こんにちは、株式会社TIMEWELLの濱本です。
「自社のSaaSを官公庁に売り込みたい」「大手メーカーの一次下請けに入った途端、取引の条件としてセキュリティの証明を求められた」。この2つの相談が、ここ2年でまとめて増えました。片方は政府に売る側、もう片方は民間の取引に組み込まれる側の悩みなのですが、根っこは同じです。政府や大企業と取引を続けたいなら、自社のセキュリティ水準を第三者に説明できる状態にしておかないといけない、という話に行き着きます。
経済安全保障推進法シリーズの第1回では、法律そのものの全体像を初心者向けに整理しました。第2回の今回は、その先で必ずぶつかる「政府調達と民間取引で求められるセキュリティ評価制度」を取り上げます。主役は2つです。政府がクラウドを買うときの合格リストである「ISMAP(イスマップ)」と、これから民間の取引に広がっていく「SCS評価制度」。名前は似ていませんが、どちらも取引の入口でセキュリティを審査するという、同じ発想から生まれた仕組みです。
なお、この記事の主役はセキュリティ調達ですが、経済安全保障のもう一方の柱は輸出管理です。自社が輸出管理の面でどんなリスクを抱えているかを先に点検したい方は、輸出管理コンプライアンス診断から始めても構いません。ここからは、ISMAPとSCSがそれぞれ何者で、どこが違うのかを、なるべく噛み砕きながら説明します。
なぜ政府調達に専用のセキュリティ制度が必要なのか
政府は自前でシステムを一から作るより、民間のクラウドやSaaSを買って使うほうが多くなりました。2018年に政府が打ち出した「クラウド・バイ・デフォルト原則」がその方針の出発点です。行政システムを新しく作るときは、まずクラウドの利用を第一候補として検討する、という考え方です[^1]。
ところが、ここで困ったことが起きます。各省庁がそれぞれ独自にクラウドの安全性を審査していたら、審査の手間が膨大なうえ、基準もバラバラになってしまいます。A省が合格と判断したサービスをB省がまた一から調べ直す、という無駄が起きるわけです。そこで、国として一つの「合格リスト」をあらかじめ作っておき、各省庁はそこから選べばよい形にしたい。これがISMAPが生まれた動機です。
もう一つ、見落とせないのがサプライチェーンの弱点です。攻撃者は本丸を正面から狙うより、守りの薄い下請けや委託先を踏み台にして侵入することが多い。自社がどれだけ堅牢でも、機微な情報を預けている委託先が穴だらけなら、そこから漏れます。だから国は、政府が直接買うクラウドだけでなく、民間企業どうしの取引の連なり全体にも目を配ろうとしています。前者に効くのがISMAP、後者に効くのがこれから始まるSCS評価制度です。この記事は、この2つを対にして理解してもらうことを狙っています。
初心者の方に最初に押さえてほしいのは、両者が競合する制度ではないという点です。守る対象も、使う場面も違います。政府に納品するのか、それとも民間の発注元に自社の水準を示すのか。立場によって必要になる制度が変わる、と考えてください。
該非判定の属人化を、AIで解消する。
経産省2024年度データによれば、外為法違反の52%は該非判定起因。TRAFEEDの機能・導入フローをまとめたサービスカタログを無料でダウンロードできます。
ISMAP(政府調達のクラウド「合格リスト」)
ISMAPの正式名称はInformation system Security Management and Assessment Programで、日本語では「政府情報システムのためのセキュリティ評価制度」と呼ばれます。運用が始まったのは2020年6月です。実際に登録されたサービスをまとめた「ISMAPクラウドサービスリスト」が最初に公開されたのは、翌2021年3月でした[^1]。
制度を動かしている主体は一つではありません。所管しているのはNISC(内閣サイバー統括室)、デジタル庁、総務省、経済産業省の4機関で、実際のポータル運用や事務は独立行政法人情報処理推進機構(IPA)がISMAP-MO(運用支援機関)として担っています[^1]。審査そのものは、ISMAP登録監査機関と呼ばれる第三者が担当します。事業者の自己申告ではなく、外部の監査人が現地確認まで含めて基準への適合を確かめる。ここがISMAPの信頼の土台です。対象となるのは、主に機密性2の情報を扱う政府情報システムです。
ISMAPに登録されると何が起きるのか。政府がクラウドを調達するときは、原則としてこのISMAPクラウドサービスリストに載っているサービスから選ぶ、という運用になっています。裏を返すと、リストに載っていないサービスは、政府案件の土俵にそもそも上がれないことが多い。私はよく「予選通過リスト」と説明します。ここに載ってはじめて、各省庁や政府関連法人の引き合いを受けられる立場になるわけです。
登録サービスの数は、2025年6月時点で77件とされています[^2]。数百件あるといった話も見かけますが、一次情報で確認できないものはここでは採りません。最新の正確な件数はISMAPポータルのクラウドサービスリストで確認するのが確実です[^3]。
事業者側の本音を代弁すると、ISMAP登録は決して軽い挑戦ではありません。管理基準の項目数はおよそ1,000にのぼり、準備から登録まで年単位の時間と数千万円規模の費用がかかるとされます[^6]。だからこそ、政府案件を狙うSaaS事業者は「本当に取りに行くか」を半年以上かけて悩みます。この重さと、そこから逃げるための軽量版が、次に説明するISMAP-LIUです。ISMAPの中身をもっと詳しく知りたい方は、ISMAP入門記事で管理基準やAI連携の論点まで掘り下げているので、あわせて読んでみてください。
ISMAP-LIU(機微度の低い業務向けの軽量版)
ISMAP-LIUのLIUは、Low-Impact Use(影響度の小さい利用)の頭文字です。名前のとおり、リスクの小さい業務や情報を処理するSaaS向けに用意された、ISMAPの軽量版だと考えてください。運用開始は2022年11月1日です[^4]。
なぜ軽量版が必要だったのか。ISMAP本体はあまりに重く、これだけでは「クラウド・バイ・デフォルト」を広げきれなかったからです。政府の業務のなかには、全省庁の機密文書を扱うような重い処理もあれば、日程調整やアンケート集計のように、そこまで機微ではない軽い処理もあります。後者にまで本体と同じ1,000項目の審査を求めるのは過剰です。そこで、低リスク用途に限って審査の範囲を絞り、登録のハードルを下げたのがISMAP-LIUです。
このLIUは2025年4月1日に見直しが入りました。これが実務的にはかなり大きい変更です。従来は、政府機関側が事前に「この業務はLIUに載せてよいか」を判断する事前申請の段階があり、協力してくれる省庁が見つからないと手続きが前に進まないという詰まりがありました。見直しでこの事前申請が廃止され、登録プロセスはISMAP本体とほぼ同じ流れに整理されました。あわせて、LIUの対象業務がそれまでの8業務から10業務へ広がっています[^5]。追加されたのは、システム保守・運用の稼働状況を確認する業務と、日程調整やタスク管理といった定型的な事務を機械的に助ける業務です。
事業者としての現実的な戦い方はこうです。政府案件を取りたいが本体は重すぎる、という場合は、まずLIUで登録して実績を作るのが早い。そのうえで、自社のプロダクトが政府の基幹業務で使われる見込みが立ってきたら、本体登録を検討します。いきなり本体を目指して息切れするより、この二段構えのほうが多くの事業者にとって現実的だと感じています。
SCS評価制度(民間B2Bの水準を★で見える化。★3と★4)
ここからは民間側の話です。SCS評価制度の正式名称は「サプライチェーン強化に向けたセキュリティ対策評価制度」といいます。監督するのは経済産業省と内閣官房国家サイバー統括室で、運営はIPAが担います。制度の設計図にあたる「制度構築方針」が公表されたのが2026年3月でした[^7][^10]。ISMAPが政府調達の制度なのに対して、こちらは民間企業どうしの取引を主な舞台にしている点が最大の違いです。
この制度のいちばんわかりやすい特徴は、セキュリティ対策の水準を★の数で見える化することです。発注する側の企業が「うちの取引に入るなら★3以上を取ってほしい」と条件を示せるようにする。取引の連なりのなかで、それぞれの立場に見合った水準を求めやすくする狙いです。当初用意されるのは★3と★4の2段階で、★3は基礎(Basic)にあたり要求事項が26件、★4は標準(Standard)にあたり43件です。★4は★3の26件を包み込んだうえで、より高度な項目を上乗せした構成になっています。さらに高度な攻撃に備える★5は、今後の検討課題として想定されており、開始時期はまだ決まっていません[^8][^9]。
★3と★4では、評価のやり方そのものが変わります。★3は「専門家確認付き自己評価」です。取得を目指す企業が自分で評価し、社内外のセキュリティ専門家の確認を受けたうえで、経営層が自己適合を宣誓します。あくまで自己評価が起点なので、比較的取り組みやすい設計です。一方の★4は、第三者評価機関による審査に加えて、脆弱性検査などの技術検証まで受ける必要があります。人が書類を見るだけでなく、実際にシステムを技術的に突いて確かめます。ここまで来ると、ぐっと本格的です。取得後の有効期間も差があり、★3は1年、★4は3年とされています[^8]。
要求事項の骨組みは、米国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)が下敷きになっています。統治、識別、防御、検知、対応、復旧という6つの分類に、「取引先管理」を加えた7分類で組み立てられています[^9]。取引先管理がわざわざ独立した分類として入っているところに、この制度がサプライチェーン全体を見ようとしている思想がよく表れています。運用開始の時期は、2026年度下期(2026年10月から2027年3月)以降を予定しており、令和8年度末ごろ、つまり2027年3月頃が一つの目安とされています[^8]。
補足すると、経済安全保障を「取引の安全」という広い視点で捉えると、セキュリティ調達はその半分にすぎません。もう半分が、機微な技術や製品を海外に出すときの輸出管理です。取引先が規制対象と関係していないか、輸出しようとしている製品が該非判定にひっかからないか。ここを人手だけでさばくのは、正直かなり骨が折れます。私たちが提供するTRAFEEDは、この輸出管理の該非判定と取引先スクリーニングをAIで支援するサービスです。岡山大学との共同実証(過去審査データ約3万件、自社調べ)でAI判定精度95%以上を確認しており、特許(特許第7862062号)も取得しました。すでに20を超える組織に導入いただいていますが、各国の法規制の変更を当日中に反映する運用を敷きつつも、最終的な該非判定はあくまで貴社の輸出管理責任者が行う前提で設計しています[^11]。
ISMAPとSCSの役割の違い
ここまでを一枚の表にまとめます。細かい制度の暗記より、「どの立場のときにどちらが必要か」を掴んでもらうのが目的です。
| 観点 | ISMAP(ISMAP-LIUを含む) | SCS評価制度 |
|---|---|---|
| 目的 | 政府調達でのクラウド選定基準 | 民間B2Bのサプライチェーン水準の見える化 |
| 主な対象 | クラウドサービス(IaaS・PaaS・SaaS) | 委託先を含む企業のセキュリティ対策全般 |
| 誰が使うか | 政府機関が調達時に参照する | 発注企業が取引先に取得を求める |
| 評価する人 | ISMAP登録監査機関(第三者) | ★3は専門家確認付き自己評価、★4は第三者評価 |
| 段階の刻み方 | 合格リストに載るか否か | ★3・★4(将来的に★5を検討) |
| 運用状況 | 2020年から稼働中 | 2026年度下期以降に運用開始予定 |
| 監督・運営 | NISC・デジタル庁・総務省・経産省(IPAが運用支援) | 経産省・内閣官房国家サイバー統括室(IPAが運営) |
表を眺めて感じ取ってほしいのは、この2つが役割分担しているという点です。政府にクラウドを納品したいならISMAP、民間の発注元に自社の守りの水準を示したいならSCS、という住み分けになります。もちろん両方に関わる企業もあります。政府にも民間大手にも納めているベンダーなら、ISMAPリストに載りつつ、SCSの★も取りにいくことになるでしょう。
もう一つ押さえておきたいのは、SCSの★3が自己評価から始められるという設計の意味です。ISMAPは第三者監査が前提なので、中小のベンダーにとっては費用も期間もかなりの負担になります。対してSCSの★3は、専門家の確認を受けるとはいえ自己評価が起点なので、比較的小さな会社でも手が届きやすい。国が「サプライチェーンの裾野まで底上げしたい」と考えたとき、いきなり全社に第三者監査を課すのは非現実的です。だからこそ、まず自己評価から入れる入口を用意しました。私はこの段階設計を、現実を見た良い割り切りだと受け止めています。
まとめ
第2回はここまでです。最後に要点を整理します。
- ISMAPは政府がクラウドを買うときの合格リストで、2020年から稼働し、第三者監査で審査する制度です
- ISMAP-LIUは低リスク業務向けの軽量版で、2025年4月の見直しで事前申請が廃止され、対象業務が10業務に広がりました
- SCS評価制度は民間B2Bのサプライチェーン水準を★で見える化する制度で、★3が26項目・★4が43項目、2027年3月頃の運用開始が目安とされています
- ISMAPとSCSは競合ではなく役割分担で、政府に納めるならISMAP、民間の発注元に示すならSCS、という住み分けです
自社がどちらの制度に関わるのかは、取引相手が政府なのか民間なのかで決まります。まずはそこを見極めて、ISMAPを追うのか、SCSの★3から準備を始めるのかを判断してください。SCSはまだ運用開始前の制度ですから、要求事項の26項目を早めに眺めて、自社に足りない対策を洗い出しておくと、開始後に慌てずに済みます。
シリーズ第3回では、基幹インフラや政府の重要業務に関わる人材に求められる「セキュリティ・クリアランス」を取り上げます。制度としてのセキュリティから、人に対する信頼性の確認へと話が移ります。続きは第3回:重要インフラとセキュリティ・クリアランスでどうぞ。
セキュリティ調達と輸出管理は、経済安全保障という一枚の地図の別々の入口です。自社がどの入口に立っているのか整理したい、輸出管理側の体制づくりから相談したい、という方は、経済安全保障・輸出管理の個別相談からお声がけください。制度の全体像を一緒に描くところからお手伝いします。
参考文献
[^1]: 内閣サイバーセキュリティセンター(NISC)「政府情報システムのためのセキュリティ評価制度(ISMAP)」 https://www.cyber.go.jp/policy/group/general/ismap.html [^2]: Codebook「ISMAP登録サービス(2025年6月時点で77サービス)」 https://codebook.machinarecord.com/info-security/certification/24347/ [^3]: ISMAPポータル「ISMAPクラウドサービスリスト」 https://www.ismap.go.jp/csm?id=cloud_service_list [^4]: デジタル庁「ISMAP-LIUの登録推進の取組」 https://www.digital.go.jp/en/policies/security/ismap-liu [^5]: ISMAPポータル「【クラウドサービス事業者様向け】ISMAP-LIU各種お手続きについて(令和7年4月1日改定)」 https://www.ismap.go.jp/csm?id=kb_article_view&sysparm_article=KB0010526 [^6]: PwC Japanグループ「ISMAPの新たな展開 ~ISMAP管理基準の全般的な改定とISMAPの今後の見通しについて~」 https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/explanation-of-ismap2.html [^7]: IPA(情報処理推進機構)「SCS評価制度」 https://www.ipa.go.jp/security/scs/index.html [^8]: IPA「SCS評価制度の詳細情報」 https://www.ipa.go.jp/security/scs/details.html [^9]: IPA「要求事項・評価基準(SCS評価制度)」 https://www.ipa.go.jp/security/scs/requirements-criteria.html [^10]: 経済産業省・内閣官房国家サイバー統括室「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(2026年3月公表) https://www.ipa.go.jp/security/scs/index.html [^11]: 株式会社TIMEWELL「TRAFEED(旧ZEROCK ExCHECK)」サービス情報 https://timewell.jp/trafeed
