Cloudflare(クラウドフレア)は2026年1月15日、政府情報システムのためのセキュリティ評価制度(ISMAP)への正式登録を完了したと発表しました。これによりCloudflareは、日本国内の政府機関をはじめ、規制の厳しい業界に対して、セキュアかつレジリエントで高性能なソリューションを提供できる体制が整った、としています。
目次
概要
ISMAPは、政府が利用するクラウドサービスの安全性を統一基準で評価・登録する制度で、実務上は日本政府の調達における必須基準として機能しています。Cloudflareは、この厳格な評価を終え、公共部門の信頼できるパートナーとしての地位を確立したと明確に記載しています。
また、Cloudflare側は、公共部門向けの提供として「Cloudflare for Government」を前面に出しており、データ局所性(国内での復号・処理、鍵の国内保管)や、ゼロトラスト、CDN/WAF/DDoS対策などを含む幅広いサービス群が対象になっている点を特徴として挙げています。
Cloudflareが挙げる主な提供要素
-
データ局所性:国内の拠点でのみ復号・処理する運用、鍵を国内に保管する運用を可能にする仕組み
-
グローバル規模とローカル管理の両立:国内に拠点を置きつつ、グローバルなネットワーク規模で性能を担保する考え方
-
対象サービスの広さ:CDN、WAF、DDoS対策といった基盤に加え、ゼロトラスト系(セキュアWebゲートウェイ、リモートブラウザ分離など)や、サーバーレス(Workers)のような領域も含め、公共部門ニーズをカバーする構成
ISMAPとは
ISMAPとは、政府が利用するクラウドサービスの安全性を統一基準で評価し、登録する制度です。
政府調達の現場では、ISMAP登録が“推奨”ではなく事実上の必須条件として扱われる場面が増えており、公共部門マーケットに参入するクラウド事業者にとっては避けて通れない制度になりました。
ISMAPが重いのは、単にセキュリティ機能を揃える話ではなく、ガバナンス・マネジメント・管理策の3層にわたって「組織として安全に運用できる」ことを、文書と証跡で示し続けることが求められる点です。特に管理策基準は1,000項目超と細かく、文書化と運用証跡(ログ、記録、手順、承認履歴など)の準備が大きな工数になります。
ISMAPは登録/運用自体が高額
ISMAP登録は申請手数料そのものよりも、周辺コストが支配的です。典型的には次の4つが積み上がります。
-
外部監査費用(最も大きくなりやすい)
-
コンサル費用(ギャップ分析、文書化、監査対応支援など)
-
内部工数(複数部門を跨ぐため人件費換算で重い)
-
技術対策費用(ログ基盤、診断、設定見直し、ツール導入など)
その結果、通常版ISMAPでは初期が数千万円〜1億円弱に達し、登録後も毎年の監査や維持で年間数千万円規模が発生し得ます。影響度の低いSaaS向けに範囲を絞ったISMAP-LIUは費用がさらに下がりますが継続監査・運用証跡が必要という部分は変わりません
ISMAP登録企業の例
海外メーカー(主要なグローバルベンダー)
世界的なシェアを持つ「ハイパースケーラー」と呼ばれる事業者や、主要なSaaSベンダーが登録されています。
-
Amazon Web Services (AWS)
-
インフラ基盤(IaaS)からデータベース、AIサービスまで多岐にわたるサービスが登録されています。
-
-
Microsoft (Azure / Microsoft 365)
-
クラウドプラットフォームのAzureに加え、Microsoft 365などの業務SaaSも対象です。
-
-
Google (Google Cloud / Google Workspace)
-
Google Cloud Platform (GCP) およびグループウェアのGoogle Workspaceが登録されています。
-
-
Oracle
-
Oracle Cloud Infrastructure (OCI) などが登録されています。
-
-
Salesforce
-
顧客管理(CRM)をはじめとする各種SaaSクラウドが登録されています。
-
-
Box
-
コンテンツクラウド(ファイル共有・管理)として登録されています。
-
国内メーカー(主要な通信キャリア・SIer)
日本の法律や商習慣に合わせたきめ細かいサポートを提供する、国内大手IT企業やデータセンター事業者が登録されています。
-
NTTグループ
-
NTTデータ: OpenCanvas など
-
NTTコミュニケーションズ: Smart Data Platform など
-
NTT西日本/東日本: 地域エッジクラウドなど
-
-
富士通 (Fujitsu)
-
FUJITSU Hybrid IT Service FJcloud など
-
-
NEC
-
NEC Cloud IaaS など
-
-
日立製作所 (Hitachi)
-
北海道大学などと連携したクラウドサービスや、Managed Cloud など
-
-
ソフトバンク (SoftBank)
-
ホワイトクラウド ASPIRE など
-
-
さくらインターネット
-
さくらのクラウド(ガバメントクラウドとしても認定)
-








