SERVICE
ISMAP登録支援サービスの概要ISMAP取得により信頼できる高品質のクラウドサービスへ
ISMAP(イスマップ)は、内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室・総務省・経済産業省が運営する、政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)の通称です。 2018年6月に、政府は「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を定め、政府情報システムを整備する際には、クラウドサービスを第一候補とする、「クラウド・バイ・デフォルト原則」が示されました。その一方で、諸外国と比較した場合、日本は国家としてクラウドサービスの安全性を評価・認定する仕組みが存在しておらず、評価・認定制度を検討することになりました。
ISMAPは、政府の求めるセキュリティ要求を満たしたクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。本制度により、各政府機関等が、一定の情報セキュリティ対策の実施が確認されたクラウドサービスを効率的に調達可能とすることが期待されています。
本制度により、各政府機関等が、一定の情報セキュリティ対策の実施が確認されたクラウドサービスを効率的に調達可能とすることが期待されており、2024年5月時点では約70サービスが登録されていますが、その多くが世界的な、または日本最大手規模のプラットフォーマー企業のサービスであり、中小規模の企業のサービス、特にSaaSはごく一部となっています。
ISMAPクラウドサービスリストは一般に公開されるので、政府情報システムの調達のみならず、地方公共団体や民間企業がクラウドサービスを選定する場面においても活用される可能性があります。ISMAP登録簿にクラウドサービスが登録されることは数兆円規模に達する国内クラウド市場に参入する上で重要な要素となり得る現状です。
インターネットプライバシー研究所では、ISMAP取得を予定しているお客様に対し各種ISMAPコンサルティングサービスをおこなっています。ご支援内容についてはお客様によりカスタマイズした内容となりますので、必要なご支援のみをご提供可能です。
SOLUTION
ISMAP対応で直面する課題とその解決課題
約1200項目の「管理策基準」への対応
ISMAP登録の為に満たさなければならないルールや管理体制がまとめられた約1200項目の設問に対応するには、管理策の解釈など専門的な知識が必要とされています。
解決
豊富なISMAP登録支援実績に基づくアセスメント実施・対応案の提示
ISMAP支援から得た知見を基に、各管理策の解釈を当社のコンサルタントが具体的にアドバイスした上で、現状とのGapを洗い出し、課題を明確化します。特定された課題については対応案を提示し、管理策基準に適合するよう支援します。
課題
監査機関・IPA等への対応工数
ISMAPの監査においては、約1200項目の管理策の内、採用した全ての管理策について、適合していることを表明するための言明(個別管理策)の作成、および証跡となる規程類や記録類を提示する必要があります。これらの準備作業自体はもとより、膨大なタスクを管理するだけでも相当な工数が必要です。また監査後、IPAへの申請段階でも、IPAから詳細な確認を受けるケースも多いです。これらへの対応も含めると、必要な工数は膨大なものとなります。
解決
より実務的な支援の提供
当社では全体のプロジェクト管理や、言明案の作成・証跡準備といった実務的対応を含め、ISMAP登録までの各種対応をフルサポートする体制が整っています。これにより、貴社担当者の工数を大幅に削減することが可能です。
FEATURE
ISMAPコンサルティングサービスの特徴約1200項目のISMAP管理基準対応へのアドバイス
上記の通り、ISMAP登録にあたってはISO/IEC 27017認証やCSマーク認証よりも遥かに多い約1200項目もの管理策が要求される中で、まずこれらの管理策を正確に理解し対応するための難易度が高く、さらに対応していることを監査で証明するための膨大な工数を準備することは、困難を極めます。監査・コンサルの費用負担はもとより、こうした工数負担も、中小規模の企業のISMAP登録が進まない大きな要因と考えられます。
当社は、ISMAP制度の開始直後からの豊富な支援実績から得た専門的知見の提供はもちろん、プロジェクト管理・言明案の作成・証跡準備といった実務的対応についてもお客様と伴走することで、工数の削減にも寄与することが可能です。その結果、ISMAP登録サービスとしては比較的小規模な企業のSaaSを含め、数々のサービスのISMAP登録を実現しており、コンサルティング支援実績は審査中のサービスも含め8社(2025年現在)となっています。これまでの支援実績や、ISMAPに関するご相談はお問い合わせフォームよりご連絡下さい。
これまでの支援実績や、ISMAPに関するご相談はお問い合わせフォームよりご連絡下さい。
FLOW
ISMAP取得支援の流れセキュリティ体制の安全面を高めながら、ISMAP登録まで丁寧にサポート
- 1.ISMAP基準とのFit-Gap分析(3~5ヶ月)
- 当社のコンサルタントが、ISMAPの管理策基準の解釈について説明しながら、お客様の現状をヒアリングし、管理策基準とのGapを洗い出します。また、実態にそぐわない管理策についての採否決定の方針についても助言します。洗い出されたGapについては、監査に向けた対応方針案まで提示します。
- 2.ISMAP基準への対応(約12ヶ月)
- Fit-Gap分析で洗い出した課題への対応、および各管理策への言明内容の作成や証跡準備を支援します。ISMAP登録に向けて、最も工数のかかる期間となりますが、タスク管理や、言明案作成・規程類の修正含めた証跡準備支援など、当社側で対応可能な部分は可能な限り対応することで、貴社工数削減に寄与します。なお、監査法人側で予備調査のサービスを提供している場合には、本期間中に並行して予備調査を実施し、監査法人側の意見とすり合わせながら対応を進めるケースが多いです。
- 3.監査対応(約6ヶ月)
- 監査法人による監査にあたり、監査中の質問事項への対応方針の助言、監査後の指摘事項への改善対応支援を行います。
- 4. ISMAP登録申請
- お客様に登録申請書類を作成いただきます。その際に必要な書類の準備、内容のチェックといった支援をおこないます。また、申請前後にIPAから詳細な確認が入ることがありますが、その場合の回答内容の助言等も対応します。
- ISMAPクラウドサービスリストへの登録完了(ISMAP認定)
- ※支援内容により上記期間と異なる場合がございます。
サービスに関するお問い合わせは、下記の【お問い合わせフォーム】よりお気軽にお送りください。 ISMAP支援に関するご質問・ご相談・お見積もりは無料です。
FAQ
よくある質問Q. ISMAP認証を取得したいが、どこから着手すればいいか分からない。
A. ISMAPの要求事項は多岐に渡るため、当社コンサルサービスによりGAP分析と合わせやるべきことを明確化します。
Q. ISMAPの要件(クラウドサービスセキュリティ評価制度)に適合するための文書が整っていない。
A. 当社のフルサポートサービスでは規程文書の作成などもご要望に応じて対応致します。
Q. ISMAP対応に精通したコンサルタントにサポートしてほしい。
A. 当社のコンサルタントはISMAP案件対応実績が多数ございます。またISMAPに対する知識だけではなくエンジニア視点でのコンサルティングを重視しており、AWS・Azure・GoogleCloud等のプラットフォームにも精通した人員が対応致します。
