政府情報システムのためのセキュリティ評価制度(ISMAP)は2020年6月に運用が開始されました。今般、ISMAPに基づきクラウドサービス事業者に求められる「ISMAP管理基準」について、ISO/IEC 27002等の国際規格の改訂に伴う情報セキュリティ管理基準(令和7年改正版)の改正や政府統一基準(令和7年版)の改訂等を踏まえ、2025年12月25日に全般的な改定案が示されました*1。本稿では、ISMAP管理基準改定案(令和7年12月25日時点)のポイントや背景、今後のISMAP取得や対応への影響等について解説します。
ISMAP管理基準の改定背景
今般のISMAP管理基準の全般的な改定は、制度開始当初から存在していた構造的課題への対応が背景にあります。ISMAPは、政府調達におけるセキュリティ基準を担保するために極めて堅牢に設計されていますが、その堅牢性から取得・維持のハードルが高いとの指摘もありました。そのため、ISMAPを取得するクラウドサービス事業者は増加傾向にあるものの、現時点では十分な普及に至っているとは言えません。本来、ISMAPが求める管理策は入札参加の前提条件として位置づけられていたにもかかわらず、必ずしもその要件が徹底されていない状況にあります。また、政府機関等におけるクラウドサービスの利用状況の観点からは、第38回ISMAP運営委員会の議事要旨によれば、当該機関等が利用しているクラウドサービスのうち、ISMAP登録済みの「IssS+PaaS」の利用率は95%(対前年度比+1%)に達している一方、「SaaS」は58%(対前年度比±0%)にとどまり、ISMAP登録済みのSaaSの利用率が伸び悩んでいる現状があります*2。
今回の全般的な改定の背景には、以下に示す課題を解消するとともに、より多くのクラウドサービス事業者に対してISMAP取得を促す意図があるものと考えられます。今後、クラウドサービス事業者においては、自社が提供するクラウドサービスのセキュリティ水準が政府の要求水準を満たしていることを説明する上で、ISMAPの取得が事実上の前提条件となると思われます。
- ISMAP取得の参入障壁
現行のISMAP管理基準は、詳細項目を含めると1,200項目弱の管理策があります。これら全ての管理策に対する採用・非採用の判断、非採用理由の検討、採用管理策に対して詳細な統制の記載と外部監査、ISMAP運用支援機関による審査という一連の取得プロセスは、スタートアップや中小規模のクラウドサービス事業者にとって負担が大きいと言われています。2022年11月のISMAP-LIU導入等により本課題への解消が模索されていたものの、本質的な解決は難しい状況にありました。 - 「念のため言明」によるコスト増
ISMAPでは、クラウドサービス事業者は、自社の環境やリスク評価に合わせて管理策の採否を判断することができるとされています。非採用とした管理策については非採用理由を記述し、ISMAP運用支援機関における審査を受審することが必要になります。FAQやガイドブックに一部解説がありますが、実務上、審査段階で非採用理由が認められず再監査になるケースも存在します。こういった審査段階での手戻りを避けるため、保守的に管理策を採用するいわゆる「念のため言明」によってコストがかさむとの課題が指摘されています。 - 監査の重複
ISMAP取得前に、ISO/IEC 27001認証やSOC2 Type 2報告書を取得しているクラウドサービス事業者も多く存在します。このようなケースにおいても改めてISMAPとしての監査を受ける必要があります。他の認証制度で用意した証跡の流用は可能ですが、管理策のマッピングとそれに基づく差分の監査という考え方は当初ISMAPでは導入されていませんでした。2024年8月の規程改定に伴い、ISO/IEC 27001認証の取得を条件に、マネジメント基準における複数年での外部監査サイクルの枠組みが開始されましたが、対象範囲は限定的です。本課題については、監査スキームの観点から解消が模索されていましたが、今般のISMAP管理基準の全般的な見直しにより、効率化が進む可能性があります。 - ISMAP-LIU特有の課題
SaaSサービスの登録拡大に向け、事業者の負担を軽減するための取り組みとして、2023年5月19日から2025年3月31日まで「ISMAP-LIU登録促進のための特別措置」の枠組みが設けられていました。しかし、前述のようにISMAP-LIUサービスリストへの登録事業者数や政府機関等における利用率が伸び悩んでいるのも事実です。その背景には、内部監査対応が必須になるなど、事業者の負担が大きいことや、利用範囲が特定の対象業務に制限されているため政府調達につながりにくいと懸念されていること、さらにLIUの対象となるためには事前申請において「該当性あり」の判定が必要となる点などが挙げられます。
今般のISMAP管理基準改定案に関連する公表資料として、ISMAP-LIUに関する制度の見直しについては直接的に言及されていません。しかしながら、パブリックコメントの回答において、ISMAP制度の抜本的な見直しとしてSaaS事業者を対象とする負担を減らした新たな枠組みを検討中であることが示されています*3。従来のISMAP/ISMAP-LIUでも同一のISMAP管理基準を用いていたことを踏まえると、新たな枠組みにおいても同様に、新しいISMAP管理基準を基礎とした枠組みになることが想定されます。
ISMAP管理基準改定案のポイント
最新の国際規格等の取り込み
ISMAP管理基準は、制度発足当初より国際規格であるISO/IEC 27001(JIS Q27001)、ISO/IEC 27002(JIS Q 27002)をベースとしつつ、クラウドセキュリティ規格のISO/IEC27017(JIS Q 27017)、政府機関に求められるセキュリティ水準である政府統一基準、さらに米国連邦政府のセキュリティ基準であるNIST SP 800-53の要素を統合して構成されています。2022年にISO/IEC27001、27002が改訂され、対応するJIS規格もその後改正されました。
今回のISMAP管理基準改定案(令和7年12月25日時点改定)では、改正されたJIS規格の内容を取り込む形で見直しがされています。具体的には、従来5章~18章に分かれていた管理策基準(ISMAP管理基準のうち詳細なセキュリティ対策を定めるパート)について、ISO/IEC27002の4つの分類(「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」)に「クラウドサービス固有の管理策」を加えた5つに整理されました。併せて、従来1081項目あった詳細管理策は、統制目標を実現するために満たすべき必要最小限の内容の記述に絞り253項目に削減されています。
図表1:ISMAP管理基準の構成比較(改定前、改定後)
「ISMAP管理基準の改定について(案)」(国家サイバー統括室、デジタル庁、総務省、経済産業省)を基にPwC作成
なお、組織的な対策を規定するパートである「3章ガバナンス基準」「4章マネジメント基準」については、改定前後で内容・構成に大きな変更はありません。
詳細管理策の粒度の見直しとガイドラインの整備
詳細管理策はこれまで、必須のもの、クラウドサービス事業者が採用・非採用を選択できるもの(ただし非採用には相応の理由が必要)の区分がありました。今回の改定によりこの区分は廃止され、原則として全て必須となっています。一方で、クラウドサービス事業者は自身の提供するサービスと照らし、合理的な適用が不可能、もしくはリスク分析の結果、実施不要と適切に判断した場合は、理由を示すことで対象外とすることが可能とされています。これらの判断を行う際の考え方や理由記載例は、今後策定されるガイドラインにて解説される予定となっています。
また新管理基準では、詳細管理策を具体的に実施するための例示・参考情報として「手引き」が付記されました。手引きの内容は基本的に改定前の詳細管理策をグルーピングして記載したものであり、仮に手引きの内容を全て必須とするような運用となった場合には、制度課題の根本的な変更にならないおそれがあります。手引きを参考にクラウドサービス事業者がどのように個別管理策を選択するのかについての考え方や例示も、ガイドラインに盛り込まれる予定です。今回の改定目的の一つにクラウドサービス事業者の負担削減も目的としてあるため、今後発表されるガイドラインの内容やその動向が重要になってきます。
また、ISMAP登録審査時点での手戻りを防ぐ観点から、クラウドサービス事業者が、ガイドラインに基づき対象外とした管理策や、手引きから選択等した管理策の妥当性等について制度(審査)の確認を受けることができる「事前確認」の仕組みも今後導入される予定です。
新たな統制目標の追加
今回の改定に合わせて、脅威インテリジェンスの活用や事業継続のための備えなど、従来のISMAP管理基準に記載のなかった内容も盛り込まれました。ISMAP管理基準の基礎としているJIS Q 27001:2023の構成に準じた体系となっています。
図表2:新たに追加された管理策
「ISMAP管理基準_別表 新旧対照表」(国家サイバー統括室、デジタル庁、総務省、経済産業省)を基にPwC作成
番号体系の見直し
改定前のISMAP管理基準は、(X.X.X)という3桁で表現される統制目標(クラウドサービス事業者が、リスクに対応するために達成すべき統制の目標とする項目)と、(X.X.X.X)という4桁で表現される詳細管理策(クラウドサービス事業者が統制目標を実現するために実施して満たすべき事項)で構成されていました。今般の改正で、5章以降の管理策基準については、統制目標は(X.X)という2桁に、詳細管理策は(X.X.X)の3桁に変更になっています。ただし3章ガバナンス基準、4章マネジメント基準については従来通り3桁の統制目標、4桁の詳細管理策という附番がなされており、注意が必要です。
図表3:番号体系の見直し(改定前、改定後)
「ISMAP管理基準の改定について(案)」(国家サイバー統括室、デジタル庁、総務省、経済産業省)を基にPwC作成
今後のスケジュール
2025年12月25日に公表された「ISMAP管理基準改定案公表後のスケジュール(案)」によると、今後の主なスケジュールは以下のとおりです。
- 2026年1月~2027年3月:ガイドラインの策定、関係規程類の改定に向けた作業、関係者への意見照会
- 2027年3月:ガイドライン、関係規定類の公表
- 2027年3月以降:改定後のISMAP管理基準等の施行(ただし現行ISMAP管理基準との並行運用期間は検討中)
上記を踏まえ、2026年9月~12月頃にガイドラインや関係規程類のパブリックコメントが実施されると想定されます。
いつまでに新たな管理基準への対応を求められるかについては、2024年7月1日改定時のスケジュールが参考になります(図表4参照)。この際は、少なくとも6か月の準備期間が確保されていました。今般のISMAP管理基準においては、管理基準の構成が大きく変わり、またガイドラインを踏まえた統制整備や事前審査の枠組みへの対応が必要となることを踏まえると、1年以上の準備期間または並行運用期間が設けられると見込まれます。
図表4:(参考)ISMAP管理基準の2024年7月1日改定時における監査対応準備イメージ
「ISMAP管理基準改定案」(ISMAP運営委員会)を基にPwC作成
今回の改定によってISMAP管理基準が整理されたことで、ISMAP登録を目指しているクラウドサービス事業者にとって従来よりも合理的な負荷でのISMAP取得の可能性が出てきました。また、経済産業省が進めている「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS制度)」においても、委託先のうちクラウドサービス事業者についてはISMAP登録有無等によりセキュリティ対策状況を確認する方針が示されており、クラウドサービス事業者はこれまで以上にISMAP等によるセキュリティ対策状況の透明性向上および説明責任が求められることとなります。
また、SaaS事業者を対象とする負担を軽減した新たな枠組みは、スタートアップや中小規模のクラウドサービス事業者をターゲットとしていることが推察されているため、ガイドラインやISMAP管理基準を含む関係規程の動向に注視いただければと思います。
ISMAPの評価取得は、サプライチェーン全体のセキュリティ強化だけでなく、企業のビジネス競争力向上にも直結します。当社は、ISMAPの指定監査機関として制度開始当初から対応しており、新基準についても円滑な対応が可能です。個別のご相談については、担当までお気軽にお問い合わせください。
