株式会社TIMEWELLの濱本 隆太です。
「政府案件を取りに行きたい。ISMAPを取れと言われた」——SaaS事業者から、こうした相談が2024年あたりから増えています。一方で、利用側の中央省庁や政府関連法人からは「ISMAP-LIUとISMAP本体、どちらの対象サービスを使うべきか」という質問もよく受けます。本記事は、提供側と利用側の両視点から、ISMAPの全体像を整理します。
ISMAP(Information system Security Management and Assessment Program、イスマップ)は、2020年6月に運用が始まった日本独自のクラウドセキュリティ評価制度です。2025年6月時点でクラウドサービスリストに77サービスが登録されています(参照:Codebook)。
ISMAPが生まれた背景——「政府クラウドファースト」の必然
2018年に閣議決定された「政府情報システムにおけるクラウドサービスの利用に係る基本方針」で、政府は**クラウドサービスの利用を第一候補とする「クラウド・バイ・デフォルト原則」**を打ち出しました。しかし、各省庁が個別にセキュリティ評価を行うのは非効率で、評価基準もバラバラでした。
そこで生まれたのがISMAPです。「政府が予め評価・登録したクラウドサービスから調達する」という共通の入口を作ることで、各省庁の調達効率を上げ、同時にセキュリティ水準を担保する制度です(参照:内閣サイバーセキュリティセンター)。
運営体制はこうなっています:
- ISMAP運営委員会:制度の意思決定機関(内閣サイバーセキュリティセンター、デジタル庁、総務省、経済産業省の4機関)
- ISMAP-MO(運用支援機関):IPA(情報処理推進機構)が担当
- 監査機関:登録監査機関が個別の評価を実施
私の経験上、政府調達を狙うSaaS事業者は、まずISMAPの存在を知った時点で「本当に取るか」を半年以上悩みます。費用と工数が膨大だからです。
ISMAPとISMAP-LIUの違い——どちらを狙うべきか
ISMAPには本体とLIUの2つの枠組みがあります。
| 項目 | ISMAP(本体) | ISMAP-LIU |
|---|---|---|
| 運用開始 | 2020年6月 | 2022年11月 |
| 対象 | IaaS/PaaS/SaaSすべて | リスクの小さい業務向けSaaSのみ |
| 管理基準数 | 約1,000項目 | 縮減版(約500項目) |
| 外部監査範囲 | 全項目 | 一部項目に限定 |
| 標準的な準備期間 | 12〜18カ月 | 6〜9カ月 |
| 概算費用 | 数千万円 | 1,000〜2,000万円 |
ISMAP-LIUは、政府の業務でも「全省庁の機密文書を扱う」ような重い処理ではなく、「軽量なコラボレーションツール」「e-ラーニング」「アンケート集計SaaS」などの低セキュリティリスク用途を想定しています(参照:デジタル庁)。
事業者として「政府案件を取りたいが本体は重すぎる」場合、LIUから始めて実績を作るのが現実解です。本体登録は、自社のメインプロダクトが政府の業務基幹で使われる前提があるときに検討します。
利用側(政府機関)の視点では、「機密性3」相当の情報を扱うシステムにはISMAP本体登録サービスを、「機密性2」程度の情報処理にはISMAP-LIU登録サービスを選ぶ、というのが現状の運用です。
AI Security training, taken seriously
A 2-day intensive course fully aligned with OWASP, NIST, ISO/IEC 42001, and METI. Take it as executives, practitioners, or both.
ISMAP管理基準——約1,000項目の正体
ISMAP本体の管理基準は、ISO/IEC 27001、ISO/IEC 27017(クラウド固有)、米国NIST SP 800-53などを統合・拡張した約1,000項目で構成されています。大別すると:
- ガバナンス基準(約100項目):経営層の責任、リスクマネジメント体制
- マネジメント基準(約400項目):ISMSベースの管理プロセス、教育、内部監査
- 管理策基準(約500項目):技術的・物理的・運用的な個別管理策
これだけの項目数を、外部監査機関が現地確認も含めて評価します。ISO/IEC 27001の93コントロールの10倍以上のボリュームを、毎年の維持監査でも継続的に評価される。これがISMAPの「重さ」の正体です。
2023年と2024年の制度見直しで、管理基準の最新版「ISMAP管理基準(2024年改定版)」が公開されました(参照:PwC Japan)。AIサービスやサプライチェーンリスクへの対応強化が追加されています。
日本企業の実装現場で詰まる3つの論点
論点1:ISMAP管理基準とISO/IEC 27001の重複をどう整理するか
ISMAP管理基準はISO/IEC 27001を内包しているため、27001取得済み企業は「7割程度はそのまま使える」と思いがちです。実態はそう甘くない。ISMAP固有の項目(クラウド利用者責任の明示、サブクラウド事業者の管理など)は、27001のSoAをそのまま流用できない。私が伴走したケースでは、27001取得済みでもISMAP申請でゼロから書き直した文書が3割を超えました。
論点2:登録監査機関とのコミュニケーション
ISMAPの外部監査は、ISO/IEC 27001の認証審査と比べて格段に密度が高い。事前のリスクアセスメント文書のやり取り、サンプリング項目の選定、エビデンス提出のフォーマットなど、監査機関ごとに微妙にプラクティスが違います。最初の監査機関選びで失敗すると、年次の維持監査までずっと辛い。
論点3:AIサービス連携時の責任範囲
これが2025年以降、現場で大きな論点になっています。ISMAP登録SaaSが内部でOpenAI APIやAzure OpenAI Serviceを使っている場合、その第三者AIの責任範囲をどう管理基準に位置づけるか。現時点で明確なガイドラインはまだなく、各事業者が独自解釈で対応しています。AI機能を持つSaaSをISMAP登録する場合、データ取り扱いの透明性と、AI出力に関する免責条項の明文化が不可欠です。
私は、AI機能を含むSaaSのISMAP登録は2026年の難題だと考えています。ISO/IEC 42001(AIMS)の取得をISMAP登録と並行して進めるのが、最も筋の良いアプローチではないでしょうか。詳細はISO/IEC 42001 AIMS入門を参照ください。
利用側(政府機関・自治体)の調達実務
利用側の視点でも、ISMAPは複雑です。中央省庁の場合、原則ISMAPクラウドサービスリストから選定する義務があります。しかし、必要な機能を持つサービスがリストにない場合、各省庁の判断で別途調達することも可能。この「例外」が現場の悩みの種です。
地方自治体は法的にはISMAPに縛られませんが、実態としては「中央省庁が使っているならうちも安心」という心理が働き、自治体DXの調達でも参考にされているのが現実です。2024年以降、いくつかの政令指定都市が自治体クラウド調達の要件にISMAP相当を盛り込むようになりました。
調達担当者が押さえるべきポイント:
- 取り扱う情報の機密性レベルを最初に確定する:機密性3ならISMAP本体、機密性2ならLIU、それ以下なら一般のクラウドサービス
- ISMAP登録の「カテゴリ」を確認する:IaaS、PaaS、SaaSのどれで登録されているか
- 登録継続性のリスク:年次維持監査で登録が取り消されるケースもある
- 複数サービス連携時の評価範囲:ISMAP登録SaaSが非ISMAP登録のサービスを呼び出している場合の扱い
TIMEWELLのWARP SECURITYで「ISMAP申請の現実」を実例研究
ISMAP申請を本気で検討している事業者から、私たちTIMEWELLには「何から手をつけていいか分からない」という相談が定期的に来ます。WARP SECURITYのISMAP対応コースは、座学ではなく実例研究(ケーススタディ)形式で進めます。
具体的には:
- 既存のISMAP登録77サービスの分類分析——どのカテゴリで何社が登録され、どんなSoA構造を採用しているか
- 自社プロダクトのGAP分析ワークショップ——ISMAP管理基準1,000項目に対する自社の対応状況を、参加者が4時間でドラフト評価
- 監査機関選定の判断基準——複数の登録監査機関の評価プラクティスを比較し、自社事業に適した選び方を整理
- AI機能搭載SaaSのISMAP対応戦略——ISO/IEC 42001取得と並行進行する場合の文書設計
私が他の研修と差別化したいのは、ISMAP管理基準の条文解説に時間を使わないことです。条文は読めば分かる。難しいのは、その条文を自社のビジネスにどう実装するか、監査機関とどう交渉するか、です。
WARP SECURITYの詳細はWARP SECURITYからご確認いただけます。
まとめ——ISMAPは「政府クラウド調達の予選通過」、本戦は維持監査
- ISMAPは2020年6月運用開始、2025年6月時点で77サービスが登録されている政府向けクラウドセキュリティ評価制度
- ISMAP-LIUは2022年11月開始の低リスク業務向け縮減版。本体より管理基準数が約半分、費用も約半額
- 管理基準は約1,000項目で、ISO/IEC 27001の10倍以上のボリューム。年次維持監査でも継続評価
- 27001取得済みでも、ISMAP固有項目(クラウド利用者責任、サブクラウド事業者管理など)は別途整備が必要
- AI機能搭載SaaSのISMAP登録は2026年の難題。ISO/IEC 42001取得と並行進行が筋の良いアプローチ
- 利用側の地方自治体は法的にISMAP対象外だが、政令指定都市を中心にISMAP相当を要件化する動きあり
私の見立てとして、政府調達を狙う事業者にとってISMAP登録は「予選通過」に過ぎず、本戦は年次維持監査での品質維持です。最初に取って終わりという意識だと、3年目あたりで足元が崩れます。
関連記事として、ISMS入門、ISO/IEC 27001 認証取得 完全ガイド、ISO/IEC 42001 AIMS入門もぜひ。