政府のセキュリティ評価制度「ISMAP-LIU」取得までの舞台裏
今回登録されたのは、日本政府が整備しているクラウドサービスのセキュリティ評価制度「ISMAP」 の仕組みの一つで、SaaSなど比較的リスクの低い業務での利用を想定した「ISMAP-LIU」にあたります。
大手企業や官公庁を中心に11,000社以上にご利用いただいているWEBCASですが、今回の登録に向けた取り組みは、実は2022年からスタートしていました。
この記事では、「ISMAP-LIU」取得に取り組むことになった背景や、実際のプロジェクトの進み方、そして取得を通じて見えてきたことについてご紹介します。
※メール配信システム「WEBCAS -e-mail」、アンケート・フォーム作成システム「WEBCAS formulator」、データベース作成機能「WEBCAS DB creator」
そもそも「ISMAP」とは
近年、官公庁・自治体でもクラウドサービスの活用が急速に進んでいます。その中で重要になるのが、「政府として安心して利用できるクラウドサービスかどうか」という判断基準。
そこで日本政府が整備したのが、クラウドサービスのセキュリティ水準を事前に評価・登録する制度「ISMAP(Information system Security Management and Assessment Program)」です。
「ISMAP」は、政府が求めるセキュリティ基準を満たしたクラウドサービスをあらかじめ評価・登録する制度で、いわゆる“政府のお墨付き”であることを表します。
このうち「ISMAP-LIU(ISMAP for Low-Impact Use)」は、リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とした仕組みです。
「ISMAP」では、登録されたクラウドサービスについて、政府が求めるセキュリティ基準を満たしているかを第三者の監査によって確認します。
その結果は登録リストとして公開され、行政機関がクラウドサービスを導入する際の判断材料として活用されています。
なぜ当社が「ISMAP-LIU」取得に取り組んだのか
当社では、ISO/IEC27001やISO/IEC27017、プライバシーマークの取得など、以前から情報セキュリティに関する取り組みを積極的におこなっており、官公庁や金融機関など、高いセキュリティ水準を求める多くのお客様にシステムを提供してきました。一方、近年は官公庁・自治体におけるクラウド活用が本格化し、日本政府はクラウドサービスの安全性を事前に評価・登録する制度として、2020年6月より「ISMAP」の運用を開始。そして2022年11月には、新しい区分「ISMAP-LIU」の運用もスタートしました。
当社はこれを受け、今後も官公庁・自治体を含む幅広いお客様に安心して「WEBCASシリーズ」を使い続けていただくために「ISMAP」の取得を決意。登録に向けたプロジェクトを本格始動することにしました。
あわせて、これまで官公庁ごとに実施されていたセキュリティチェックのやり取りについても、制度に基づく第三者監査を受けることで整理し、行政機関側と当社双方の負担を軽減したいという考えもありました。
プロジェクト開始~取得まで
プロジェクトがキックオフしたのは2022年。当時は、まだ事例や情報も多くない中での取り組みとなりました。検討を進める中で、SaaSを対象とした制度である「ISMAP-LIU」の取得を目指す方針へと変更しました。
「ISMAP-LIU」はリスクの低い業務や情報を扱うSaaSサービスを対象としているため、通常の「ISMAP」より外部監査項目の対象範囲は限定されており、中小企業やスタートアップが政府調達に参加しやすくなっています。
ただし、クラウドサービス事業者として実施・運用すべき管理策そのものはISMAPと共通しており、その数は1,000項目以上に及びます。担当メンバーは手探りで検討を重ねながら、少しずつ形にしていく作業が続きました。
途中で人員体制の変化などもありましたが、各メンバーが役割を分担しながら地道に対応を積み重ねていき、ついに2025年12月、「ISMAP-LIU」のリストに「WEBCAS」が掲載されることとなりました。
ISMAP-LIU取得を通じて得られたもの
今回の取り組みについて、当社のCTO(最高技術責任者)である藤田は以下のように振り返ります。『「ISMAP-LIU」は、これまでのセキュリティ対応と比べると制度の要求事項を読み解くことが難しく、対応には相応の時間とコストがかかりました。特に、制度で求められる管理策に沿って自社の運用を整理し、第三者に対して説明できる形にまとめていく作業には多くの労力が必要でした。今回の取得は、これまでおこなってきた取り組みを公的に証明する機会になったといえます。』
『最初に苦労したのは、制度そのものを理解するところでした。
制度から求められている1,000項目を超える管理策の要求事項を理解し、社内でどう監査を受けるための形にするかを決定するのが非常に大変でした。制度が始まったばかりで情報が乏しい状況の中、手探りで検討を進めていました。』
『外部監査を大きな問題なく完了させ、キックオフから約3年を経て登録申請にたどり着いたことは大きな節目でした。IPA※への事前相談を活用し、制度側への事前確認もおこなっていたため、登録審査自体はある程度スムーズに進むと期待していましたが、実際には7か月を要しました。
最終的にリストに掲載されたのを確認したときは、やっとここまで来たという気持ちになりましたね。』
※独立行政法人情報処理推進機構(IPA)。「ISMAP」の制度運用に係る実務及び評価に係る技術的な支援をおこなっている組織。
また、このプロジェクトは社内にも変化をもたらしました。『個別管理策を実施する過程で、ISO/IEC 27000シリーズを改めて読み直す機会が増えました。結果として、情報セキュリティへの理解がより深まったと感じています。
また、これまで日常業務で暗黙的に行われていた手順やフローの整備が進み、個人の属人性に依存しない、組織として運用を維持できる仕組みが構築され、運用体制が整ってきたことも大きな変化でした。』
「ISMAP-LIU」取得は、ゴールではなくスタート
「ISMAP」対応で特に重視されるのが、説明責任です。クラウドサービス事業者として、「どのような安全対策を講じているのか」「なぜそう判断しているのか」を第三者に説明できる状態を維持することが求められます。
これは「ISMAP」に限らず、クラウドサービスを提供する企業にとって重要な姿勢でもあります。
今回の取り組みについて、当社の代表取締役社長の美濃は次のように話しています。
『当社はこれまで、お客様に安心して「WEBCAS」シリーズをご利用いただけるよう、労力と費用を惜しまずセキュリティ対策に取り組んできました。クラウドサービス事業者として最も重要なのは、お客様の情報資産を守ることだと考えているからです。
登録までの道のりは決して簡単ではありませんでしたが、プロジェクトメンバーの努力によって実現することができました。
一方で、「ISMAP-LIU」には毎年更新審査があります。今回の登録を一つの通過点として、今後も継続的にセキュリティ対策を強化していきたいと考えています。』
一つひとつの地道な対応がサービスの信頼性を支え、これからの「WEBCAS」の安心につながっていきます。