ISMAPとは? ISMAP登録はなぜタイヘンなのか

ISMAPとは

ISMAP(イスマップ)は、正式名称を「政府情報システムのためのセキュリティ評価制度（Information system Security Management and Assessment Program）」といい、政府が調達するクラウドサービスのセキュリティ水準の確保を目的として運用される制度です。

政府機関は、クラウドサービスを調達する場合には原則、本制度に基づいて十分なセキュリティ水準が認定され、「ISMAPクラウドサービスリスト」に登録されたサービスより調達を行うものとされています。

ISMAP制度は下図の通り、内閣サイバーセキュリティセンター（NISC）・デジタル庁・総務省・経済産業省が所管省庁として運営し、独立行政法人 情報処理推進機構（IPA）がISMAP運用支援機関として審査等を行っています。また、IPAの審査を受ける前段階として、監査機関からの監査を受ける必要があります。監査機関は現在ISMAPポータルサイトに記載されている5つの監査法人から選択することになります。(2024年ではＥＹ新日本有限責任監査法人・有限責任監査法人トーマツ・有限責任あずさ監査法人・ＰｗＣ　Ｊａｐａｎ有限責任監査法人・三優監査法人の5監査機関)

ISMAP管理基準とは

ISMAPを取得するためには、「ISMAP管理基準」に沿ったセキュリティマネジメント活動が行われていることを監査機関による監査、およびIPAによる審査で認められる必要があります。

このISMAP管理基準は3章～18章から成り、ISO27001、27002、27014、27017などを参照して作成されています。ISMAP管理基準の一覧はJIS Q 27014:2015、JIS Q 27017:2016の２つの規格を購入した後にISMAPポータルサイトから申請することでexcelでの確認が可能になります。

各章の概要は以下の通りで、合計1159の管理策が存在します。

要求事項区分		要求事項概要	管理策数
3章	ガバナンス基準	経営陣による、組織の情報セキュリティガバナンスの実現のための要求事項。内容のイメージとしては、ISO27014:2013に定められたプロセスの箇条書きレベルが全て要求事項となったような形。	18
4章	マネジメント基準	組織における情報セキュリティマネジメントを確立し、維持・改善するための要求事項。大まかな内容はISO27001の本文に近しいが、箇条書きで細かな要求事項が追加されている。	64
5章～18章	管理策基準	具体的なセキュリティ管理策についての要求事項。章構成としてはISO:27001:2013の附属書AおよびISO27002:2013と同様。 それぞれの章における管理策の構成としては、3桁の管理策の下に4桁の詳細管理策が紐づく形となっている。（例えば5.1.2の下に、5.1.2.1～5.1.2.4が紐づく） 内容のイメージとしては、3桁管理策は概ねISO:27001:2013の附属書A、および27017のCLDと同一。4桁管理策は27002:2013や、27017の「実施の手引き」の文章を、一文ずつに分解して要求事項化したような形で、非常に細かい対応が求められる。	1077

これらのうち、3章・4章に含まれるガバナンス・マネジメント基準は原則として全ての管理策を採用する必要があります。

5章～18章については、3桁管理策は原則採用が求められますが、自社サービスに全く関連しない場合などには非採用も認められます（例えばIaaS上で構築されたサービスの場合、11章の物理的セキュリティに関する内容の一部は、3桁レベルで非採用とするなど）。

また、採用した3桁管理策に紐づく4桁管理策については、基本的に内容に応じて採用・非採用を選択する形となります。ただし末尾にBが付く管理策（X.X.X.X.B、X.X.X.X.PB）については原則採用が求められます。

ここで注意が必要になりますが、4桁管理策の非採用については全て非採用理由を言明することが求められており、前述した自社サービスに関連しない場合や他の管理策で十分な統制が取れている場合等も含め、詳細な非採用理由が必要となってきます。非採用理由が十分に説明がつくものでない場合は非採用が認められないため、通常のサービスの場合全体の7割程度は採用が求められるケースが多いです。

ISMAP登録のためのプロセス(ISMAPの取得方法)

ISMAP登録のために、事業者が取るべきプロセスは、概ね以下の流れとなります。

各プロセスの内容、ポイントなどを以下に記します。

ISMAP管理基準に沿ったセキュリティマネジメントシステムの構築・運用

監査・審査に向けて、ISMAP管理基準への対応を行っていきます。具体的には管理基準で求められる事項が記載された規程・手順及びそれに沿った実際の証跡・記録類の準備です。また、個別管理策と呼ばれるISMAP管理基準に対して自社で実施している内容についても記載する必要があります。

ISMS認証やISMSクラウドセキュリティ認証を取得している事業者様であれば、大枠の対応はされているはずではありますが、先述の通りISMAPは非常に細かい内容を要求されます。

例えば4章マネジメント基準では、以下のような要求があります。

———

4.4.8.4

組織は、情報セキュリティリスク対応計画を策定する。

a)情報セキュリティリスク対応計画には、以下を含む。

• ・期待される効果を含む、対応選択肢選定の理由
• ・情報セキュリティリスク対応計画の承認者及び対応計画の実施責任者
• ・対応内容
• ・必要な資源
• ・費用・労力、制約
• ・後日の報告、監視に必要な要求事項
• ・対応工程における節目ごとの目標
• ・対応時期及び日程

（後略）

———

この管理策の場合、箇条書きの全てに対応する規程・記録が求められることとなります。一般的なISMS認証の場合、そこまで細かく対応せずとも審査は通過可能であるため、ほとんどの事業者様で追加対応が必要となります。

このような管理策が多数存在するため、ISMS認証等を取得している事業者様であっても、規程・手順書類や記録様式等、および運用の大幅な修正が必要となります。まして、これらの認証を取得していない場合はゼロベースでマネジメントシステムの構築が必要となり、多大な工数が必要となります。

また、以下のような理由から、そもそも監査等に向けてどのような対応をすれば良いのかも非常に分かりづらいものになります。

• ・抽象的、かつ日本語としても分かりづらい管理策が多い
• ・監査において提示すべき証跡の種別が公表されておらず、何をどこまで準備すれば良いのかが明確でない
• ・管理策ごとのスコープの切り方や求められる証跡の粒度などが、監査機関によってまちまちな部分がある

当社では、数々のISMAP登録支援実績を基に蓄積された知見より、これらの点を踏まえたマネジメントシステム構築を支援しています。

また多くの監査機関では、実際の監査(本監査)の前段階として予備調査(予備監査)のサービスを展開しており、その中で本監査で提示する証跡が適切かどうか、スコープの切り方の認識が正しいか等を確認することができるため、そちらも併せて利用されるのが安全です。

監査機関による監査

監査機関によるISMAP監査は、整備状況評価・運用状況評価の2ステップが存在します。

また、監査対象期間を監査機関と調整の上定めた上で、各種証跡等は原則として監査対象期間内のものを提示する必要があります。

整備状況評価

運用状況評価

ISMAP監査においては、全ての管理策に対して証跡が必要となります。これには、マネジメントシステム上で定めた記録様式だけではなく、日常の運用の中で生じた様々な記録が含まれます。例えば下記のようなものが挙げられます。

• ・アカウント発行時の初期パスワード通知記録（メールやSlack等のキャプチャ）
• ・本番環境における作業の申請・承認記録（Jiraのチケット等）
• ・システムの各種ログ

こういった具体的な証跡の収集・提示については、事業者様側でご対応いただく必要があり、特にシステムご担当者様に多大な工数が発生します。

当社では、可能な限り事業者様側での負担を軽減すべく、監査機関からの質問事項等の課題の整理、当社側で対応可能な部分の証跡収集支援等のコンサルティングも実施しています。

IPAによる審査・ISMAPクラウドサービスリストへの登録

手続き上、監査法人による監査が完了した後にIPAへ申請し、審査を受けることとなります。しかし、監査法人とIPAの見解が異なることも多々あります。例えば、管理策の非採用についての妥当性やスコープの設定方法などについて、IPAからさまざまな質問（実質的な指摘）が入ることがほとんどです。

そのため、実際には監査後に初めてIPAに申請するのではなく、監査前や監査中に随時IPAに問い合わせを行い、細かい点のすり合わせを行うことが一般的です。

しかし、そもそもIPAに問い合わせるためには、実際にISMAP登録を申請する意思があることを示す必要があり、ドラフト版でも良いので各種申請書・言明書等を作成・提出する必要があります。そして、言明書を提出したことにより、質問していない箇所についても、IPA側から逆に様々な質問・指摘が入ることになります。（さらにIPAからの質問は、解釈に苦労するようなものも少なくありません。）

こちらの質問の対応をクリアしてようやくISMAPのクラウドサービスリストに登録されることになります。ISMAPクラウドサービスリストに登録されるまでには、監査機関による監査が完了した後おおむね6ヶ月程度はかかっているのが現状です。最大で1年近くかかるケースもあるようですので、余裕を持った取り組みが必要となります。

当社では申請書等の作成やIPAとのやり取りに関するアドバイザリーなど、包括的なコンサルティングを実施しています。当社のISMAP認定支援サービスにつきましてはお気軽にお問い合わせ下さい。

ISMAP取得のための費用

ISMAP登録のために対応すべき内容は管理策数が多く内容もわかりづらいことはお伝えしてきた通りですが、管理策数が多い・ほぼ全ての管理策について証跡を監査されることから、ISMAP登録には多大な費用と工数が発生します。

監査機関によるISMAP監査全体の期間・工数はISMS等の認証と比較すると30倍～50倍くらいかかります。通常のISMS等の審査は一次審査・二次審査を合わせても5日間程度が平均ですが、ISMAP監査では予備調査等も含めると1年程度の期間が平均となります。もちろん1年間常時監査をしているわけではないため単純比較はできませんが、数十倍の監査工数は発生していると考えてよいでしょう。

監査工数が数十倍かかること、かつ監査は大手監査法人が対応することから必然的にISMAP登録のための監査費用はISMS等の数十倍になります。監査法人・監査工数等によって異なりますので詳細は問い合わせいただくのがよいでしょう。

監査費用と合わせてコンサル会社を利用してコンサルティングを受ける場合にはその費用も発生し、こちらも工数によりますがISMS等の認証の費用からは大幅に増加します。また、社内リソースを追加する場合はその分の人件費が発生します。

これらの費用全体を合計するとISMAP取得全体にかかる費用は数千万円～となるのが一般的です。とりあえず取得しようというレベルの認証ではないことがおわかりかと思います。

ISMAP登録に向けた対応

以上のように、ISMAPを取得するためには非常に多くの課題や作業が発生し、かつISMAP管理基準がわかりづらいため、自社のみで対応することが難しい認証の一つとなっています。一般的に日本国内で取得可能なセキュリティ・セキュリティマネジメントに関する認証の中で、現在取得が最も難しい認証であると言えます。また、リソースが必要なため全体の費用・コストも他のISO認証と比較にならないほどのボリュームとなります。当社では、マネジメントシステムの構築段階から最終的な登録まで、お客様のリソースや負担を少しでも軽減できるよう包括的なコンサルティングをおこなっています。

サポートプランは、基本的には下記のような流れとなります。

ISMAPコンサルサービスに関するお問い合わせは、下記の【お問い合わせフォーム】よりお気軽にお送りください。ISMAP-LIUについても対応しております。

ISMAP登録支援に関するご質問・ご相談・お見積もりは無料です。