事例紹介 - クライアント名 (プライマリ) | 目標
top of page

事例紹介

株式会社アシュアード

株式会社アシュアード様がISMAPクラウドサービスリストに登録するまでの道のりを紹介します。

「yamory」が挑んだISMAP登録 ── 未知の制度に、専門家との二人三脚で


株式会社アシュアード(「ビズリーチ」を運営する、東証プライム市場上場のVisionalグループ企業)

  • yamory事業部 事業部長 山路 昇 様(ISMAPプロジェクト責任者)

  • yamory事業部 プロダクト開発部 部長 鈴木 康弘 様(ISMAPプロジェクト現場責任者)

  • yamory事業部 情報セキュリティ担当 石坂 匠 様(ISMAPプロジェクト担当)


ソフトウェアに含まれるオープンソース(OSS)の脆弱性や、ITインフラの脆弱性を自動で検知・管理するクラウドサービス「yamory」を展開する株式会社アシュアード。近年、サイバー攻撃の高度化・巧妙化に伴い、官公庁や自治体などの公的機関においても、DXの推進と同時に、極めて高いレベルのセキュリティ対策が求められている中で、特にソフトウェアの脆弱性対策は、サプライチェーンリスク管理の観点からも喫緊の課題となっています。そんな中、お客様に安心して「yamory」を使っていただきたいという想いから、公的機関の調達要件として事実上必須となりつつあるISMAP(政府情報システムのためのセキュリティ評価制度)への登録を決意しました。

プロジェクトを推進したのは、yamory事業部の山路様、鈴木様、石坂様の3名。管理項目の膨大さや要求事項の難解さなど、ISMAP特有の難しさに、どう対応し、どう乗り越えたのか。登録までの背景と、今後の展望を伺いました。

interviewee1

政府・重要インフラからの信頼を見据えて ── ISMAP登録への第一歩



ー はじめに、ISMAPへの参画を目指すことになった経緯を教えてください。


山路様

昨今増加しているセキュリティ事故による被害が深刻化する中で、様々な業界で情報セキュリティへの意識が高まり、クラウドサービスにおいても、より高セキュリティなサービスが求められていると感じていました。

また、「yamory」のサービス提供当時は、SaaS提供事業者様にご利用いただくケースが多かったのですが、年月が経つにつれて、重要インフラに関わるようなお客様が少しずつ多くなってきました。そのような重要インフラに関係するお客様との会話の中で、ISMAP登録サービスが推奨されるという話も出始めており、そういったお客様に信頼いただきたいという想いで、約2年前、ISMAPへの登録を目指す決断をしました。

interviewee2

ISMSとは大きく異なったISMAP対応


ーISMAP対応プロジェクトはどのような体制で進められましたか?


鈴木様

プロジェクト開始当時の体制としては、アシュアード社全体というよりもyamory事業部の中で関係しそうなメンバーで進めていました。特に、ISMAP対応に向けて「何を新しく開発しなければいけないのか」という課題がサービスへの影響として大きかったので、開発を担う私を中心に動いていました。加えて、プロダクトに直接関わらない部分については、Visionalグループのセキュリティ室に支援してもらっていました。

もともとISMAPを取る前にISMS認証を取得していたので、同じような流れでISMAPも取れるだろうと考えていましたが、対応すべき項目は想像以上に多岐にわたっていました。


山路様

実際に動き出してみると、プロジェクトが想像以上に進みませんでした。我々が講じているセキュリティ対策の状況をISMAPのルールに則る形で外部の監査機関に表明・説明できる状態に仕上げていくのは、想定をはるかに超えて大変でした。

また、ISMAP管理策の一つひとつが抽象度高く書かれており、「当社でいうと何を対象とし、どこまで対応すべきなのか」という明確な指示があるわけではありません。ニュアンスを理解して具体化できる経験者が近くにいないと進まない、という危機感を強く感じました。



ーVisionalというグループの一員である点で、何か難しさはあったのでしょうか?


山路様

ISMAPはクラウドサービス単位で取得するものですが、ISMAP管理策では、人事に関するセキュリティ対策等、グループ共通で管理されている部分も含まれていました。そうした領域はアシュアード社やyamory事業部だけでは証跡すら用意することが出来ず、多方面に協力を仰がないといけませんでした。グループ内のどの部に対して、どのように調整をかけるかを常に考えながら動かなければならなかったのは、グループ企業ならではの難しさだったと思います。


鈴木様

そもそも、グループ側に元々存在する業務フローのままではISMAPの要件を満たせない、という部分もいくつかありました。だからこそ、グループ各所に協力を仰ぐ必要があり、たくさんの協力をいただきながら「yamory」のISMAP登録にまで漕ぎ着けることができました。



膨大な管理項目にどう挑むか――初回登録における「全体像の把握」の難しさ


ー初回登録に向けて、どのような課題や不安がありましたか?


鈴木様

初期の段階で「どこまでやらなければいけないのか」という肌感がまったくありませんでした。全体像が見えなかったことが、何よりまずかったですね。進まないし、進んでも正解か分からない。一歩進んだのか何歩進んだのかも分からず、進捗が見えない状態でした。


山路様

ISMAP管理策に記載されている要求事項の意味は分かっても、それを自分たちの業務に落とし込んだときに「何が問題で、何を変えなければいけないのか」を言語化・具体化するスキルが社内になかったです。

例えば、「アクセス権管理」と言われても、そもそもどのシステムが対象なのかが書かれていないのでイメージが付かないのです。なんとなく「こういう理解でいいのかな」と思っても、最後に必ず「はてな」が付いてしまう。経験がないので、社内で進捗を説明してもらっても肌感覚として掴めない、という状態がしばらく続きました。



「藁にもすがる思い」で頼った、制度を知り尽くした専門家


ー弊社の支援を通じて、印象に残っていることはありますか?


鈴木様

選定当初から、ISMAP制度に対して深く、正確な知識があるということを感じ、この人たちに頼めば間違いない、という感覚は最初からドンピシャで持つことができ、まさに藁にもすがる思いでした。

特に、監査対応において監査機関との折衝に入り込んでいただいたのは本当に助かりました。我々は監査される側なので、監査機関とのコミュニケーションにおいて何をどのように伝えるべきかが分かりませんでした。間に入り、客観的な立場からコメントをいただけたのは本当にありがたかったです。専門家に任せてよかった、、、その一言に尽きます。


山路様

その他にも、最初に自分たちでやっていたメモ書きのようなGap分析の途中結果をお渡ししただけなのに、そこから精緻なヒアリング等を通じ、言明書の原案を作成いただきました。それだけではなく、証跡を提出するところまで丁寧に伴走いただけたので、本当に助かりました。ノウハウがある人が内側にいないと進まないなと痛感すると同時に、「これでまず進められるかもしれない」という感触を得られたことを今でも覚えています。



ISMAPを通じて、一段も二段も上がったセキュリティ意識


ーISMAP登録の取り組みを通じて、社内にどのような変化がありましたか?


石坂様

我々はセキュリティSaaSの提供事業者ということもあり、もともとメンバーひとりひとりのセキュリティ意識は他の事業と比べて高い方だと自負しています。それでも、ISMAP対応を通じてさまざまな業務フローへの理解を深めたことで、全員のセキュリティ意識がさらに一段も二段も上がったと感じています。今の時代、セキュリティ事故がいつどのように起きるか分からないので、その意識が組織に根づいたことは大きな変化だと思います。

interviewee3

「ISMAPに登録されています」と言える強み


ー登録後、外部からの見られ方や調達機関との関係に変化はありましたか?


鈴木様

2026年2月に登録されたばかりなので、劇的な変化があるとするとこれからと思っています。ただ、政府機関の方とは格段に話がしやすくなりました。「ISMAPに登録されている」ことを前提に話を進めていただけるようになったのは、確かな変化です。


石坂様

ISMAPを取得していないと、政府機関や独立行政法人様などに対してISMAPベースのようなセキュリティチェックシート対応を求められることもあり、出来ていない部分は改善案まで提出しなければ調達の話が進まないこともあります。何百項目もあるチェックシート対応を個別に問われるわけです。それを一発で「ISMAPに登録されています」と言えるのは、本当に大きいですね。



公共・重要インフラへ ── 信頼を武器に次の成長へ


ー今後、ISMAP登録をどのように活かしていくお考えですか?


鈴木様

もともとの目的であった官公庁や重要インフラといった領域には、もちろん積極的に参入したいと考えています。さらにその実績をもって、直接ISMAPを求めているわけではない企業様に対しても、「信頼できるセキュリティ製品としての『yamory』」を打ち出していけたらと思っています。


ー今後の「維持」フェーズにおいて、弊社に期待することがあれば教えてください。


石坂様

私は2025年12月にジョインしたので、これからが本格的なISMAP対応となります。しかし、監査機関様による予備調査や本監査のこれまでのタイムラインが、後からジョインした私にも全て見える状態だったので、スムーズに合流できました。2年という長い期間ご一緒してきたからこそ築けたコミュニケーションの成果だと感じていて、非常に心強く思っています。これからの更新監査についても、監査機関様との会話に「共闘」という形で一緒に臨み、力添えいただけることを、とても心強く感じています。

また、ISMAPへの登録を単に維持するだけでなく、自社のセキュリティをレベルアップさせる機会と捉えたいと思っています。組織のスケールや内情に合わせてセキュリティを見直していく上で、セキュリティ対策をガチガチに固めつつサービスの成長スピードも維持する、という難しいバランスが求められます。前例踏襲ではなく、一緒に最適解を探しながら支えていただければと思っています。

―本日は貴重なお話を誠にありがとうございました。


山路様・鈴木様・石坂様

ありがとうございました。

​インタビュー時期:

2026年5月12日

文中の会社名・役職等は取材当時のものです。

写真左から、東海林(X-Regulation)、山路様(アシュアード)、鈴木様(アシュアード)、石坂様(アシュアード)

X-Regulation.jpg

会社名称:株式会社アシュアード

https://assured.jp/company

あなたの組織もISMAP登録を実現しませんか?

X-Regulationは、ISMAP登録に必要な専門知識と経験を持つプロフェッショナルチームと、効率化を実現するCompliance Wizardを組み合わせた支援で、確実なISMAP登録を実現します。

bottom of page