ページの先頭です

ページ内を移動するためのリンク
本文(c)へ

セキュリティの部屋

ここから本文です。

【詳細解説】セキュリティ評価認証制度(CC)と政府情報システムのためのセキュリティ評価制度(ISMAP)の目的・対象、特徴および補完関係

セキュリティ評価認証制度(CC)と政府情報システムのためのセキュリティ評価制度(ISMAP)の目的・対象、特徴および補完関係

掲載情報の概要

  • 掲載日: 2025年9月29日
  • 掲載趣旨
    • セキュリティ評価認証制度(CC)と政府情報システムのためのセキュリティ評価制度(ISMAP)の目的・対象、特徴、および、両制度の補完関係、さらに両制度の今後の活用についてまとめたものです。
  • 参照元
    • 生成AIにより原稿案を作成し、編集したものです。

序論:日本のセキュリティフレームワークを支える政策的要請

日本のサイバーセキュリティ保証制度である「コモンクライテリア(CC)」と「政府情報システムのためのセキュリティ評価制度(ISMAP)」は、単なる技術的な基準の集合体ではない。これらは、日本の国家デジタル政策の根幹を成す、戦略的な手段として理解されなければならない。2018年に日本政府が打ち出した「クラウド・バイ・デフォルト原則」に象徴される、テクノロジーを基盤とした社会変革の時代において、これらの制度はリスクを管理し、デジタルインフラに対する信頼を醸成するための不可欠なメカニズムとして機能している 1。

「クラウド・バイ・デフォルト原則」は、政府情報システムの新規導入や更新に際し、クラウドサービスの利用を第一候補として検討することを義務付ける画期的な方針転換であった 2。この政策は、コスト削減、柔軟性の向上、そしてイノベーションの加速といったクラウドコンピューティングの利点を最大限に活用し、行政サービスの質を向上させることを目的としている 4。しかし、この野心的な方針は、同時に重大な運用上の課題を生み出した。すなわち、数百に及ぶ政府機関が、それぞれ異なるサイバーセキュリティの専門知識レベルの中で、いかにして安全かつ一貫性のある形でグローバル市場からクラウドサービスを調達するか、という問題である。

この政策が導入される以前、クラウドサービスのセキュリティ評価は各政府機関が個別に行っており、そのプロセスは非効率的かつ重複的で、結果としてセキュリティベースラインの不整合を招いていた 1。この課題を解決するため、2019年12月に閣議決定された「デジタル・ガバメント実行計画」では、安全性が評価されたクラウドサービスの利用を可能にするための環境整備が明確に位置づけられた 1。この政策的要請に直接応える形で、2020年6月にISMAPが創設されたのである 1。

したがって、ISMAPの誕生は、単なるセキュリティプログラムの開始を意味するものではない。それは、国家戦略である「クラウド・バイ・デフォルト原則」を具体的に運用可能にし、そのリスクを管理するための核心的なツールとして設計されたものである。信頼できる中央集権的な評価制度がなければ、この原則は実質的に機能不全に陥り、政府の機密情報が不均一な保護レベルの脅威に晒される可能性があった。ISMAPは、この政策ビジョンを、監査可能で実効性のある調達基準へと転換する役割を担っている。本レポートでは、この政策的背景を念頭に置き、IT製品の信頼性の礎となるコモンクライテリアと、クラウドサービス利用の安全性を保証するISMAPという、日本のサイバーセキュリティ保証を支える二つの柱について、その目的、対象、特徴を深く掘り下げる。さらに、両制度の相関関係を分析し、今後の技術動向や政策展開を踏まえた演繹的な将来予測を提示する。

1. コモンクライテリア(CC):IT製品保証の国際的ゴールドスタンダード

コモンクライテリア(CC)は、日本のセキュリティ保証エコシステムの基盤層を形成する。その役割は、ITインフラを構成する個々の「製品」のセキュリティを保証することに特化しており、国際的に認められた客観的な評価基準として、技術的な信頼性の礎となっている。

1.1. 中核となる原則と目的

コモンクライテリアは、情報技術セキュリティ評価のための国際標準規格であり、ISO/IEC 15408として標準化されている。日本では、JIS X 5070として国内規格化されている 7。その根本的な目的は、IT製品やシステムに実装されたセキュリティ機能が、仕様書通りに適切に設計され、その設計が正しく実装されていることを、第三者の評価機関が客観的に検証するための共通の枠組みを提供することにある 7。

評価の対象(Target of Evaluation: TOE)は、ハードウェア、ソフトウェア、ファームウェアといった、ITインフラを構成する具体的な構成要素である 7。具体的な例としては、ファイアウォール、不正侵入検知システム(IDS/IPS)、オペレーティングシステム、データベース管理システム、デジタル複合機、ICカード、暗号モジュールなどが挙げられる 10。

ここで極めて重要な点は、CCが評価するのはあくまで「製品そのもの」の技術的な堅牢性であり、その製品を利用する組織の運用体制や管理プロセスは評価の対象外であるという点だ。例えば、組織内でのセキュリティ教育の実施や定期的な監査といった運用面の対策は、製品を使用する上での「前提条件」として扱われ、評価の範囲には含まれない 12。この明確なスコープ設定により、CCは製品固有のセキュリティ品質を純粋に評価する尺度としての役割を果たしている。

1.2. 保証のスペクトラム:評価保証レベル(EAL)の詳細な検証

CCにおける評価の深さと厳格さは、「評価保証レベル(Evaluation Assurance Level: EAL)」と呼ばれる7段階の尺度で示される 7。EALの数値が高いほど、より網羅的で形式的な検証プロセスを経て評価されたことを意味し、その製品のセキュリティに関する主張に対する信頼性が高いことを示す 14。各レベルは、特定の脅威レベルや利用環境を想定して設計されており、調達者や利用者がリスクに応じて適切な保証レベルの製品を選択するための指標となる。

表1:コモンクライテリア評価保証レベル(EAL)の詳細

EALレベル レベル名称 詳細な説明と典型的なユースケース
EAL1 機能テストレベル (Functionally Tested) 製品が公言するセキュリティ機能が動作することを基本的なテストによって確認する、最も低い保証レベル。セキュリティへの脅威が重大とは見なされない環境での利用を想定している 7。
EAL2 構造化テストレベル (Structurally Tested) 開発者の設計情報やテスト結果を評価に利用し、製品の内部構造を考慮したテストを実施する。既存のシステムにセキュリティ機能を追加する場合など、開発記録へのアクセスが限定的な状況で適用される 7。
EAL3 体系的テストとチェックレベル (Methodically Tested and Checked) 開発プロセス全体を調査し、より体系的なテストと開発環境の評価を行う。中程度のセキュリティ保証が求められる状況で、大幅な再設計なしに適用可能なレベル 7。
EAL4 体系的設計、テスト、レビューレベル (Methodically Designed, Tested, and Reviewed) 多くの商用製品が目指す、セキュリティと経済的実現可能性のバランスが取れたレベル。セキュリティを考慮した適切な開発プラクティスが適用されていることを保証する。政府調達や企業利用で一般的に要求される水準 7。
EAL5 半形式的設計とテストレベル (Semiformally Designed and Tested) 設計段階から高度なセキュリティエンジニアリング技法を適用し、脆弱性の分析をより深く行う。高リスク環境や高い資産価値を持つ情報を扱うシステムで適用される 7。
EAL6 半形式的検証設計とテストレベル (Semiformally Verified Design and Tested) 設計の各段階で半形式的な検証を行い、非常に高い保証を提供する。国家機密など、重大なリスクに晒される価値の高い資産を保護するシステム向け 7。
EAL7 形式的検証設計とテストレベル (Formally Verified Design and Tested) 最も厳格なレベル。数学的な手法を用いた形式的な検証を設計全体に適用し、セキュリティ機能が完全に仕様を満たしていることを証明する。最高機密レベルのシステムなど、極めて高いリスク環境での利用に限定される 7。

1.3. グローバルな相互運用性:コモンクライテリア承認アレンジメント(CCRA)の役割

CCの戦略的価値を飛躍的に高めているのが、「コモンクライテリア承認アレンジメント(Common Criteria Recognition Arrangement: CCRA)」である 16。これは、加盟国の一つの認証機関によって発行されたCC認証書が、他のすべての加盟国においても同等に通用することを保証する多国間協定である 16。この「一度認証されれば、どこでも通用する」というモデルは、製品ベンダーにとって各国で個別に認証を取得する手間とコストを劇的に削減し、国際市場における非関税障壁を取り除く強力なメカニズムとなっている 16。

この相互承認の枠組みは、1995年に発効したWTO/TBT協定(貿易の技術的障害に関する協定)の精神を具現化したものであり、各国独自の基準が国際貿易の不必要な障害となることを防ぐことを目的としている 18。日本は2003年10月にCCRAへ加盟した 16。

ただし、CCRAによる相互承認の範囲には重要な規定がある。一般的な製品の場合、相互承認が適用されるのはEAL2までである。一方で、複数の加盟国が共同で開発したセキュリティ要件定義書である「共通プロテクションプロファイル(collaborative Protection Profile: cPP)」に適合する製品については、承認範囲がEAL4まで拡大される 16。この規定は、特に政府調達市場をターゲットとするベンダーにとって、cPPへの準拠が国際的な市場アクセスを確保する上で極めて重要であることを示唆している。

CC認証は、製品の技術的な堅牢性を証明するだけでなく、グローバル市場へのパスポートとしても機能する。ベンダーがCC認証を取得するプロセスは、厳格なセキュリティ開発手法を組織に根付かせ、製品の脆弱性を体系的に低減させるという内部的な価値をもたらす 7。そして、CCRAを通じて、その多大な投資が国際的な市場アクセスという外部的な価値に転換されるのである。例えば、日本のJISECによって認証された製品は、米国のNIAP(National Information Assurance Partnership)やドイツのBSI(連邦情報セキュリティ庁)といった各国の認証機関からも、合意されたEALの範囲内で承認される 16。この二重の価値を理解することは、IT製品ベンダーがコンプライアンスを単なるコストではなく、戦略的な投資として位置づける上で不可欠である。

1.4. 日本における実装:JISECの役割

日本国内において、CCフレームワークの運用を担っているのが「ITセキュリティ評価及び認証制度(Japan Information Technology Security Evaluation and Certification Scheme: JISEC)」である。JISECは、独立行政法人情報処理推進機構(IPA)によって運営されており、国内での評価・認証プロセスの管理、評価機関の認定、そしてCCRAにおける日本の代表機関としての役割を担っている 9。製品ベンダーが日本でCC認証を取得する場合、JISECが認定した評価機関による評価を受け、最終的にJISECから認証書が発行されることになる。

2. ISMAP:日本の政府クラウドファーストの未来を保護する

ISMAP(Information system Security Management and Assessment Program)は、特定の政策的要請から生まれた、クラウドサービスに特化した包括的なセキュリティ管理制度である。その構造は、既存の国際規格と国内基準を戦略的に組み合わせたものであり、政府機関が利用するクラウドサービスの信頼性を確保するための厳格な登録プロセスを特徴としている。

2.1. 創設の経緯と政策的使命

ISMAPは、日本政府が調達するクラウドサービスに対して、一貫性のある高いセキュリティ水準を確保することを主目的として創設された 1。その直接的な背景には、前述の「クラウド・バイ・デフォルト原則」がある。この原則の推進にあたり、各政府機関が個別に行っていたセキュリティ評価の非効率性と評価基準のばらつきが大きな課題となっていた 1。ISMAPは、この課題を解決するため、政府が求めるセキュリティ要件を満たしたクラウドサービスをあらかじめ評価・登録し、そのリストを公開することで、調達プロセスを大幅に効率化・円滑化するものである 1。

この制度の対象は、Infrastructure as a Service (IaaS)、Platform as a Service (PaaS)、Software as a Service (SaaS) といった、あらゆる形態のクラウドサービスに及ぶ 23。これにより、政府機関はISMAPクラウドサービスリストに登録されたサービスの中から調達を行うことで、一定のセキュリティ水準が担保されているという前提のもと、迅速な導入判断が可能となる 1。

2.2. アーキテクチャフレームワーク:国際規格と国内基準の融合

ISMAPの管理基準は、ゼロから構築されたものではなく、既存の権威ある標準規格を巧みに組み合わせたハイブリッド構造となっている。このアプローチにより、フレームワークは国際的な信頼性と、日本政府特有の要求事項への適合性を両立させている。管理基準は、以下の三つの柱で構成される 24。

  • ガバナンス基準: JIS Q 27014(ISO/IEC 27014)をベースとしており、クラウドサービス事業者(CSP)の経営陣レベルでの情報セキュリティに対するコミットメントと、戦略的な監督・指示を要求する 24。
  • マネジメント基準: JIS Q 27001(ISO/IEC 27001)に基づいており、情報セキュリティマネジメントシステム(ISMS)の確立、導入、運用、監視、維持、および継続的な改善を体系的に行うことを求める 24。
  • 管理策基準: 1,000項目以上に及ぶ具体的なセキュリティ対策を定めた最も詳細な柱である。これは以下の複数の標準規格を統合した複合的な構成となっている。
    • JIS Q 27002 (ISO/IEC 27002): 情報セキュリティ管理策の実践的な規範。
    • JIS Q 27017 (ISO/IEC 27017): クラウドサービスに特化した情報セキュリティ管理策。
    • 政府機関等のサイバーセキュリティ対策のための統一基準群: 日本政府の情報システムに求められる特有の要件を反映。
    • NIST SP 800-53: 米国国立標準技術研究所(NIST)が定めるセキュリティ管理策。他の規格ではカバーしきれない、より堅牢な管理策を補完するために参照される 24。

ガバナンス基準とマネジメント基準は、原則として全ての項目を実施することが求められる 27。一方、管理策基準については、大項目である「統制目標」(3桁管理策)は原則として全てのリスクに対応する必要があるが、それを実現するための具体的な「詳細管理策」(4桁管理策)は、一部の重要管理策を除き、事業者のリスクアセスメントに基づいて選択的に適用することが可能となっている 24。

このフレームワークの設計思想は、ISMAPの信頼性と実用性の源泉となっている。グローバルに認知されたISO規格やNIST標準を基盤とすることで、AWS、Microsoft Azure、Google Cloudといった国際的なCSPが既に準拠している枠組みとの整合性を確保し、参入障壁を下げている。同時に、政府統一基準を組み込むことで、日本の公共セクター特有のリスクや法規制環境に合わせたカスタマイズを実現している。このハイブリッドなアプローチは、国際的な相互運用性と国内の特殊要件という二つの目標を同時に達成するための、戦略的な選択である。

表2:ISMAP管理基準の参照元標準規格

ISMAP基準 主要な参照元標準規格 規格が貢献する内容
ガバナンス基準 JIS Q 27014 (ISO/IEC 27014) 経営層による情報セキュリティガバナンスの確立、指示、監視、レビューに関する枠組みを提供。
マネジメント基準 JIS Q 27001 (ISO/IEC 27001) リスクアセスメントに基づく情報セキュリティマネジメントシステム(ISMS)のPDCAサイクル(計画・導入・運用・監視・改善)を要求。
管理策基準 JIS Q 27002, JIS Q 27017, 政府統一基準群, NIST SP 800-53 物理的セキュリティ、アクセス制御、暗号化、運用管理など、具体的なセキュリティ対策の選択肢を提供。クラウド特有の要件や日本政府の要求事項を包含する。

2.3. 登録への道筋

「ISMAPクラウドサービスリスト」への登録プロセスは、複数の段階を経る厳格なものである 29。

  1. 内部準備: CSPは、ISMAP管理基準に適合するように内部統制を整備・運用し、どの管理策をどのように適用しているかを明記した「言明書(Statement of Applicability)」を作成する 23。
  2. 外部監査: CSPは、「ISMAP監査機関リスト」に登録されている監査機関を選定し、第三者による厳格な監査を受けなければならない 1。監査機関は、CSPのセキュリティ対策が言明書通りに実施され、管理基準を満たしているかを検証する。
  3. 登録申請: 監査完了後、CSPは監査機関から発行される「実施結果報告書」をはじめとする必要書類を揃え、ISMAP運営委員会に登録申請を行う 29。
  4. 審査・登録: 申請を受けたISMAP運営委員会(内閣サイバーセキュリティセンター、デジタル庁、総務省、経済産業省で構成)が、IPAの技術的支援を受けながら審査を行う 6。審査を通過したサービスは、晴れて「ISMAPクラウドサービスリスト」に登録・公開される 30。この全プロセスは、準備開始から登録完了まで最低でも1年以上を要することが一般的である 32。

2.4. ISMAP-LIU:低リスクサービスへの実践的アプローチ

ISMAPの厳格なプロセスは、機密性の高い情報を取り扱うサービスにとっては不可欠だが、リスクの低い業務に利用されるSaaSにとっては過剰な負担となる可能性がある。この課題に対応するため、「ISMAP for Low-Impact Use(ISMAP-LIU)」という仕組みが導入された 6。

ISMAP-LIUは、政府が扱う情報の中でも比較的リスクの小さい「機密性2情報」を処理するSaaSサービスを対象としている 34。この制度では、外部監査の対象範囲を限定し、事業者が実施する内部監査の活用を認めることで、審査プロセスを合理化している 34。これにより、より多様なSaaSベンダーが政府調達市場に参入する際の障壁を下げ、クラウドサービスの利用をさらに促進することを目的としている。

3. 相関・比較分析:製品とサービスの保証レイヤー

コモンクライテリア(CC)とISMAPは、日本のサイバーセキュリティ保証制度の中で競合するものではなく、相互に補完し合う関係にある。両者はテクノロジースタックの異なるレイヤーで機能し、コンポーネントからサービス全体へと至る「保証の連鎖」を形成している。

3.1. ドメインの明確化

CCとISMAPの役割を理解するためには、その目的、対象、評価手法の根本的な違いを明確に区別することが不可欠である。

表3:比較マトリクス:コモンクライテリア(CC) vs. ISMAP

属性 コモンクライテリア (CC) 政府情報システムのためのセキュリティ評価制度 (ISMAP)
目的 IT製品のセキュリティ機能が適切に設計・実装されていることを客観的に評価・認証する。 政府が調達するクラウドサービスのセキュリティが、統一された基準を満たしていることを評価・登録し、調達を円滑化する。
評価対象 IT製品(ハードウェア、ソフトウェア、ファームウェア)。例:OS、DB、ファイアウォール、ICカード 7。 クラウドサービス(IaaS, PaaS, SaaS)。例:AWS、Microsoft 365、Slack 23。
評価の焦点 製品内部の技術的な機能実装の正当性と堅牢性。開発プロセスや脆弱性対策の適切性 7。 サービス提供者の組織全体の管理体制。ガバナンス、マネジメントシステム、運用プロセス、インシデント対応 24。
主要なアウトプット 評価保証レベル(EAL) で示される認証書。特定の製品バージョンに対して発行される 7。 政府調達の対象となる**「ISMAPクラウドサービスリスト」への登録** 30。
運営主体(日本) 独立行政法人情報処理推進機構(IPA)によるJISEC 9。 内閣サイバーセキュリティセンター、デジタル庁、総務省、経済産業省(運営委員会)。IPAが運用支援 6。
国際的な認知 CCRAによる多国間相互承認協定が存在する 16。 日本国内の制度。ただし、ISO/IECやNIST等の国際標準を基盤としているため、国際的な信頼性は高い 24。

この比較から明らかなように、CCは「部品」の品質保証であり、ISMAPはそれらの部品を組み合わせて提供される「完成品(サービス)」とその「製造・運用プロセス」全体の品質保証と位置づけることができる。

3.2. 共生関係:保証のバリューチェーン

両制度は、独立して機能するだけでなく、共生的な関係を築いている。CSPがISMAPの監査を受ける際、そのサービスを構成する基盤技術としてCC認証を取得した製品を利用することは、極めて有効な戦略となる。

例えば、あるIaaSプロバイダーがISMAP登録を目指すケースを考える。そのプロバイダーが、EAL4+のCC認証を取得したオペレーティングシステム(ハイパーバイザー)や、同じくCC認証済みのハードウェア・セキュリティ・モジュール(HSM)をインフラの基盤として採用している場合、ISMAPの監査において、これらのコンポーネントのセキュリティに関する主張は、強力な第三者による証明によって裏付けられる。

これはISMAP監査の自動的な合格を意味するものではない。監査人は、CSPがそれらの認証済み製品を「どのように設定し、運用し、管理しているか」を評価する。しかし、コンポーネント自体のセキュリティ堅牢性をゼロから証明する必要がなくなるため、監査プロセスの一部が大幅に簡素化され、全体的なセキュリティ体制の信頼性が向上する。

この関係性は、明確な「保証のバリューチェーン」を形成している。まず、ハードウェアやソフトウェアのベンダーがCC認証という形で「信頼できる部品」を市場に供給する。次に、CSPがそれらの部品を戦略的に調達・統合して、堅牢なクラウドサービスを構築する。最後に、ISMAPがそのサービス全体の管理体制を評価し、政府という最終顧客に対して信頼を保証する。この連鎖において、CC認証は、より上位のサービス保証を支えるための重要な信頼のアンカーとして機能する。

3.3. 共通の分母:暗号化要件

両制度を技術的に結びつける最も重要な要素の一つが、暗号技術に対する要件である。両者ともに検証済みの強力な暗号化を重視しており、ここに直接的な依存関係が見られる。

ISMAPの管理基準では、「暗号」とは、暗号技術検討会(CRYPTREC)が策定する「電子政府推奨暗号リスト」に掲載されている暗号技術、またはそれと同等以上の安全性を有するものと明確に定義されている 35。これは、CSPがISMAPに準拠するためには、CRYPTRECが認める水準の暗号アルゴリズムと鍵長を使用しなければならないことを意味する。

一方、CC評価、特に米国のNIAPスキームの下で行われる評価では、評価対象製品に組み込まれている暗号モジュールが、米国の連邦情報処理標準であるFIPS 140シリーズ(例:FIPS 140-2, FIPS 140-3)に準拠していることを別途証明することが、事実上の前提条件となることが多い 37。

この二つの要件は、密接に関連している。CRYPTRECの推奨暗号リスト自体が、NISTが発行するFIPSを含む国際的な標準規格を強く意識して策定されているためである 39。したがって、FIPS 140の検証を受けた暗号モジュールを搭載した製品は、ISMAPが要求する暗号化基準を満たす可能性が非常に高い。この技術的な連携は、CC認証(特にFIPS検証を含むもの)を取得したセキュリティ製品が、CSPにとってISMAP準拠を目指す上で戦略的に価値の高いアセットとなることを示している。

4. 演繹的予測:日本のセキュリティ保証エコシステムの未来

これまでの分析と現在の政策動向を総合すると、日本のセキュリティ保証のランドスケープは、個別の認証制度が並立する状態から、中央集権的な権威(IPA)の下で管理される、統合的かつモジュール型の保証エコシステムへと進化していく未来が予測される。

4.1. ISMAPの影響圏の拡大

ISMAPは、中央政府の調達ツールという当初の役割を超え、事実上の国家標準としての地位を確立しつつある。

  • 地方公共団体への展開: デジタル庁や総務省は、地方公共団体の情報システム標準化を推進する中で、ISMAP登録サービスの利用を強く推奨している 22。全国の地方公共団体という巨大な市場がISMAPの対象となることで、登録ベンダーにとっての事業機会は飛躍的に拡大する。
  • 民間セクターにおけるベンチマーク化: 政府による厳格な審査を経たISMAP登録リストは、重要インフラや金融機関といった民間の大手企業にとっても、クラウドサービスを選定する際の信頼できるセキュリティ基準(デューデリジェンスのベンチマーク)として活用されるようになっている 23。ISMAP登録は、公共セクターだけでなく、エンタープライズ市場全体における強力な競争優位性をもたらす。

4.2. ゼロトラストアーキテクチャ(ZTA)との統合

次世代のセキュリティパラダイムであるゼロトラストアーキテクチャ(ZTA)の原則が、将来のISMAP管理基準に組み込まれることはほぼ確実である。

日本政府は、デジタル庁を中心に、政府情報システムへのZTA適用を推進するためのガイドライン策定を積極的に進めている 43。ZTAは、従来の「境界型防御」モデルから脱却し、「決して信頼せず、常に検証する(Never Trust, Always Verify)」という原則に基づき、厳格なアイデンティティ管理、デバイスの健全性検証、そしてリソースへの最小権限アクセスを徹底するアプローチである 43。

政府自身の情報システムの設計思想がZTAへと移行する以上、その調達基準であるISMAPがこの変化を反映するのは論理的な帰結である。将来的なISMAPの改定では、IDおよびアクセス管理(IAM)、継続的な監視とログ分析、ネットワークのマイクロセグメンテーションといった、ZTAの核心をなす要素に関する、より詳細かつ厳格な管理策が追加されると予測される。

4.3. 統一フレームワークへの道:JC-STARとAI安全基準の台頭

日本は、異なる技術ドメインに対応するモジュール型の認証制度を、IPA/JISECを中核として連携させる、統合的なエコシステムの構築を進めている。

  • JC-STARの戦略的位置づけ: 近年、急増するIoTデバイスのセキュリティリスクに対応するため、新たな「IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)」が設立された 47。この制度の設計において最も注目すべき点は、それが全く新しい独立した組織によって運営されるのではなく、既存の JISEC(CC認証制度)の拡張として位置づけられていることである 49。これは、製品評価に関する専門知識、プロセス、国際的な関係性といったJISECの資産を最大限に活用し、政策的な一貫性を保ちながら効率的に新制度を立ち上げるという、明確な戦略的意図の表れである。JC-STARは、初期段階においてJISECの評価機関を活用することも計画されている 50。
  • AI安全基準の将来像: 同様に、新たに設立されたAIセーフティ・インスティテュート(AISI)は、AIシステムの安全性、公平性、セキュリティに関する評価基準の策定を進めている 51。現在はまだ研究開発段階であるが、将来的に政府によるAIサービスの調達が本格化すれば、これらの基準がISMAPのような新たな認証フレームワークとして制度化されるか、あるいは既存のISMAPにAI特有の管理策として統合される可能性が高い。

この動向は、将来のコンプライアンスが「構成可能(Composable)」になることを示唆している。例えば、AIを活用したスマートシティのプラットフォームのような複雑なソリューションは、複数の認証を積み重ねることでその信頼性を証明することになるだろう。すなわち、クラウド基盤はISMAP、接続されるセンサー群はJC-STAR、搭載されるAIモデルはAISIベースの評価、そしてそれらを支えるサーバーハードウェアはCCといった具合に、各コンポーネントがそれぞれのドメインに特化した認証を取得し、それらを統合することでシステム全体の信頼性が保証されるモデルである。

4.4. コモンクライテリアの永続的かつ進化する役割

このようなサービス指向の複雑なシステムが主流となる中で、CCの重要性は低下するどころか、むしろ強化されるだろう。ISMAP、JC-STAR、そして将来のAI認証フレームワークはすべて、それらが動作する基盤となるハードウェアやソフトウェアが安全であるという前提の上に成り立っている。CCは、この最も基本的な「構成要素」の信頼性を保証するための、国際的に最も権威のある標準規格である。

したがって、CC認証は、この拡大し続ける統合的保証エコシステムに参加しようとするすべてのベンダーにとって、信頼の出発点、すなわち「トラストアンカー」としての役割を担い続ける。複雑なサービスを構築する上で、CC認証済みのコンポーネントを選択することは、上位の認証プロセスを円滑に進めるための、ますます重要な戦略となるだろう。

この一連の動きから導き出される最も重要な結論は、日本が単に個別の認証制度を作っているのではなく、**主権を維持しつつもグローバルに整合性のとれた「保証のエコシステム」**を戦略的に構築しているということである。新しい制度(JC-STAR)を既存の制度(JISEC/CC)の基盤の上に築き、それらを単一の機関(IPA)の傘下に置くことで、日本はすべての主要な技術分野のセキュリティを統括するための、拡張可能で効率的なシステムを創造している。このアプローチは、各分野の専門性を尊重しつつ(CCは製品、ISMAPはサービス)、ガバナンスの一貫性を確保し、規制のサイロ化を防ぐという、国家のサイバーセキュリティガバナンスにおける成熟した戦略を示している。

5. 結論と戦略的提言

本レポートでは、日本のサイバーセキュリティ保証制度の中核をなすコモンクライテリア(CC)とISMAPについて、その構造、目的、そして相互関係を詳細に分析した。分析を通じて、以下の結論が導き出された。

  • 補完的な役割と保証の連鎖: CCとISMAPは競合する制度ではなく、相互に補完し合う関係にある。CCがITインフラの「部品」の信頼性を保証し、ISMAPがそれらを用いて構築されたクラウド「サービス」全体の管理体制を保証するという、製品からサービスへと至る明確な保証のバリューチェーンを形成している。
  • 国家戦略の基盤としてのISMAP: ISMAPは、日本政府の「クラウド・バイ・デフォルト」政策を支える運用上の基盤であり、その影響力は中央政府の調達を超えて、地方公共団体や民間企業のベンチマークへと急速に拡大している。
  • 統合的エコシステムへの進化: 日本のセキュリティ保証の未来は、クラウド(ISMAP)、IoT(JC-STAR)、AI(AISI)といった各技術ドメインに対応するモジュール型の認証制度が、CCという製品レベルの信頼性を基盤として統合されたエコシステムへと向かっている。このエコシステムは、IPA/JISECが中核的な調整機能を担う形で発展していく。
  • 次世代アーキテクチャへの適応: このエコシステムは、ゼロトラストアーキテクチャのようなグローバルな技術パラダイムの変化を積極的に取り込み、継続的に進化していくことが予測される。

これらの結論に基づき、各ステークホルダーに対して以下の戦略的提言を行う。

  • クラウドサービスプロバイダー(CSP)への提言:
    • ISMAP登録を単なるコンプライアンスコストとしてではなく、日本の公共・民間市場へのアクセスを可能にする戦略的投資として位置づけるべきである。
    • サービスの設計段階から、CC認証を取得したOS、データベース、暗号モジュール等のコンポーネントを積極的に採用することで、ISMAP監査の効率化と信頼性の向上を図るべきである。
    • 将来のISMAP要件改定を見据え、自社のセキュリティロードマップをゼロトラストアーキテクチャの原則と整合させる取り組みを開始することが推奨される。
  • IT製品ベンダーへの提言:
    • 自社製品のCC認証取得が、顧客であるCSPやシステムインテグレーターがISMAP準拠を達成するための重要な要素であることを認識すべきである。CC認証書は、日本市場における強力な販売促進ツールとなる。
    • 特に、暗号モジュールやセキュリティアプライアンスといった基盤技術を提供するベンダーは、CC認証とFIPS 140検証の両方を取得することで、顧客のISMAP対応を強力に支援できる。
  • 政府機関および政策立案者への提言:
    • ISMAP、JC-STAR、AISIが連携する統合的保証エコシステムの構築を引き続き推進し、各制度間の整合性と相互運用性を確保すべきである。
    • CCRAの成功モデルを参考に、JC-STARのような新しい制度についても、諸外国との相互承認に向けた交渉を積極的に進め、国内企業の国際競争力を支援すべきである。
    • ISMAPをはじめとする各フレームワークが、ZTAのような現代的なアーキテクチャパラダイムに迅速に対応できるよう、継続的な見直しと改定のプロセスを維持し、国家全体のサイバーセキュリティ態勢を常に先進的なレベルに保つことが求められる。

引用文献

  1. 政府情報システムのためのセキュリティ評価制度(ISMAP... - NISC, 9月 29, 2025にアクセス、 https://www.nisc.go.jp/policy/group/general/ismap.html
  2. 【2024年度版】クラウドまわりの政府動向をまとめてみた - Qiita, 9月 29, 2025にアクセス、 https://qiita.com/heiyoo/items/b3c5de2c964fbe4228bb
  3. クラウド・バイ・デフォルト原則とは?わかりやすいクラウド化の指南書 - Fileforce, 9月 29, 2025にアクセス、 https://www.fileforce.jp/teamdx/a_19865/
  4. ガバメントクラウド利用検討の基本的な考え方について - GCASガイド, 9月 29, 2025にアクセス、 https://guide.gcas.cloud.go.jp/general/basic-concept
  5. 政府情報システムにおける クラウドサービスの適切な利用に 係る基本方針, 9月 29, 2025にアクセス、 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/44df7733-3df2-4e47-bf0b-85c0353c20c7/025b14b7/20250527_meeting_executive_policy_draft_04.pdf
  6. 制度案内 - ISMAP概要, 9月 29, 2025にアクセス、 https://www.ismap.go.jp/csm?id=kb_article_view&sysparm_article=KB0010005
  7. コモンクライテリアとは - 家studyをつづって, 9月 29, 2025にアクセス、 https://www.iestudy.work/entry/2019/11/11/224931
  8. コモンクライテリア(CC / ISO/IEC 15408)とは?意味を分かりやすく解説 - IT用語辞典 e-Words, 9月 29, 2025にアクセス、 https://e-words.jp/w/%E3%82%B3%E3%83%A2%E3%83%B3%E3%82%AF%E3%83%A9%E3%82%A4%E3%83%86%E3%83%AA%E3%82%A2.html
  9. ITセキュリティ評価及び認証(METI/経済産業省), 9月 29, 2025にアクセス、 https://www.meti.go.jp/policy/netsecurity/cc.html
  10. ITセキュリティ評価及び認証制度とは - サイバーセキュリティ.com, 9月 29, 2025にアクセス、 https://cybersecurity-jp.com/security-words/108411
  11. コモンクライテリア評価|株式会社 ECSEC Laboratory(公式ホームページ), 9月 29, 2025にアクセス、 https://www.ecsec.jp/smarts/index/17/
  12. CC(ISO/IEC 15408)概説 | 情報セキュリティ | IPA 独立行政法人 情報..., 9月 29, 2025にアクセス、 https://www.ipa.go.jp/security/jisec/about/about.html
  13. コモンクライテリア: 完全な概要 - Entrust, 9月 29, 2025にアクセス、 https://www.entrust.com/ja/resources/learn/common-criteria
  14. セキュリティ製品の信頼性を測る指標!コモンクライテリアの評価保証レベル(EAL)とは?, 9月 29, 2025にアクセス、 https://infomation-sytem-security.hatenablog.com/entry/common-criteria-eal
  15. コモンクライテリアとは - サイバーセキュリティ.com, 9月 29, 2025にアクセス、 https://cybersecurity-jp.com/security-words/99248
  16. 国際承認アレンジメント(CCRA)概要 | 情報セキュリティ | IPA..., 9月 29, 2025にアクセス、 https://www.ipa.go.jp/security/jisec/about/ccra.html
  17. 相互承認とは (METI/経済産業省), 9月 29, 2025にアクセス、 https://www.meti.go.jp/policy/economy/hyojun-kijun/mr/mr.html
  18. 国際相互承認の価値 | 公益財団法人 日本適合性認定協会(JAB), 9月 29, 2025にアクセス、 https://www.jab.or.jp/about_jab/international_accreditation
  19. ITセキュリティ評価・認証(ISO/IEC 15408)に関するFAQ - IPA, 9月 29, 2025にアクセス、 https://www.ipa.go.jp/security/jisec/about/faq.html
  20. コモンクライテリア - Entrust, 9月 29, 2025にアクセス、 https://www.entrust.com/ja/legal-compliance/hsm-solutions/certifications/common-criteria
  21. コモンクライテリア認証 - Thales, 9月 29, 2025にアクセス、 https://cpl.thalesgroup.com/ja/compliance/common-criteria-certification
  22. ISMAP制度の手続きの緩和等 及び 政府情報システムにおけるクラウドサービスの 適切な利用に係, 9月 29, 2025にアクセス、 https://www8.cao.go.jp/kisei-kaikaku/kisei/meeting/wg/2409_01common/241209/common04_03.pdf
  23. ISMAPとはどんな制度?取得メリットや登録申請の手順をわかりやすく解説 - さくらのクラウド, 9月 29, 2025にアクセス、 https://cloud.sakura.ad.jp/column/ismap/
  24. ISMAP(イスマップ)とは?日本の政府機関が利用するクラウドサービスのセキュリティ評価制度について解説します | assured.jp, 9月 29, 2025にアクセス、 https://assured.jp/column/knowledge-ismap
  25. ISMAPに必要な管理基準3つを解説 | ISMS(ISO27001) 基本の知識 コラム | 認証パートナー, 9月 29, 2025にアクセス、 https://ninsho-partner.com/isms/column/three-management-standards/
  26. ISMAP - BDO - 三優監査法人, 9月 29, 2025にアクセス、 https://www.bdo.or.jp/ja-jp/services/it/ismap
  27. ISMAP 管理基準マニュアル 令和3年7月12日 (令和4年7月1日最終改定), 9月 29, 2025にアクセス、 https://www.ismap.go.jp/csm/sys_attachment.do?sys_id=8c41eef9db3ed510d2b773f4f3961978
  28. 政府情報システムのためのセキュリティ評価制度(ISMAP) の概要 - NISC, 9月 29, 2025にアクセス、 https://www.nisc.go.jp/pdf/policy/general/ismap/ismapevent_20231025.pdf
  29. ISMAPとは?メリットや管理基準、登録の流れをわかりやすく解説 | ISOプロ, 9月 29, 2025にアクセス、 https://activation-service.jp/iso/column/7664
  30. ISMAPとは?取得メリット、登録申請の手順をわかりやすく解説 - LANSCOPE, 9月 29, 2025にアクセス、 https://www.lanscope.jp/blogs/cloud_security_pfs_blog/20231019_15524/
  31. ISMAPとは?クラウドサービスリストへの登録方法やISMAP-LIUの概要と併せてわかりやすく解説! | Codebook|Security News, 9月 29, 2025にアクセス、 https://codebook.machinarecord.com/info-security/certification/24347/
  32. ISMAPに登録されるメリットや登録までの流れ・期間を紹介 - SecureNavi, 9月 29, 2025にアクセス、 https://secure-navi.jp/blog/000138
  33. はじめてのISMAP - 総務省, 9月 29, 2025にアクセス、 https://www.soumu.go.jp/main_content/001002781.pdf
  34. ISMAP-LIU登録促進のための取組み - デジタル庁, 9月 29, 2025にアクセス、 https://www.digital.go.jp/policies/security/ismap-liu
  35. ISMAP 管理基準 令和2年6月3日 (令和4年4月1日最終改定), 9月 29, 2025にアクセス、 https://www.soumu.go.jp/main_content/000819995.pdf
  36. CRYPTREC Ciphers List, 9月 29, 2025にアクセス、 https://www.cryptrec.go.jp/en/list.html
  37. FIPS 140-2認証とは? - Entrust, 9月 29, 2025にアクセス、 https://www.entrust.com/ja/resources/learn/what-fips-140-2
  38. Common Criteria Compliance & FIPS 140 Validation | SafeLogic, 9月 29, 2025にアクセス、 https://www.safelogic.com/compliance/fips-140-for-common-criteria
  39. CRYPTREC暗号リストとは?種類や注意点、暗号アルゴリズムの選び方について徹底解説, 9月 29, 2025にアクセス、 https://cybersecurity-jp.com/column/38446
  40. Specifications of CRYPTREC Ciphers List, 9月 29, 2025にアクセス、 https://www.cryptrec.go.jp/en/method.html
  41. 地方公共団体のセキュリティ対策に係る国の動きと 地方公共団体の状況について - 総務省, 9月 29, 2025にアクセス、 https://www.soumu.go.jp/main_content/000907082.pdf
  42. ISMAP(イスマップ)とは? クラウドサービスの選定負荷を軽減する評価制度を解説 - ソフトバンク, 9月 29, 2025にアクセス、 https://www.softbank.jp/biz/blog/business/articles/202402/what-is-ismap/
  43. 政府情報システムにおける ゼロトラスト適用に向けた考え方, 9月 29, 2025にアクセス、 https://cio.go.jp/sites/default/files/uploads/documents/dp2020_03.pdf
  44. ゼロトラストアーキテクチャ適用方針の ガイドライン - デジタル庁, 9月 29, 2025にアクセス、 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/5589466b-5eb7-447d-9164-2cfa048a0d0f/67c7208c/20220224_meeting_security_architecture_guideline_02.pdf
  45. ゼロトラストアーキテクチャ 適用方針 - デジタル庁, 9月 29, 2025にアクセス、 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/5efa5c3b/20220630_resources_standard_guidelines_guidelines_04.pdf
  46. ゼロ トラスト アーキテクチャとは | Microsoft Security, 9月 29, 2025にアクセス、 https://www.microsoft.com/ja-jp/security/business/security-101/what-is-zero-trust-architecture
  47. IoT製品に対するセキュリティ要件適合評価・ラベリング制度を開始します | プレスリリース - IPA, 9月 29, 2025にアクセス、 https://www.ipa.go.jp/pressrelease/2024/press20240930.html
  48. IoT製品に対するセキュリティ適合性評価制度とは―IoT製品・サービスを提供する製造業へのインパクト― | PwC Japanグループ, 9月 29, 2025にアクセス、 https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/iot-conformity-assess.html
  49. 経済産業省におけるサイバーセキュリティ施策の 取組状況について - NISC, 9月 29, 2025にアクセス、 https://www.nisc.go.jp/pdf/council/cs/ciip/dai36/36shiryou0402.pdf
  50. JC-STARとは?IoT機器のセキュリティ制度を紹介, 9月 29, 2025にアクセス、 https://www.digitalsales.alsok.co.jp/col_jc-star
  51. AI セーフティに関する評価観点ガイド(第1.10 版), 9月 29, 2025にアクセス、 https://aisi.go.jp/assets/pdf/ai_safety_eval_v1.10_ja.pdf
  52. 日本政府のAI安全性確保に向けた新ガイドライン:AIセーフティ・インスティテュートが10項目の評価基準を発表, 9月 29, 2025にアクセス、 https://ledge.ai/articles/ai_safety_guidelines_evaluation_criteria_2024

本文ここまでです。

ページトップへ