ISMAP

クラウドサービスを行政が使うとき、そのサービスが安全かどうかを各機関が個別に審査するのは非効率で、判断もばらつく。ISMAPは、政府が定めた管理基準にクラウドサービスが適合しているかを第三者が評価し、合格したサービスを登録簿（ISMAPクラウドサービスリスト）に載せる仕組みである。調達する側は、原則としてこのリストに登録されたサービスから選ぶことで、安全性の確認を肩代わりさせられる。

クラウド・バイ・デフォルト原則のもとでクラウド利用が前提となるなか、ISMAPは「どのクラウドなら使ってよいか」の共通の物差しを与える。評価はSaaS・IaaS・PaaSといった提供形態に応じて行われ、登録は更新制で、要求を満たし続けないと登録は維持できない。

自治体は国の機関と同じ義務を直ちに負うわけではないが、ガバメントクラウドの対象サービスやセキュリティ調達の参照点としてISMAP登録を確認する場面が増えている。クラウド調達の仕様書で「ISMAP登録サービスであること」を要件に掲げる団体もあり、ベンダー選定の前提知識として押さえておく価値がある。