政府情報システムのためのセキュリティ評価制度 (ISMAP)

概要

政府情報システムのためのセキュリティ評価制度 (ISMAP) は、パブリッククラウドサービスのセキュリティを評価するための日本政府のプログラムです。ISMAP の目的は、クラウドサービスプロバイダー (CSP) にとって共通の一連のセキュリティ標準が、政府調達のためのベースラインとなる要件を満たせるようにすることにあります。ISMAP は、クラウドサービスプロバイダーが実装する必要のあるクラウドドメイン、運用、および手順のセキュリティ要件を規定します。クラウドサービスプロバイダーは、ISMAP 登録プロバイダーとして申請するために、ISMAP に基づいて承認されている第三者評価機関に評価を委託して、ISMAP セキュリティ要件を満たしているかどうかを評価してもらう必要があります。ISMAP プログラムは、クラウドサービスプロバイダーのセキュリティを評価し、日本政府のセキュリティ要件を満たすプロバイダーを登録します。登録プロバイダーとしての ISMAP に基づいて登録されると、政府の調達部門は、登録プロバイダーへの業務委託を加速することができます。

AWS を使用することで、AWS のサービスプロバイダーとお客様は ISMAP の要件を満たす環境を構築できます。

  • ISMAP は、「Information System Security Management and Assessment Program」(政府情報システムのためのセキュリティ評価制度) の頭字語です。ISMAP は、政府のセキュリティ要件を満たすクラウドサービスを積極的に評価および登録することにより、政府のクラウドサービス調達における適切なセキュリティレベルを確保することを目的とした日本政府のセキュリティ評価システムです。これは、日本の公共部門におけるクラウドサービスの円滑な導入に貢献することが期待されています。

  • ISMAP は、クラウドサービスプロバイダーを評価するための統一されたセキュリティ要件標準を提供します。これまでは、クラウドサービスを購入する際に、政府の中央機関が CSP によって実施されたセキュリティ対策について個別にデューデリジェンスを実施する必要がありました。ISMAP プログラムの導入により、政府の中央機関は、個別のデューデリジェンスを実行する必要がなくなるため、このプログラムに登録されたクラウドサービスをより迅速に調達できるようになります。

  • 中央政府にサービスを提供するクラウドサービスプロバイダーは、ISMAP に基づいて評価および認定されます。ただし、将来的には対象範囲が拡大し、民間で利用されることが見込まれています。

  • はい、AWS は ISMAP 認定を受けています。詳細については、独立行政法人情報処理推進機構 ISMAP でご確認いただけます。

  • 対象リージョンとサービスの詳細については、独立行政法人情報処理推進機構の ISMAP のウェブページをご覧ください。さらに、ISMAP に準拠しているサービスのリストは、コンプライアンスプログラムによる対象となっている AWS のサービスでご覧いただけます。

  • AWS は、ISMAP 認定の ISMAP 標準要件を満たすために、お客様が自らのサービスについてセキュリティを実装するのをサポートするために必要な情報と手順を提供します。AWS は、お客様とパートナーに、ビジネスニーズに基づいてソリューションを柔軟にデプロイおよび認定できるようにする予定です。

ISMAP のコンプライアンスに関して質問がある場合は、AWS アカウントマネージャーに問い合わせるか、AWS コンプライアンスお問い合わせフォームを提出して担当のアカウントチームまでお問い合わせください。

ISMAP リソース

ISMAP の概要
AWS NISC セキュリティガイドライン [日本語]
ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をお探しですか?
Twitter でフォローしてください »