ISMAPとSaaS企業
SaaS企業にとってISMAPの魅力は市場規模
まずは、少し古いデータになりますが、市場としてのボリュームをオーダーで捉えるには十分なため政府機関と地方自治体における予算を見てみましょう。
中央省庁のIT予算の合計:5353億円(平成28年度)
全市区町村のIT予算の合計:4786億円(平成29年度)
この1兆円規模のIT予算の今後については、下図のように、基盤共通化/クラウド利用による予算縮小、あるいはDX化/AIによる予算拡大という二つの側面があるため、今後どうなっていくかはわかりません。
SaaS企業の視点から見たISMAP登録の魅力は、数千億円という巨額の市場へアクセスできることです。日本の政府機関がSaaSを調達する際には、ISMAP(もしくはISMAP-LIU)登録リストからの調達が原則となっています。このため、数千億円規模の市場を目指すSaaS企業にとって、ISMAP登録費用は、従来のセキュリティ予算のような守りの予算ではなく、市場拡大のための攻めの予算(投資)と捉えることができます。
ISMAPと日本政府
ISMAPの経緯
2018年6月に、クラウド・バイ・デフォルト原則が導入されました。当初、調達時のセキュリティ基準としては『政府機関等の情報セキュリティ対策のための統一基準』が適用され、調達者は個別にセキュリティ対策を確認して調達を行っていました。
2020年6月には、ISMAPの運用が開始され、2021年3月に初回のISMAP登録リストが公開されました。これにより、政府機関はISMAP登録制度を通じて調達を開始しました。ISMAP登録制度により、監査法人がISMAP管理基準を監査することで、政府機関はクラウドサービス事業者への直接確認を省略し、調達を進めることが可能になりました。ただし、ISMAP登録サービスであっても、調達者自身の責任で個々のサービスのセキュリティについて個別に検討し、必要な対策を実施する必要があります。
2022年6月、デジタル社会の実現に向けた重点計画において、セキュリティリスクが比較的低い業務や情報を扱うシステムが利用するクラウドサービスに関する枠組みが策定され、クラウド・バイ・デフォルトの原則の拡充が進められることが示されました。その結果、2022年11月にはISMAP-LIUの運用が開始されました。
ISMAPにおける政府機関とは?
サイバーセキュリティ基本法に定める国の行政機関、独立行政法人及び指定法人としています。
ISMAPの基本規程は、制度立ち上げ時に特例として独立行政法人および指定法人は除外されていましたが、2023年5月に改定され、この特例は削除されました。なお、最新のISMAP基本規定は、ISMAP公式HPページ(ismap.go.jp)よりダウンロードできます。
ISMAPに登録していないと政府機関は調達できないのか?
ISMAP登録リストにないSaaSであっても採用される可能性はあります。各政府機関は、クラウドサービス(SaaS)を調達する際には、原則としてISMAP登録されたサービスから調達することを求められていますが、以下の記述があるため、例外的に調達が可能です。
登録がないクラウドサービスの調達については、本制度で要求する事項を満たしていると、調達を行う政府機関等の最高情報セキュリティ責任者の責任において、それぞれの政府機関等で確認するものとし、詳細は、サイバーセキュリティ対策推進会議、各府省情報化統括責任者(CIO)連絡会議において定めるものとする。
とはいえ、ISMAP未登録の場合でも、ISMAP制度で要求されている基準や管理事項を満たしているかどうかは確認されます。そのため、監査法人によるISMAP登録監査を受けなくとも、ISMAP管理策に基づいたセキュリティ対策の整備が重要です。
ISMAP登録が必要なSaaSは?
ISMAP登録が必要なSaaSは、機密性2情報を取り扱う場合に限られます。可用性や完全性についての定義はなく、主に機密性の高い情報を扱うかどうかが基準です。
機密性3: 行政事務で取り扱う情報のうち、秘密文書に相当する機密性を要する情報
機密性2: 行政事務で取り扱う情報のうち、秘密文書に相当する機密性は要しないが、漏えいにより、国民の権利が侵害され又は行政事務の遂行に支障を及ぼすおそれがある情報
機密性1: 機密性2情報又は機密性3情報以外の情報
業務端末で使用されるバックオフィス系のSaaSや営業・マーケティング系のSaaSは、通常、企業の社外秘に相当する情報を取り扱うことがあります。このようなSaaSは政府機関が定義すると、機密性2情報に該当する可能性が高くなります。そのため、ISMAP登録が必要なケースが多いと考えられます。
機密性3情報を取り扱うSaaS企業向けセキュリティ基準はあるのか?
現時点ではありませんが、将来的に検討する予定です。
制度立ち上げ時においては、現在、政府内で最も多く扱われる情報の機密性の格付け(機密性2)を想定したレベルの管理基準(レベル2)のみを策定しました。 今後、他のレベルの管理基準についても検討する予定です。
地方自治体のシステム構成(αモデル、β・β'モデルとは)
地方自治体ネットワーク構成の基本 ”三層の対策”とは?
2015年の年金機構における情報漏えい事案を受けて、地方公共団体や自治体などの情報セキュリティの強化が求められました。その結果、目的ごとにネットワークを分離する「三層の対策」が導入されるようになりました。
$$
\begin{array}{l:l} \colorbox{yellow}{三層の種別} & \text{説明} \\ \hline \\ \text{マイナンバー利用事務系} & \text{マイナンバー(個人番号)利用事務系では、端末からの情報} \\ & \text{持ち出し不可設定等を図り、住民情報流出を} \\ & \text{徹底して防止することが求められるセグメント。} \\ \\ \text{LGWAN接続系} & \text{地方公共団体の組織内ネットワーク (LGWAN接続系)を相互に接続する} \\ & \text{行政専用のネットワークセグメント。業務端末が配置される。} \\ & \text{LGWAN接続系とインターネット接続系を分割し、LGWAN環境のセキュリティを確保。} \\ \\ \text{インターネット接続系} & \text{インターネット接続が必要な業務をするためのセグメント。} \\ & \text{外部との接続点になるため、セキュリティ対策(メールセキュリティ対策、Webサーバ対策など)が重要になるセグメント。} \\ & \text{2017年より「自治体情報セキュリティクラウド」が運用開始され、このクラウドに移行することで個別に対策する範囲が減り、セキュリティレベルの底上げがされてきました。} \\ \end {array}
$$
三層対策におけるαモデル、β・β’モデルとは?
αモデル
主たる業務端末をLGWAN系に設置
いわゆる境界型防御
業務端末からはインターネット接続が制限されており、そのためインターネット接続が必要な主要SaaSを利用することができない
β・β’モデル
インターネット接続系に業務端末・業務システムを配置することで、インターネット接続が必要なSaaSを利用できるモデル
βモデルのうち、重要な情報資産をインターネット接続系に配置する場合にはβ’モデルとなる
インターネット接続系の業務端末に対しては、エンドポイント対策や各業務システムのログ収集・監視など、αモデルにとどまらない追加のセキュリティ対策が求められる
どのモデルが一番採用されているのか?
αモデルが最も一般的に採用されています。ただし、都道府県や政令指定都市など比較的大きい自治体では、β’モデルに移行する傾向があります。
β・β’モデルの採用が少ないのはSaaSを使いたい地方自治体が少ないのか?
結論としては、「No」と言えると考えています。
大きな自治体に限らず、広くβ・β’モデルを検討した経験がありましたが、実際に移行するには移行期間、移行を指揮できる人材、監査対応、追加のセキュリティ対策など、多くのハードルが存在し、これらが移行を妨げていると考えられます。
「地方公共団体向けβ'モデル移行に向けた手順書」(総務省、令和6年3月29日)には、10,000人規模の場合におけるαモデルからβ’モデルへの移行スケジュール例が記載されており、予算化から移行作業完了までに2年以上かかるスケジュールが示されています。このことから、移行コストの高さから大きな自治体以外では移行する余裕がないと考えられます。
ISMAPと地方自治体
α’モデル(LGWAN接続系ローカルブレイクアウト)とは?
αモデルのまま、LGWAN接続系の業務端末から外部のクラウドサービス(SaaS)に接続する方式を、α’モデルと呼称し、検討が進められています。このモデルでは、αモデルからβ・β’モデルに移行することなく、インターネット接続が必要なSaaSを利用できるようになります。
ローカルブレイクアウトという概念自体は以前から存在する
一部の地方公共団体では、αモデルの枠組みの中でLGWAN接続系からインターネットへの接続を行うローカルブレイクアウトが採用されているケースがありました。
ただし、総務省「地方公共団体における情報セキュリティポリシーに関する総務省ガイドライン」(以下、「総務省ガイドライン」と省略)の改定に関する検討会の構成員からは下記のような意見も出されていました。
ローカルブレイクアウトは、地方公共団体にてなし崩し的に推進されていることに危機感を持っている。まず LGWAN という仕組みを活かして改善していくという方法があるのではないか。
セキュリティ対策の基準を確実にするためには、現行の総務省ガイドラインに記載のない方式が無秩序に推進され続ける前に、何らかの対策を講じる必要があるという危機感があったのかもしれません。
総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」とは?
総務省が各地方公共団体向けに策定したガイドラインであり、各地方公共団体においては本ガイドラインを参考として、必要に応じて内容を取り入れて情報セキュリティを強化するよう求められています。このガイドラインは地方公共団体にとって、セキュリティ規程を作成したり、セキュリティ対策を実施する際の拠り所となります。
α’モデルが総務省ガイドラインに盛り込まれる予定
「令和5年度 地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会における中間報告」(総務省、令和6年3月25日)によると、総務省ガイドラインの第3編「3.情報システムの全体の強靭性の向上」において、αモデルでローカルブレイクアウトを行いクラウドサービス(SaaS)を利用する際のセキュリティ要件(α’モデル)を追加する予定となっています。
追加予定(総務省ガイドライン改定)はいつ頃?
2024年6月下旬~7月 改定・公表
近々、改定が予定されているようです!
α’モデルにおけるSaaSの選定条件にISMAPが!
利用するクラウドサービス(SaaS)のサービス範囲に応じて、セキュリティリスクが異なるため、各パターンごとにリスクを考慮する必要がありますが、いずれの場合もISMAP登録リストから選定することが条件に加わる予定です。
$$
\begin{array}{l:l:l:l} \colorbox{yellow}{サービス範囲} & \text{例} & \text{選定条件} \\
\hline \\ \text{認証等} & \text{認証/認可} \\ & \text{ウイルス定義配信} & \text{ISMAP登録リストに限定}
\\ \\
\text{コミュニケーションツール} & \text{認証/認可} \\ & \text{Web会議、チャット} & \text{ISMAP登録リストに限定}
\\ \\
\text{外部とのファイル送受信} & \text{認証/認可} \\ & \text{Web会議、チャット} \\ & \text{ファイル送受信等} & \text{ISMAP登録リストに限定}
\\
\end {array}
$$
上記の3つのサービス範囲については、あくまでも最も基本的なケースとして取り上げている状況であり、最終的には地方公共団体が責任を持って実施することが求められます。
利用範囲の異なる3つのケースを想定し、それぞれにセキュリティ対策を記載する。ただし、利用するクラウドサービスは多様であり、すべてのケー スを想定することは困難であるため、α’モデルを採用する場合は、地方公共団体ごとのサービス利用範囲を踏まえて、個別に検討する必要がある。
SaaS企業と地方自治体
α’モデルの登場により、ISMAP登録のないSaaS企業が地方自治体へサービスを提供するには、β・β’モデルを採用している地方自治体に限定される状況となります。これにより、市場が制限され、競争の機会が制約されることになります。
他の手段として、LGWAN-ASPへの参入が考えられますが、LGWAN-ASP登録要件を満たすには、特有の接続要件に合わせたインフラ面などの追加開発が必要です。これにより、企業向けを主戦場としてきた多くのSaaS事業者にとっては、継続的な追加運用負荷が生じます。追加開発や追加運用負荷を回避するためには、LGWAN-ASP接続要件を満たす基盤を持つSIerなどと提携する方法も考えられます。これにより、SaaS企業は単独でなくパートナーリングによって要件をクリアすることが可能です。ただし、SIerとのパワーバランスも考慮する必要があり、著名なSaaS企業以外には別の課題が生じる可能性があります。
また、LGWAN利用料など企業向け提供の際には発生してこなかった特有のコストも継続的に生じるため、LGWAN-ASPモデルでの提供の際には別料金表が設定されるケースがあります。この場合、企業向け料金よりも高く設定される傾向があります。このような事情から、調達者の観点では、LGWAN-ASPよりもα’モデル対応SaaSの方がコスト面でメリットがあり、選定において有利に働くことも想定されます。
α'モデルの潜在層と顕在層
α’モデルに移行する可能性を秘める自治体の数を確認するために、「αモデルの割合(数)」を「α’モデル潜在層」とし、「αモデルのうち、β・β’モデルへの移行を検討したことのある割合(数)」を「α’モデル顕在層」として、以下に、当社で定義した自治体の種別ごとの割合を示します。
下記表は、地方公共団体のセキュリティ対策に係る国の動きと地方公共団体の状況について(総務省、令和5年10月10日)(https://www.soumu.go.jp/main_content/000907082.pdf、p.6-7)のデータを参考に当社作成。
$$
\begin{array}{l:l:l:l} \colorbox{yellow}{自治体種別} & \text{αモデルの割合(数)} & \text{αモデルのうち、β・β’モデルへの移行を検討したことのある割合(数)} \\&\text{[α'モデルの潜在層]} &\text{[α'モデルの顕在層]} \\
\hline \\ \text{都道府県} & 61.7\% (29) & 72.4\% (21)
\\ \\
\text{政令指定都市} & 55\% (11) & 81.8\% (9)
\\ \\
\text{中核・特別区} & 84.7\% (72) & 54.1\% (39)
\\ \\
\text{その他市町村} & 94.2\% (1485) & 36.9\% (548)
\\
\end {array}
$$
多くの自治体がα’モデルへの移行の潜在的または顕在的な層に含まれる可能性があることが示されています。
α’モデルの潜在層:1597自治体
α’モデルの顕在層:617自治体
これはすでにISMAP登録リストにあるSaaS企業にとっては大きな追い風となるはずです。ISMAPという参入障壁があるうちに、先行者として各自治体にアプローチを開始できます。
SaaS企業としての戦略的選択
LGWAN接続系の業務端末からインターネット接続が必要なSaaSを利用するにあたり、採用モデル別の選定条件は主に以下のようになると考えられます。
$$
\begin{array}{l:l} \colorbox{yellow}{採用モデル} & \text{SaaS選定における主な条件例} \\
\hline \\ \text{αモデル} & \text{LGWAN-ASP}
\\ \\
\text{β'モデル※} & \text{ISMAP登録} \\ & \text{ISO 27017}\\ & \text{SOC2} \\ & \text{LGWAN-ASP}
\\ \\
\text{α'モデル} & \text{ISMAP登録} \\ & \text{LGWAN-ASP}
\\
\end {array}
$$
※β'モデルにおけるクラウドサービス選定条件とは?
総務省ガイドラインの第4編には、ガバメントクラウドでの利用を前提としたクラウドサービスの利用に関する記述があります。一方で、以下のようにβ´モデルでも活用できるように策定したと記述があります。
第2章 本編におけるクラウドサービスの範囲についてより
〜省略〜
本編は、標準準拠システム等をガバメントクラウドにおいて利用することを前提として、 その対策基準を示しているが、β´モデルにおいてクラウドサービスを利用する際の対策基準としても活用できるように策定している。β´モデルを活用して機密性の高い情報資産の運用 をクラウドサービス上で運用する地方公共団体においては、本編を参考にして β´モデルに おける対策基準を定めることが望ましい。
〜省略〜
8.2. 外部サービスの利用(機密性2以上の情報を取り扱う場合) 解説より
〜省略〜
なお、選定条件となる認証には、ISO/IEC 27017によるクラウドサービス分野 におけるISMS認証の国際規格がある。また、ISMAPの管理基準を満たすことの確認や ISMAPクラウドサービスリスト等のほか、日本セキュリティ監査協会のクラウド情報セキュリティ監査や外部サービス提供者等のセキュリティに係る内部統制の保証報告書である SOC 報告書(Service Organization Control Report) を活用することを推奨する。
〜省略〜
すでにαモデル採用の地方自治体にサービス提供しているSaaS企業
提供されているサービスは、現行の総務省ガイドラインには記載のないローカルブレイクアウト方式によるものと考えられます。将来的には、正式にα’モデルが総務省ガイドラインに組み込まれる可能性がありますので、将来的に取引中の各自治体からISMAP登録の要求があるかもしれません。そのため、そのリスクを事前に見込んでおくことが重要です。対応できない場合、次回の契約更新時に取引が停止される可能性も考えられます。
今後、地方自治体向けにサービス提供を開始したいSaaS企業
今後、地方公共団体や自治体向けにサービス提供を開始したい、販路を拡大したいSaaS企業にとっては、α'モデルの存在は無視できず、ISMAP登録を視野に入れるなど戦略的な選択を検討する必要があります。
以下、戦略的選択において考慮すべきポイントです。
現状、多くの自治体がαモデルを採用していること
一方、総務省ガイドライン改訂の影響で、従来のローカルブレイクアウト方式での提供を受け入れる自治体が減少する可能性があること
ISMAP管理策準拠により、β'モデル採用の自治体の選定条件でも有利に働く可能性が高いこと
企業向けを主戦場としてきたSaaS企業にとって、LGWAN-ASPへの参入障壁は決して低くないこと
α'モデルではSaaSの選定条件にISMAP登録が必要であること
さいごに
中央省庁などの政府機関向けサービス提供は、入札手順の複雑さや要求水準の高さから、これまでISMAPに関心を持っていなかったSaaS企業も存在すると考えられます。しかし、地方公共団体におけるα’モデルの導入がきっかけとなり、SaaS企業にとってISMAPがより身近な存在となることが期待されます。ただし、費用面の課題は依然として残っています。
現在のISMAP登録における最大の課題は、監査費用だと感じています。年間数千万円という監査費用は、スタートアップ企業から東証上場企業まで、企業の規模にかかわらず大きな負担です。このため、ISMAP制度は継続的に改善されており、例えば監査項目を1年で全て網羅するのではなく、3年サイクルで網羅することで、1年あたりの監査工数(監査費用)の削減が期待される改善も行われました。また、将来的な改善策として、監査機関の多様化や他の認証制度を活用した監査項目の一部省略などが検討されていますが、費用の面でどれだけ改善できるかはまだ不透明です。
監査費用が課題となっているSaaS企業の場合には、外部監査を受けないという選択肢も考えられます。その代わりに、ISMAPの要件に合致するセキュリティ体制と対策を整備しておくことで、政府機関からの調達機会を保持しつつ、間接的にエンタープライズ顧客が求める非機能要件にも対応できるメリットが得られます。
弊社では、ISMAPの登録支援から登録後の効率化支援はもちろんのこと、3ヶ月間でISMAP言明書を作成することを目指した短期プランもご提供しています!ISMAP言明書の作成により、ISMAP管理策に対する評価と改善点が明確になります。その結果を受けて、ISMAPへの取り組みを本格化させるか、あるいは取り組みを中止するかを判断する材料とすることもできます。
ISMAPについて相談したい方はお気軽にご連絡ください!