クラウド政府調達の最新動向 — ISMAP認証と多様化
政府や自治体によるクラウドサービス利用は、セキュリティ要件とコスト最適化の両立が求められる難しい領域です。本記事では、ISMAP制度とガバメントクラウドを中心に、クラウド政府調達の最新動向を整理します。
Use of cloud services by the national and local governments is a difficult area where balancing security requirements with cost optimization is required. Centered on the ISMAP system and Government Cloud, this article organizes the latest trends in cloud government procurement.
ISMAP制度とは
ISMAP(Information system Security Management and Assessment Program、政府情報システムのためのセキュリティ評価制度)は、政府がクラウドサービスを調達する際に一定のセキュリティ要件を満たすサービスを事前に評価・登録する仕組みです。2020年に運用が開始され、現在は内閣サイバーセキュリティセンター(NISC)等が運営しています。政府機関は原則として、ISMAPに登録されたクラウドサービスの中から調達することとされます。
ISMAP (Information system Security Management and Assessment Program — the security evaluation program for government information systems) is a framework in which, when the government procures cloud services, services that meet certain security requirements are evaluated and registered in advance. Operations started in 2020, and the National Center of Incident Readiness and Strategy for Cybersecurity (NISC) and others currently operate it. Government agencies are reportedly required in principle to procure from among cloud services registered on ISMAP.
登録クラウド事業者の多様化
当初はAWS、Microsoft Azure、Google Cloudといった米系の大手が中心でしたが、近年はOracle Cloud、IBM Cloud、そして国内のさくらのクラウドやNTTコミュニケーションズが提供するサービスなども名簿に加わっていると報じられています。国産クラウド事業者の参入は、経済安全保障と国内産業育成の両面から歓迎されています。
Initially, US-based majors such as AWS, Microsoft Azure, and Google Cloud were the center, but in recent years it is reported that Oracle Cloud, IBM Cloud, and services provided by domestic players such as Sakura Cloud and NTT Communications have also joined the list. The entry of domestic cloud providers is welcomed both from an economic security perspective and from the perspective of cultivating domestic industry.
ガバメントクラウドとの関係
ISMAPは広く政府調達全般に適用される制度ですが、デジタル庁が運営する「ガバメントクラウド」は、国と自治体の基幹業務システムを載せることを目的とした共通クラウド基盤です。両制度の関係は補完的で、ガバメントクラウドに採択されているサービスはISMAPにも登録されているのが一般的とされます。
ISMAP is a system that broadly applies to government procurement overall, but "Government Cloud," operated by the Digital Agency, is a common cloud foundation aimed at putting the core operational systems of the national and local governments on it. The relationship between the two systems is complementary in nature, and it is reportedly typical that services selected for Government Cloud are also registered on ISMAP.
2025年の調達改革
2025年に向けて、政府は調達手続きの一部見直しを進めているとされます。調達期間の短縮、小規模事業者やスタートアップの参入促進、マルチクラウド構成の許容拡大などが論点として挙げられていると伝えられています。特定ベンダーへのロックインを避ける観点からも、マルチクラウドの活用は今後拡大する可能性があります。
Toward 2025, the government is reportedly advancing partial review of procurement procedures. It is reported that points of discussion cited include: shortening of procurement periods, promotion of entry by small-scale operators and startups, and expansion of permission for multi-cloud configurations. From the perspective of avoiding lock-in to a specific vendor, use of multi-cloud also has the possibility of expanding going forward.
セキュリティ基準の更新
ISMAPの評価基準は、国際標準(ISO/IEC 27001、27017、SP 800-53など)を参考に策定されており、随時更新されています。2024年から2025年にかけては、ゼロトラスト関連の要件や、サプライチェーンセキュリティに関する項目の拡充が進められたとされます。クラウド事業者は、継続的な認証更新と基準への追従が求められるため、運用負荷は小さくないといえます。
The evaluation standards for ISMAP are formulated with reference to international standards (such as ISO/IEC 27001, 27017, and SP 800-53) and are updated as needed. From 2024 into 2025, enhancements were reportedly advanced for zero trust-related requirements and items concerning supply chain security. Because cloud providers are required to undergo continuous certification renewal and to keep up with the standards, the operational burden can be said to be not small.