見られます。
🛠 ② マネジメント基準
情報セキュリティマネジメントシステム(ISMS)として、
運用・監視・改善が継続的に行われているか を確認する基準です。
- リスクアセスメントの実施
- 管理策の選定と有効性評価
- インシデント管理・是正処置
- PDCAサイクルの運用
ISO/IEC 27001に近い考え方ですが、「実際に回っているか」 が強く問われます。
📊 ③ 管理策基準
実務レベルのセキュリティ対策を定めた基準です。
- アクセス制御
- 認証・権限管理
- 暗号化
- ログ管理
- 脆弱性管理
- インシデント対応
- 物理セキュリティ
- 委託先管理
など、非常に細かく定義されており、管理策数は1,000項目超 と言われています。
この厳格さから、ISMAPは米国のFedRAMPに匹敵する制度 と評価されることもあります。
| カテゴリ | 管理策数 |
|---|---|
| ガバナンス基準 | 約 18 |
| マネジメント基準 | 約 85 |
| 管理策基準 | 約 1,095 |
| 合計(概数) | 約 1,198以上 |
4. 審査の流れ:ISMAP登録までのステップ
ISMAP登録までの流れは、大きく次の4ステップです。
① 申請準備
- 対象クラウドサービスの範囲確定
- ISMAP管理基準に基づく管理策の整備
- 各種規程・手順書・記録類の作成
- 適用宣言書(SoA)の作成
この段階が 最も工数・期間を要するフェーズ です。
② 外部監査(第三者監査)
ISMAP運営委員会に登録された 監査機関 による審査が行われます。
- 文書レビュー
- 運用証跡の確認
- インタビュー
- システム構成・運用状況の確認
結果は 監査報告書 としてまとめられます。
③ 運営委員会による審査
監査報告書をもとに、ISMAP運営委員会が
- 管理基準への適合性
- リスクの許容可否
を総合的に判断し、登録可否を決定します。
④ 登録・公開
適合と判断されたクラウドサービスは、
政府クラウドサービスリスト に掲載され、政府調達の対象となります。
5. 監査・審査機関の役割と特徴
ISMAPの監査は、登録された第三者評価機関(監査機関) が実施します。
多くは以下のような 大手監査法人 です。
- PwCあらた有限責任監査法人
- BDO三優監査法人
- 有限責任監査法人トーマツ(Deloitte) など
監査法人が担う理由・特徴
- 独立性・中立性が担保されている
- 内部統制・リスク評価に精通している
- 国際基準(ISO等)との整合性を理解している
ISMAPの審査は 単なるチェックリスト確認ではなく、統制の有効性評価 が中心となるため、監査法人が適任とされています。
6. 審査で押さえるべきポイント
ISMAP審査で特に重要となるポイントは以下です。
✔ 管理策の網羅性
文書が存在するだけでは不十分で、実際に運用されている証拠 が求められます。
✔ 統制の有効性
経営層・管理層が関与し、セキュリティを統制しているかが評価されます。
✔ 証跡の整備
ログ、記録、レビュー結果など、「運用してきた履歴」 が重要です。
✔ 継続的改善
一過性の対応ではなく、継続的に改善している仕組み が求められます。
7. 審査・監査にかかる料金・コスト相場(実務面)
ISMAPは公式な料金表がありませんが、実務上の相場感は以下のとおりです。
| 費用項目 | 相場の目安 |
|---|---|
| 監査費用(外部監査) | 数百万円〜数千万円 |
| 準備・コンサル費用 | 数百万円〜数千万円 |
| 維持・更新費用 | 年間 数百万円〜 |
初年度は、総額3,000万〜6,000万円規模になるケースも珍しくありません。
8. ISMAP登録のメリットとデメリット
メリット
- 政府調達市場への参入が可能
- セキュリティ信頼性の対外的アピール
- 組織全体のセキュリティ成熟度向上
デメリット
- 導入・維持コストが高い
- 審査準備・運用負荷が大きい
- 年次での継続的対応が必要
9. 民間企業・ユーザー企業から見た価値
ISMAPは政府向け制度ですが、
- 自治体
- 大企業
- 高いセキュリティを求める業界
において、クラウド選定の参考基準 として活用され始めています。
「ISMAP登録済み」という事実自体が、高いセキュリティ水準の裏付け として評価されつつあります。
10. まとめ:ISMAPがもたらす影響と今後の展開
ISMAPは単なる認証制度ではなく、
政府調達におけるセキュリティガバナンスの中核 を担う仕組みです。
高水準な管理基準、第三者監査、継続的評価により、クラウドサービスの信頼性を大きく底上げしています。
今後は、
- ISMAP-LIU(SaaS向け簡易制度)の拡充
- 審査プロセスの効率化
なども進み、さらに制度の裾野は広がっていくと考えられます。
✅ ISMAP対応コンサルティングもお任せください
当社では、ISMAP(政府情報システムのためのセキュリティ評価制度)対応のコンサルティング支援を提供しています。
ISO27001・ISO27017などの国際規格を熟知し、ISMAP認証サポート実績のあるISO審査員資格保有コンサルタントが対応し、管理策の整理から監査対応まで一貫支援が可能です。
当社ができること
- ISMAP管理策の適用可否整理・ギャップ分析
- ISO/NIST/FedRAMP観点を踏まえた文書・運用整備
- 監査法人対応を見据えた証跡設計・レビュー支援
- ISMAP-LIU(SaaS向け)対応の現実的な導入支援
当社の強み
- ISMS・Pマーク・クラウドセキュリティの支援実績多数
- 監査視点を理解した「通すための設計」
- 中小企業〜成長企業まで無理のない実装支援
「ISMAP対応が現実的か分からない」「何から着手すべきか知りたい」といった段階でも、初期相談から対応可能です。お気軽にご相談ください。
ISO・Pマークの認証・運用は GCconsulting合同会社にお任せください
GCconsultingは、数多くの企業様のISO・Pマーク取得・運用を支援し、
実態に即したコンサルティングで高い認証率を誇ります。
経験豊富な審査員資格保持コンサルタントが、認証・運用更新にかかる作業時間を約90%削減し、
お客様が本業に専念できる体制づくりをサポートいたします。
💪GCconsultingの3つの強み
① コストパフォーマンスに優れたフルサポート
初期準備から審査当日まで、追加費用なしでフルサポート。
現地審査の立ち会いも標準対応のため、安心してお任せいただけます。
コストを抑えつつ、高品質な支援を受けられるのが当社の特徴です。
② プロ審査員によるコンサルティング支援
GCconsultingでは、ISO審査員資格を持つプロのみが対応。
画一的な支援ではなく、お客様の実態に合わせて柔軟にサポートします。
専任担当が最後まで伴走し、認証対応にかかる社内負担を最小限に抑えます。
③ 情報セキュリティ知識の高さ
単なる認証取得支援にとどまらず、実務レベルのセキュリティ対策までアドバイス。
形式的ではない「実効性のある運用」を重視し、
審査指摘リスクの最小化とスムーズな審査進行を実現します。
「認証を取りたいけれど、何から始めればいいか分からない」――
そんな方も、まずはお気軽にご相談ください。
合わせて読みたい記事!