ゼロトラストはISMAP対応に必要?クラウドで求められるセキュリティ対策を解説
更新日:2026-07-14 公開日:2026-07-14 by Bitmoss
ゼロトラストとISMAPは、同じ制度や認証を指すものではありません。ISMAP(政府情報システムのためのセキュリティ評価制度)はクラウドサービスを評価・登録する制度であり、ゼロトラストは利用者や端末、通信を無条件に信頼せず、継続的に確認するセキュリティの考え方です。
ゼロトラストとISMAPの要点
|
政府機関のクラウド調達では、ISMAPへの登録状況が選定基準として確認されます。また、地方公共団体(自治体)では法的な義務ではないものの、ISMAPやISMAP-LIUの管理基準を参考にクラウドを選定するケースが増えています(詳しくはISMAPとISMAP-LIUの違いを参照)。
一方、クラウド利用の拡大やテレワークの定着を背景に、従来の境界防御だけに依存しないゼロトラストの考え方も重要になっています。
そのため、「ISMAP対応にはゼロトラストが必要なのか」「ISMAP登録サービスを選べばゼロトラストも実現できるのか」と疑問を持つ方もいるでしょう。
本記事では、ゼロトラストとISMAPの違いと関係、共通するセキュリティ対策、クラウド選定・運用時に利用組織が確認すべきポイントを解説します。
ゼロトラストとISMAPの関係とは
ISMAPとゼロトラストは目的と位置づけが異なりますが、安全なクラウド利用を実現するうえで相互に関連する考え方です。
ISMAPは、政府が求めるセキュリティ要求を満たすクラウドサービスをあらかじめ評価し、クラウドサービスリストへ登録する制度です。一方、ゼロトラストは、ネットワークの内外だけで信頼性を判断せず、アクセスのたびに利用者・端末・権限・通信状況などを確認するセキュリティモデルです。
| 項目 |
ISMAP |
ゼロトラスト |
|---|---|---|
| 位置づけ | クラウドサービスのセキュリティ評価制度 | セキュリティ設計・運用の考え方 |
| 主な対象 | クラウドサービスとその提供事業者の管理・運用 | 利用者・端末・アプリケーション・データ・通信 |
| 目的 | 政府調達におけるクラウドサービスのセキュリティ水準を確保する | 暗黙の信頼を排除し、不正アクセスや被害拡大を抑える |
| 実施主体 | 制度運営機関、監査機関、クラウドサービス事業者 | クラウドサービス事業者と利用組織の双方 |
つまり、ISMAP登録サービスを選定することと、自社システムへゼロトラストを実装することは別の取り組みです。ISMAP登録サービスの利用は安全なクラウド選定の重要な判断材料になりますが、利用者側の認証設定や権限管理、端末管理まで自動的に整備されるわけではありません。
ゼロトラスト自体の意味や基本原則については、ゼロトラストとは?仕組みや従来の境界型セキュリティとの違いで詳しく解説しています。
ゼロトラストはISMAP対応に必須なのか
ゼロトラストの導入そのものが、ISMAP登録サービスを利用するための一律の必須条件というわけではありません。
そもそもISMAPは、ゼロトラスト製品やゼロトラスト環境を認証する制度ではありません。クラウドサービス事業者が実施する情報セキュリティ管理や運用について、ISMAP管理基準に基づく監査・審査を経て、対象サービスを登録する制度です。
一方で、ISMAPとゼロトラストには、次のような共通するセキュリティ上の観点があります。
- 利用者を適切に識別・認証する
- 必要な利用者に必要最小限の権限だけを付与する
- アクセスや操作の記録を取得・監視する
- 構成変更や権限変更を適切に管理する
- インシデントを検知し、対応できる体制を整える
したがって、ゼロトラストはISMAP登録の代替条件ではありませんが、ISMAP登録クラウドを安全に利用し、利用組織側の管理責任を果たすために有効な設計思想といえます。
ISMAP登録サービスだけでは安全が完結しない理由
ISMAP登録サービスは一定の管理基準に基づいて評価されていますが、登録サービスを選ぶだけで利用環境全体の安全性が保証されるわけではありません。
利用組織にも設定・運用の責任がある
クラウドでは、サービス事業者と利用組織がそれぞれセキュリティ上の役割を担います。クラウドサービス事業者が基盤の安全性を確保していても、利用組織側の設定や運用が不適切であれば、情報漏えいや不正アクセスにつながる可能性があります。
利用組織側で管理すべき項目には、次のようなものがあります。
- 利用者アカウントの登録・変更・削除
- 管理者権限やアクセス権限の設定
- 多要素認証の有効化
- クラウド上へ保存するデータの分類
- ログの確認と異常の検知
- 退職者・異動者の権限削除
登録範囲と自社の利用範囲が一致するとは限らない
ISMAPへの登録は、クラウド事業者のすべてのサービスや機能を一括して対象とするものではありません。登録されているサービス名称、対象範囲、リージョン、提供機能などを確認し、自社が利用する構成が登録範囲に含まれているかを確認する必要があります。
ISMAP登録は自社システムの認証ではない
ISMAPクラウドサービスリストへ登録されるのは、原則として評価対象となったクラウドサービスです。そのサービス上に構築した利用組織のシステムや運用体制が、ISMAPによって個別に認証されるわけではありません。
ISMAPの制度や登録サービスの確認方法については、ISMAPとは?制度の仕組みとクラウド選定時の確認ポイントも参考にしてください。
ISMAPとゼロトラストに共通するセキュリティ対策
ISMAPとゼロトラストは同じものではありませんが、実務上は共通して重視される対策があります。
| 対策 |
ゼロトラストでの目的 |
クラウド運用での確認事項 |
|---|---|---|
| 多要素認証 | パスワード漏えい時の不正利用を防ぐ | 管理者・一般利用者へ適用できるか |
| 最小権限 | 利用者やシステムに過剰な権限を与えない | 役割単位で権限を分離できるか |
| 端末管理 | 安全性を確認できない端末からの接続を制限する | 端末状態をアクセス判断に利用できるか |
| ログ管理 | アクセスや操作を継続的に確認する | 必要なログを取得・保存・出力できるか |
| ネットワーク分離 | 侵入後の横展開や被害拡大を抑える | システムや役割に応じて通信を制御できるか |
| 継続的な監視 | 利用状況の変化や異常な挙動を検知する | アラート、監視、インシデント対応を運用できるか |
これらは単一製品を導入すれば完了するものではありません。認証基盤、クラウドのIAM、端末管理、ネットワーク制御、ログ監視などを組み合わせ、運用ルールまで含めて設計する必要があります。
ISMAP対応クラウドで確認したいゼロトラストの実装ポイント
ISMAP登録サービスを選定する際は、登録の有無だけでなく、自社が必要とするゼロトラスト関連機能を実装できるか確認することが重要です。
認証基盤と連携できるか
クラウドサービスごとに個別のアカウントを管理すると、退職者アカウントの削除漏れや権限管理の属人化が起こりやすくなります。自社のIdPやディレクトリサービスと連携し、利用者の認証を一元化できるか確認しましょう。
また、管理者アカウントだけでなく、一般利用者や外部委託先にも多要素認証を適用できるかが重要です。
最小権限を実装できるか
ゼロトラストでは、利用者やシステムに必要以上の権限を与えません。役割に応じたアクセス制御、管理者権限の分離、一時的な権限付与などが可能かを確認します。
導入時に権限を設定するだけでなく、異動・退職・委託契約終了などに合わせて定期的に棚卸しできる運用も必要です。
必要なログを取得できるか
アクセスログ、認証ログ、管理操作ログ、設定変更ログなど、取得できるログの種類と保存期間を確認します。ログを取得できても、確認する担当者や異常検知のルールがなければ十分に活用できません。
自社で監視するのか、マネージドサービスを利用するのかも含めて、運用体制を決めておく必要があります。
ネットワークを細かく分離できるか
すべてのシステムを同じネットワークへ配置すると、一部で侵害が発生した際に被害が拡大する可能性があります。業務、システム、重要度などに応じてネットワークを分離し、必要な通信だけを許可できる構成が望まれます。
データの保管場所と管理方法を説明できるか
公共分野や機密性の高い業務では、データの保管場所、バックアップ先、暗号化方法、運用者の権限などについて説明を求められることがあります。
ISMAP登録の有無に加え、利用するリージョンやデータセンター、海外拠点からの運用アクセス、再委託先などを確認し、利用組織の要件に適合するか判断することが重要です。
ISMAP登録サービスを選ぶ際のチェックポイント
クラウドサービスを選ぶ際は、次の項目を確認しましょう。
ISMAP登録の確認はクラウド選定の入口です。実際の導入では、自社のセキュリティ要件に合わせて、機能、構成、運用支援、責任分界まで確認する必要があります。
ゼロトラスト導入は何から始めるべきか
ゼロトラストは、すべてのシステムを一度に入れ替えて実現するものではありません。現状を整理し、リスクの高い領域から段階的に対策を進めます。
1. 利用者・端末・システムを把握する
まず、誰が、どの端末から、どのシステムやデータへアクセスしているかを整理します。管理対象が把握できていなければ、適切な認証や権限設定はできません。
2. 多要素認証を優先する
特に管理者アカウントやクラウド管理画面には、多要素認証を優先して適用します。パスワードだけに依存しないことで、認証情報が漏えいした場合の不正アクセスリスクを抑えられます。
3. 権限を棚卸しする
管理者権限の保有者、長期間使われていないアカウント、外部委託先へ付与した権限などを確認します。不要な権限を削除し、業務に必要な範囲へ限定します。
4. ログ取得と監視体制を整える
重要なシステムから順に、認証・アクセス・操作・設定変更のログを取得します。そのうえで、誰がどの頻度で確認し、異常を検知した場合にどう対応するかを決めます。
5. 段階的にネットワークとアクセス制御を見直す
VPNや社内ネットワークへ接続したことだけを信頼の根拠にせず、利用者、端末、アクセス先、リスクに応じて制御する仕組みへ段階的に移行します。
ゼロトラストは製品導入だけで完成するものではありません。認証・権限・端末・ネットワーク・ログを横断して、継続的に見直す運用が重要です。
ISMAPとゼロトラストに関するよくある質問
ISMAP登録クラウドならゼロトラストも実現できますか?
いいえ、実現できません。ISMAP登録は認証・権限管理・ログなどの機能提供を保証するものであり、実際の設定・運用まで自動化するものではないためです。
クラウドサービスが提供する認証、権限管理、ログ、ネットワーク制御などの機能を、利用組織が適切に設定・運用する必要があります。
ゼロトラストを導入すればISMAP対応になりますか?
いいえ、なりません。ISMAPはクラウドサービス事業者と対象サービスを評価・登録する制度であり、ゼロトラストを導入しても登録要件を満たしたことにはならないためです。
ISMAP登録には別途、制度に基づく評価・審査が必要です。
ISMAP登録サービスを利用すれば、自社側の監査は不要ですか?
ISMAP登録サービスの利用と、利用組織に必要な内部監査・セキュリティ確認は別の取り組みです。利用者管理、権限設定、ログ確認、委託先管理など、利用組織が担う領域については継続的な確認が必要です。
VPNがあればゼロトラストは不要ですか?
VPNは通信経路を保護する有効な手段ですが、接続後の利用者や端末を継続的に信頼してよいとは限りません。VPNの有無だけで判断せず、多要素認証、端末状態、最小権限、ログ監視などを組み合わせることが重要です。
民間企業でもISMAPを参考にできますか?
ISMAPは政府情報システムにおけるクラウド調達を主な対象とする制度ですが、民間企業がクラウドサービスのセキュリティ管理や運用体制を確認する際の参考にもなります。ただし、自社の業種、法令、取り扱う情報、取引先要件に応じた追加確認が必要です。
まとめ
ISMAPは政府が利用するクラウドサービスのセキュリティを評価・登録する制度であり、ゼロトラストは利用者や端末、通信を無条件に信頼せず、継続的に確認するセキュリティの考え方です。
両者は同じものではありませんが、認証、最小権限、ログ管理、継続的な監視など、安全なクラウド利用に必要な観点には共通点があります。
重要なのは、ISMAP登録サービスを選ぶだけで対策を終わらせず、利用組織側の責任範囲を把握し、自社の要件に合わせてゼロトラストの考え方を取り入れることです。
🔶ISMAP・ゼロトラストを考慮したクラウド導入をご検討中の方へ
ISMAP登録状況の確認だけでなく、認証・権限管理・ログ監視・ネットワーク構成など、利用組織側に必要な対策も含めて整理することが重要です。
フューチャースピリッツでは、クラウドの選定から設計・構築・運用までご相談いただけます。
クラウドのセキュリティ対策について相談する