AWSの「政府情報システムのためのセキュリティ評価制度（ISMAP）」登録が更新されました。(2024年度）

English follows Japanese.

Amazon Web Services （AWS）では、お客様の信頼を得て維持することが継続的な取り組みとなっています。お客様の業界のセキュリティ要件に応じて、コンプライアンスレポート、証明書、認証の範囲とポートフォリオを決定しています。 AWS が「政府情報システムのためのセキュリティ評価制度（以下、ISMAP ）」の下で更新（2024年4月30日付で 2024 年 12 月 31 日まで）されたことをお知らせいたします。

今回の登録範囲は、5リージョンが新たに追加されAWS アジアパシフィック（東京）リージョンと AWS アジアパシフィック（大阪）リージョンを含む 28 リージョンであり、 AWSサービスの14件追加されAmazon Bedrock を含む合計 171のAWS サービスです。 AWS は、2020 年 3 月に発効されて以来、ISMAP 運営委員会によるISMAP への認定を継続しております。

ISMAP は、パブリッククラウドサービスのセキュリティを評価する日本政府のプログラムです。ISMAP の目的は、政府調達のベースライン要件として、クラウドサービス事業者（CSP ）が遵守すべき共通のセキュリティ基準を示すものとなります。

本制度では、CSP が実施しなければならないクラウド・ドメイン、プラクティス、およびプロシージャに関するセキュリティ要件を導入しています。CSP は、ISMAP 登録事業者として申請するために、ISMAP が認定する第三者評価者である監査機関と契約し、セキュリティ要件への準拠を評価したうえで、日本政府のセキュリティ要件を満たした事業者として登録を行います。

ISMAP によるCSP の登録により、政府の調達部門や機関および重要インフラに該当するお客様は、登録されたCSP との連携を促進し、政府情報システムへのクラウドサービスの円滑な導入に貢献することができます。今回の更新は、日本政府が定めたコンプライアンス要件を満たし、安全なAWS のサービスをお客様に提供するために、AWS が積極的に取り組んできたことを示すものです。AWSを利用するサービスプロバイダーや顧客は、AWS サービスのISMAP 認証を活用して、自社のISMAP 認証プログラムをサポートすることができます。

ISMAP に登録されたAWSサービスの全リストは、AWS Services in Scope by Compliance Program  で公開されております。

なお、ISMAP において登録されるクラウドサービスはAmazon Web Services となり、お客様はAmazon Web Services 全体の登録を受けたクラウドサービスとして利用することが可能です。AWS は、今回の監査対象期間において評価されたAWS の各種サービスを登録しています。AWS は継続的にサービスのアップデート、追加を行い、お客様への価値を提供しています。本登録外のサービスにおいても、お客様は各サービスの開発者ガイド、他の第三者による監査レポートの確認などによるリスク評価の上、お客様が設計するサービスへの利用可否を判断することが可能です。

また、AWS をインフラストラクチャとしてISMAP への登録を計画されているサービスプロバイダやお客様は、AWS Artifact よりISMAP Customer Package を利用することにより、責任共有モデルに基づくAWSの責任範囲とお客様の責任範囲、ISMAP において求められている様々なAWS からの情報提供、機能提供の概要を確認することが出来ます。なお、今回の更新にともない、ISMAP Customer Package の更新を予定しております。

なお、AWS の登録状況の確認や詳細なスコープ情報は、ISMAP ポータルで確認することができます。

AWS では、これまで同様、お客様のビジネスニーズに基づいて、新しいサービスやリージョンをISMAP プログラムの対象にしていくことをお約束します。AWS におけるISMAP 認証の概要については、ISMAP コンプライアンスページを参照してください。ご不明な点がございましたら、ご遠慮なくAWSアカウントマネージャーまでお問い合わせください。

なお、Amazon Bedrock は、単一の API を介して AI21 Labs、 Anthropic、 Cohere、 Meta、 Mistral AI、 Stability AI、および Amazon といった大手 AI 企業からの高性能な基盤モデル (FM) を選択できるフルマネージドサービスで、セキュリティ、プライバシー、責任ある AI を備えた生成 AI アプリケーションを構築するために必要な幅広い機能を提供します。基盤モデル自体は、本ISMAP の対象範囲ではありません。詳しくはAmazon Bedrock の「よくある質問」をご参照ください。

本Blogは、竹内 英稔、セキュリティアシュアランス本部グローバルAWSアシュアランス部 監査部長（日本）、および、松本 照吾、セキュリティアシュアランス本部セキュリティ本部 本部長、により執筆いたしました。

Earning and maintaining customer trust is an ongoing commitment at Amazon Web Services (AWS). Our customers’ security requirements drive the scope and portfolio of the compliance reports, attestations, and certifications we pursue. We’re excited to announce that AWS has achieved authorization under the Information System Security Management and Assessment Program (ISMAP) program, effective from December 1, 2023 to December 31, 2024.

The authorization scope covers a total of 171 AWS services (an increase of 14 services over the previous authorization) including Amazon Bedrock, and across 28 AWS Regions (an increase of 5 Region over the previous authorization) including the Asia Pacific (Tokyo) Region and the Asia Pacific (Osaka) Region. This is the fourth time AWS has undergone an assessment since ISMAP was first published by the ISMAP steering committee in March 2020.

ISMAP is a Japanese government program for assessing the security of public cloud services. The purpose of ISMAP is to provide a common set of security standards for cloud service providers (CSPs) to comply with as a baseline requirement for government procurement. ISMAP introduces security requirements for cloud domains, practices, and procedures that CSPs must implement. CSPs must engage with an ISMAP-approved third-party assessor to assess compliance with the ISMAP security requirements in order to apply as an ISMAP-registered CSP.

The ISMAP program will evaluate the security of each CSP and register those that satisfy the Japanese government’s security requirements. Upon successful ISMAP registration of CSPs, government procurement departments, agencies, and critical infrastructure companies can accelerate their engagement with the registered CSPs and contribute to the smooth introduction of cloud services in government information systems.

The achievement of this authorization demonstrates the proactive approach AWS has taken to help customers meet compliance requirements set by the Japanese government and to deliver secure AWS services to our customers. Service providers and customers of AWS can use the ISMAP authorization of AWS services to support their own ISMAP authorization programs.

The full list of 171 ISMAP-authorized AWS services is available on the AWS Services in Scope by Compliance Program webpage,

Note that the cloud service registered in ISMAP is Amazon Web Services, and customers can look as the scope. AWS has registered various AWS services under Amazon Web Services that have been evaluated during this audit period. AWS is continuously updating and adding services to provide value to customers. Even for services other than this registration, customers can determine whether or not they can be used for services designed by the customer after risk assessments based on the developer guide for each service, confirmation of audit reports by other third parties, etc.

Also, by using the ISMAP Customer Package from AWS Artifact, our customers or partners can check the scope of responsibility of AWS and the scope of responsibility of customers based on the shared responsibility model, and the provision of information and functions from various AWS required by ISMAP. Note that we are planning to update the ISMAP Customer Package along with this update.

And you can confirm the AWS ISMAP authorization status and find detailed scope information on the ISMAP Portal.

As always, we are committed to bringing new services and Regions into the scope of our ISMAP program, based on your business needs. For an overview of ISMAP certification on AWS, see the ISMAP compliance page. If you have any questions, don’t hesitate to contact your AWS Account Manager.

This blog was written by Takeuchi Hidetoshi, Security Assurance Division Global AWS Assurance Department Audit Manager (Japan), and Matsumoto Shogo, Head of Security Assurance, Japan.