ISMAP登録の脆弱性管理ツールを導入するメリットとは〜統一基準をクリアするために抑えるべき選定基準〜

政府機関や地方自治体において、情報セキュリティ対策の指針となる「政府機関等のサイバーセキュリティ対策のための統一基準（以下、統一基準）」。最新の令和7年度版では、脆弱性対策の継続的な実施は「遵守事項」となっています。

一方で、サイバー攻撃が高度化し、幅広い階層まで脆弱性対策が求められる今、手動による管理はもはや限界を迎えています。

本記事では、公共機関におけるクラウドサービス優先の原則から、ISMAP登録済みサービスを導入するメリット、なぜISMAP登録済みの脆弱性管理ツールが必要なのか、そして、脆弱性管理ツールとして初めてISMAPに登録された「脆弱性管理クラウドyamory（ヤモリー）」について詳しく解説します。

国内唯一のISMAP登録済
脆弱性管理ツール

公共システムにおける「クラウドサービス優先」「ISMAP優先」の原則

デジタル庁が2025年5月に示したガイドライン「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針（DS-310）（以下、当ガイドライン）」によると、政府情報システムの構築においては「クラウドサービスの採用」が基本原則とされています。

また、ガバメントクラウドでないクラウドサービスを利用する際は、セキュリティの観点より、「ISMAP（政府情報システムのためのセキュリティ評価制度）」に登録済みのサービスを、原則として選定することと明記されています。

本章では、政府が推進する最新の調達方針を整理し、なぜ現在の公共システムにおいてISMAP登録サービスが優先的に選ばれるのかを解説します。

クラウド・バイ・デフォルト原則

現在、政府情報システムの構築においては、クラウドサービスの利用を第一候補とする「クラウド・バイ・デフォルト原則」（※1）が徹底されています。

さらに、当ガイドラインでは、迅速かつ柔軟な行政サービスを実現するために、単にクラウドへ移行するだけでなく、クラウドを適切かつスマートに利用することが政府機関に求められています（※2）。

（※1）参照元：デジタル社会推進標準ガイドライン DS-310「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針」第2.1項

（※2）参照元：デジタル社会推進標準ガイドライン DS-310「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針」第1.1項

ISMAP登録サービスの優先調達

この「クラウド・バイ・デフォルト原則」を安全かつ円滑に実現するための規範として定められているのが、ISMAPの活用です。

ISMAPとは、政府が求める厳格なセキュリティ要求を満たしていることを第三者機関が事前に評価し登録する制度です。この制度に登録されたサービスを選択することは、公共機関にとって「政府が求めるセキュリティ基準を満たしているという公的な客観性」を確保した上で、調達プロセスを円滑に進めるための、最も合理的な選択肢となっています。

当ガイドラインの具体方針においても、ガバメントクラウドを利用しない場合、サードパーティのクラウドサービスの選定にあたって「ISMAPクラウドサービスリスト又はISMAP-LIUクラウドサービスリストに登録されたものを原則として選定する」ことが明記されています（※3）。

（※3）参照元：デジタル社会推進標準ガイドライン DS-310「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針」第3.1項

公共機関におけるISMAP登録サービスの導入メリット

公共システムにおいてISMAP登録済みサービスを選択することは、単なる制度遵守以上の実利をもたらします。この章では、ISMAP登録サービスの導入メリットを解説します。

セキュリティアセスメントを効率化

当ガイドラインでは、「ISMAPに登録されていないサービスを選定した場合、当該調達を行う政府機関等における最高情報セキュリティ責任者の責任において、本制度の要求事項や管理基準を満たしていることをそれぞれの政府機関等で確認しなければならない（※4）」と定めています。

これを実施するためには、事業者に数百項目のセキュリティチェックシートを送り、最高情報セキュリティ責任者の責任において回答を精査する作業が必要です。

ISMAP登録済みサービスを導入すれば、この膨大で責任のある確認作業を大幅に効率化することができます。

（※4）参照元：デジタル社会推進標準ガイドライン DS-310「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針」第3.1項

セキュリティ責任者の負担を軽減

ISMAP登録済みサービスを採用することで、機関の意思決定者である最高情報セキュリティ責任者の管理責任と判断リスクを軽減することができます。

先述したように、ISMAP未登録サービスを選定する場合、最高情報セキュリティ責任者に「最高情報セキュリティ責任者の責任」においてその安全性を保証することが求められます。これは、万が一の際の説明責任が、すべて責任者個人に集中することを意味します。

ISMAP登録済みサービスを選定すれば、「政府の公的制度による評価結果」をそのまま選定の根拠にできるため、責任者が個別に負う「選定の妥当性」に関する判断や、説明責任に伴うリスクを大幅に軽減することが可能になります。

ISMAP登録済みサービスは、独立した第三者機関による厳格な監査をクリアし、ISMAP運営委員会による登録決定を受けています。この制度に基づく登録事実を客観的なエビデンスとして直接引用できるため、組織内における安全性の説明が容易になります。

ISMAPは政府調達のための制度ですが、民間企業においても、ISMAP登録サービスを導入するメリットがあります。

大企業等で新規のクラウドサービスを導入する際、通常は数百項目に及ぶ独自のセキュリティチェックシートへの回答が必要となりますが、ISMAP登録済みのクラウドサービスであれば、チェック項目を大幅に削減することができ、スムーズにサービス導入を実現できます。

国内唯一のISMAP登録済
脆弱性管理ツール

なぜ、公共システムにISMAP登録済みの脆弱性管理ツールが必要なのか

統一基準により、脆弱性対策が「遵守事項」に

政府機関等が情報システムを運用する際、そのセキュリティ対策の拠り所となるのが「統一基準」です。

最新の令和7年度版では、脆弱性対策は、明確な「遵守事項」として定義されています。

「脆弱性対策の継続的な実施」が義務化

統一基準の「第7.2.1項 ソフトウェアに関する脆弱性対策（※7）」では、情報システムを構成するサーバや端末、通信回線装置に対して以下の対策を講じることが義務付けられています。

• 公開された脆弱性への迅速な対処
  設置時や運用開始時に、既知の脆弱性への対策を実施すること。

• 脆弱性対策状況を定期的、適時に確認
  運用中のソフトウェアの脆弱性対策状況を、定期的かつ適時に確認すること。

＜補足＞
統一基準「第2.1.2 資産管理 (1) 遵守事項」にて、「統括情報セキュリティ責任者は、全ての情報システムに対して、当該情報システムのセキュリティ要件に係る事項について、情報システム台帳に整備すること。」と記載（※8）。

また、「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」ソフトウェアの構成管理の章において、「SBOM（ソフトウェア部品表） 等を利用したソフトウェア構成管理を行うことも有用」と記載（※9）。

つまり、台帳管理やSBOMを活用した継続的な脆弱性対策が前提となっています。

• 対策計画の策定と実施
  脆弱性情報を入手した際、システムへの影響を調査した上で対策計画を策定し、パッチ適用等の必要な措置を講じること。

＜補足＞
統一基準 「第6.5項 ソフトウェア」にて「公開された脆弱性についての影響度と緊急度に応じてセキュリティパッチ等を適用するまでの時間をできるだけ短くするなどの対策を検討する必要がある」と記載（※10）。

これらの要件を、手動や年1回の診断で満たすことは極めて困難です。そのため、自動で日次チェックを行い、対策計画の根拠となる情報を提示する「脆弱性管理ツール」の導入が事実上の必須要件となります。

（※7）参照元：政府機関等のサイバーセキュリティ対策のための統一基準（令和７年度版）第7.2.1項

（※8）参照元：政府機関等のサイバーセキュリティ対策のための統一基準（令和７年度版）第2.1.2項

（※9）参照元：デジタル社会推進実践ガイドブック DS-200「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」第4.2項 (8)

（※10）参照元：政府機関等のサイバーセキュリティ対策のための統一基準（令和７年度版）第6.5項

「要機密情報」を扱うクラウドサービスは原則としてISMAP登録が必要

統一基準に、政府機関等がクラウドサービスを選定する際、そのサービスが「要機密情報」を扱う場合、「原則としてISMAP 等クラウドサービスリストからクラウドサービスを選定すること」と記載されています（※11）。

ガイドライン等の定義によれば、「要機密情報」とは機密性2情報および機密性3情報を指します。

• 機密性2情報
  行政事務で取り扱う情報のうち、秘密文書に相当する機密性は要しないが、漏えいにより、国民の権利が侵害され又は行政事務の遂行に支障を及ぼすおそれがある情報

• 機密性3情報
  行政事務で取り扱う情報のうち、秘密文書に相当する機密性を要する情報

脆弱性管理ツールが扱う「脆弱性」や「ソフトウェア構成（SBOM）」といった情報は、漏えいした場合に国の安全や業務の遂行に重大な支障を及ぼすおそれがあるため、機密性２以上情報、つまり「要機密情報」に当たると推測されます。

そのため、脆弱性管理ツールを選定する場合、原則的にISMAP登録済みサービスを選択する必要があると考えられます。

（※11）参照元：政府機関等のサイバーセキュリティ対策のための統一基準（令和７年度版）第4.2.1項および4.2.2項

ISMAPに登録された「脆弱性管理クラウド yamory」が選ばれる理由

この章では、ISMAPに登録された脆弱性管理ツール「脆弱性管理クラウド yamory（ヤモリー）」が公共機関に選ばれる理由を説明します。

脆弱性管理ツールとしてISMAPに初めて登録された国産クラウドサービス

yamoryは、ISMAPの厳格な管理基準をクリアし、脆弱性管理ツールとして初めて登録された国産のクラウドサービスです。2026年3月時点においては、脆弱性管理分野では、唯一の登録サービスとなっています。

ISMAP登録以外にも、以下の2点で信頼いただいています。

• 東証プライム上場企業「ビジョナル株式会社」傘下のサービスであること
  「ビズリーチ」でお馴染みの、東証プライム上場企業である株式会社ビジョナル傘下のサービスとして、長期にわたる強固なガバナンス体制を提供

• 経済産業省のガイドラインに記載
  「ソフトウェア管理に向けたSBOMの導入に関する手引 ver 2.0（※12）」にて、「SBOMの作成や運用・管理に資する代表的なツール」の有償サービス内、唯一の国産ツールとして紹介

（※12）参照元：ソフトウェア管理に向けたSBOMの導入に関する手引 ver 2.0

公共案件の要件をカバー

統一基準で遵守事項である「脆弱性対策の継続的な実施」を、yamoryで実現できます。

• システム内の脆弱性を瞬時に検出・可視化
  yamoryと連携するだけで、瞬時にシステム内の脆弱性を検出・可視化。影響のあるソフトウェアの特定から具体的な対処法までの情報を一元管理し、迅速な脆弱性対応を実現します。

• 脆弱性の対応状況の把握が可能
  ダッシュボードで、脆弱性の対応状況を日次で把握。タイムライン機能により、対応状況の管理が可能。いつ、誰が対応したかを確認することができます。

• SBOMを用いた脆弱性管理が可能
  経済産業省やデジタル庁の指針等で求められている、SBOMを用いた脆弱性管理が可能。複雑化するソフトウェアのサプライチェーンリスクを可視化します。

• オートトリアージ機能で対応判断をサポート
  特許技術のオートトリアージ機能を使えば、発見した脆弱性をシステムへの影響を考慮した上で自動で優先度付け。対応の判断をサポートします。

公共機関の環境でも使いやすい脆弱性管理ツール

閉域網やオンプレ・クラウド混在環境に関わらず導入可能。インフラ層からアプリケーション層まで、脆弱性のみならず、EOL（サポート終了）やOSSライセンスのリスク、クラウドの設定不備を一元的に可視化。環境に依存しない包括的なリスク管理を実現します。

リスク状況をひと目で把握できる視認性に優れたダッシュボードを提供。公共職員のような非エンジニアの方でも簡単に使いこなせるUI / UXにより、属人化を排除。組織全体で持続可能なセキュリティ運用を実現します。

チーム管理機能を使えば、セキュリティチームが組織全体の脆弱性状況を俯瞰し、チーム単位で重大なリスクに対する是正勧告や進捗管理をすることが可能に。組織横断的なガバナンスを実現します。

管理画面はもちろん、サポートも全て日本語対応。緊急時の対応や日々の小さな疑問にも、迅速にお応えします。

yamoryは、ISMAP登録が求められる政府・公共機関だけでなく、国内最高水準のセキュリティ対策を必要とする金融機関や製造業、IT大手など、数多くのトップ企業様に導入いただいております。

公共機関システムの複雑な要件をクリアし、現場の運用負荷を最小限に抑える「脆弱性管理クラウドyamory」。

「統一基準の遵守」や「SBOM管理」における具体的な運用方法や、貴庁・貴自治体の環境に合わせた最適なプランをご提案いたしますので、お気軽にお問い合わせください。

国内唯一のISMAP登録済み
脆弱性管理ツール