（5）　クラウドサービスの安全性確保に関する取組
ア　政府情報システムにおけるクラウドサービスの安全性評価
政府では、クラウド・バイ・デフォルト原則の下、クラウドサービスの安全性評価について、「クラウドサービスの安全性評価に関する検討会」で検討を行い、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」（令和2年1月30日サイバーセキュリティ戦略本部決定）で、制度の�@基本的枠組、�A各政府機関等における利用の考え方、�B所管と運用体制が決定された。
基本的枠組を受け、2020年（令和2年）6月、有識者と制度所管省庁（内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省）を構成員とするISMAP運営委員会で決定した各種規程等に基づき、「政府情報システムのためのセキュリティ評価制度」（英語名：Information system Security Management and Assessment Program（ISMAP））が立ち上げられた。2021年（令和3年）3月から、この制度で定められた基準に基づいたセキュリティ対策を実施していることが確認されたクラウドサービスの登録が始まり、2023年（令和5年）5月11日現在、合計44サービスがISMAPクラウドサービスリスト 15 として公開されている。
2022年（令和4年）11月には、主に機密性2情報を扱うSaaSのうち、セキュリティ上のリスクの小さな業務・情報の処理に用いるものに対する仕組として、ISMAP for Low-Impact Use（通称：ISMAP-LIU）の運用を開始した。ISMAP-LIUは、SaaSのうち用途や機能が極めて限定的なサービスや、比較的重要度が低い情報のみを取り扱うサービスについて、監査全体として現行ISMAPよりも緩やかな設計とした仕組であり、ISMAPとともに、クラウド・バイ・デフォルトの更なる拡大を推進していく。
イ　クラウドセキュリティに関するガイドラインの策定
総務省では、安全・安心なクラウドサービスの利活用推進のための取組として、クラウドサービス事業者における情報セキュリティ対策を取りまとめた「クラウドサービス提供における情報セキュリティ対策ガイドライン」を策定しており、2021年（令和3年）9月には、クラウドサービスの提供・利用実態等を踏まえた改定版（第3版）を公表している。また、昨今では、クラウドサービス利用者が適切にクラウドサービスを利用できていないことに起因し、結果的に情報流出のおそれに至る事案も発生していることから、利用者の適切なクラウドサービスの利用促進について、提供者・利用者を含む幅広い主体で検討した上で、2022年（令和4年）10月、「クラウドサービス利用・提供における適切な設定のためのガイドライン」として策定・公表した。
15　ISMAPクラウドサービスリスト：https://www.ismap.go.jp/csm?id=cloud_service_list