政府は、クラウドサービスのセキュリティ対策を監査機関が評価し、登録する制度「政府情報システムのためのセキュリティ評価制度」(Information system Security Management and Assessment Program:ISMAP)を作成している。政府機関が情報システムを構築する際に、各省庁がクラウドを最初の選択肢として検討し、原則としてISMAPに登録されているサービスから選ぶ。
ISMAPは、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、IaaS/PaaS/SaaSなどクラウドサービス全般の円滑な導入の実現を目的としている。2022年6月1日時点で25社34サービスが登録中だ。運営するのは内閣サイバーセキュリティセンター(NISC)、デジタル庁、総務省、経済産業省で、情報処理推進機構(IPA)が制度運用面の実務と評価における技術的な支援を提供する。
さらに政府は、2022年9月からISMAPの簡易版として、SaaSのみを対象にした「ISMAP-LIU」を開始する。ISMAPのうちリスクの小さな業務や情報処理に用いるSaaSサービスを対象とする。その背景は、機密性の観点から比較的重要度が低い情報のみを取り扱うサービスの存在がある。それらのサービスをISMAPと同じ扱いにすると、セキュリティへの過剰な要求となり、サービスの活用が進まないという懸念がある。今回はISMAP登録サービスに関連する記事を集めた。
