クラウドサービスの利用で解決したい問題があるけどリスクが怖くて踏み出せたいときがあると思います。
そのような際に、一つの手がかりとなるのが、「ISMAPクラウドサービスリスト」(以下、「リスト」という)です。
ISMAPクラウドサービスリストとは
ISMAPとは、政府が求めるセキュリティ要求を満たすクラウドサービスをあらかじめ評価・登録し、政府機関等が安全なクラウドを円滑に調達できるようにする制度であり、各政府機関等がクラウドサービスを調達する際は、原則としてこのリストに掲載されたサービスから調達することとなっています。
「政府が使うことのできるサービスのリスト」に登載されているということは、それだけで安全性の評価が高いということです。(ただし、完全な保証を行うものではないことは承知しておく必要があります。)
リストには次の事項が記載されています。(画像参照)
・登録番号
・クラウドサービスの名称
・クラウドサービス事業者の名称
・当該クラウドサービスのホームページのURL
・言明の対象範囲
・生成AIに関する情報
活用の方法
添付の画像からも何となく分かる通り、「NTTデータ」、「富士通」、「Google」などの名だたる有名企業がサービス事業者として登録されています。大企業の製品は高額であることが多く、中小の事業者には関係ないようにも思えますが、やり方によっては活用することができます。
(活用法1)大企業以外の製品で掲載のあるものを探す。
数は多くはないものの、掲載されているものもあります。
(活用法2)自社で選定した製品がリスト記載のサービスを使っていないか参照する。
リストに記載されていない製品でも、記載されているサービス上(AWSなど)に構築されている場合もあります。
その場合、記載されている箇所については、安全性の検証のリソースを減らすことができます。
活用の注意事項
・リストに載っていることは、政府調達で参照される公的なセキュリティ評価を通過したことを意味しますが、あらゆる用途で無条件に最適という意味ではありません。自分の用途、要件に合致するかは個別確認が必要です。
・サービス名だけでなく、言明の対象範囲を見るのが重要です。サービスによりサービス全体ではなく、どこからどこまでの範囲が評価対象となっているかが記載されています。
ISMAP-LIUクラウドサービスリストについて
ISMAPのウェブサイトを参照すると「ISMAP-LIUクラウドサービスリスト」も存在します。こちらは「ISMAPクラウドサービスリスト」の“軽量版”の位置づけであり、リスクの小さな業務・情報の処理に用いるものを対象にした仕組みです。ただし、執筆時点(2026年4月)では、3件の登録に留まっており、こちらは活用が進んでいない状態です。軽量版とはいえ、しっかりとした審査が行われることになっており、こちらの制度も「ISMAPクラウドサービスリスト」とほぼ同様に考えて、活用していくことができます。
報システムの導入のご相談は
↓
みよし市で行政書士開業準備中
