TOP > ナレッジ > ISMAPとは? ISMAP登録はなぜタイヘンなのか

ISMAPとは? ISMAP登録はなぜタイヘンなのか

ISMAPとは

ISMAP(イスマップ)は、正式名称を「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)」といい、政府が調達するクラウドサービスのセキュリティ水準の確保を目的として運用される制度です。

政府機関は、クラウドサービスを調達する場合には原則、本制度に基づいて十分なセキュリティ水準が認定され、「ISMAPクラウドサービスリスト」に登録されたサービスより調達を行うものとされています。

ISMAP制度は下図の通り、内閣サイバーセキュリティセンター(NISC)・デジタル庁・総務省・経済産業省が所管省庁として運営し、独立行政法人 情報処理推進機構(IPA)がISMAP運用支援機関として審査等を行っています。また、IPAの審査を受ける前段階として、監査機関からの監査を受ける必要があります。監査機関は現在ISMAPポータルサイトに記載されている5つの監査法人から選択することになります。

ISMAP管理基準とは

ISMAPを取得するためには、「ISMAP管理基準」に沿ったセキュリティマネジメント活動が行われていることを、監査機関による監査、およびIPAによる審査で認められる必要があります。

このISMAP管理基準は3章~18章から成り、ISO27001、27002、27014、27017などを参照して作成されています。

各章の概要は以下の通りで、合計1159の管理策が存在します。

要求事項区分要求事項概要管理策数
3章ガバナンス基準経営陣による、組織の情報セキュリティガバナンスの実現のための要求事項。内容のイメージとしては、ISO27014:2013に定められたプロセスの箇条書きレベルが全て要求事項となったような形。18
4章マネジメント基準組織における情報セキュリティマネジメントを確立し、維持・改善するための要求事項。大まかな内容はISO27001の本文に近しいが、箇条書きで細かな要求事項が追加されている。64
5章~18章管理策基準具体的なセキュリティ管理策についての要求事項。章構成としてはISO:27001:2013の附属書AおよびISO27002:2013と同様。
それぞれの章における管理策の構成としては、3桁の管理策の下に4桁の詳細管理策が紐づく形となっている。(例えば5.1.2の下に、5.1.2.1~5.1.2.4が紐づく)
内容のイメージとしては、3桁管理策は概ねISO:27001:2013の附属書A、および27017のCLDと同一。4桁管理策は27002:2013や、27017の「実施の手引き」の文章を、一文ずつに分解して要求事項化したような形で、非常に細かい対応が求められる。
1077

これらのうち、3章・4章に含まれるガバナンス・マネジメント基準は原則として全ての管理策を採用する必要があります。

5章~18章については、3桁管理策は原則採用が求められますが、自社サービスに全く関連しない場合などには非採用も認められます(例えばIaaS上で構築されたサービスの場合、11章の物理的セキュリティに関する内容の一部は、3桁レベルで非採用とするなど)。

また、採用した3桁管理策に紐づく4桁管理策については、基本的に内容に応じて採用・非採用を選択する形となります。ただし末尾にBが付く管理策(X.X.X.X.B、X.X.X.X.PB)については原則採用が求められます。

ここで注意が必要になりますが、4桁管理策の非採用については全て非採用理由を言明することが求められており、前述した自社サービスに関連しない場合や他の管理策で十分な統制が取れている場合等も含め、詳細な非採用理由が必要となってきます。非採用理由が十分に説明がつくものでない場合は非採用が認められないため、通常のサービスの場合全体の7割程度は採用が求められるケースが多いです。

ISMAP登録のためのプロセス(ISMAPの取得方法)

ISMAP登録のために、事業者が取るべきプロセスは、概ね以下の流れとなります。

  • STEP 1ISMAP管理基準に沿ったセキュリティマネジメントシステムの構築・運用
  • STEP 2監査機関による監査
  • STEP 3IPAによる審査
  • STEP 4ISMAPクラウドサービスリストへの登録

各プロセスの内容、ポイントなどを以下に記します。

ISMAP管理基準に沿ったセキュリティマネジメントシステムの構築・運用

監査・審査に向けて、ISMAP管理基準への対応を行っていきます。具体的には管理基準で求められる事項が記載された規程・手順及びそれに沿った実際の証跡・記録類の準備です。

ISMS認証やISMSクラウドセキュリティ認証を取得している事業者様であれば、大枠の対応はされているはずではありますが、先述の通りISMAPは非常に細かい内容を要求されます。

例えば4章マネジメント基準では、以下のような要求があります。

———

4.4.8.4

組織は、情報セキュリティリスク対応計画を策定する。

a)情報セキュリティリスク対応計画には、以下を含む。

  • ・期待される効果を含む、対応選択肢選定の理由
  • ・情報セキュリティリスク対応計画の承認者及び対応計画の実施責任者
  • ・対応内容
  • ・必要な資源
  • ・費用・労力、制約
  • ・後日の報告、監視に必要な要求事項
  • ・対応工程における節目ごとの目標
  • ・対応時期及び日程

(後略)

———

この管理策の場合、箇条書きの全てに対応する規程・記録が求められることとなります。一般的なISMS認証の場合、そこまで細かく対応せずとも審査は通過可能であるため、ほとんどの事業者様で追加対応が必要となります。

このような管理策が多数存在するため、ISMS認証等を取得している事業者様であっても、規程・手順書類や記録様式等、および運用の大幅な修正が必要となります。まして、これらの認証を取得していない場合はゼロベースでマネジメントシステムの構築が必要となり、多大な工数が必要となります。

また、以下のような理由から、そもそも監査等に向けてどのような対応をすれば良いのかも非常に分かりづらいものになります。

  • ・抽象的、かつ日本語としても分かりづらい管理策が多い
  • ・監査において提示すべき証跡の種別が公表されておらず、何をどこまで準備すれば良いのかが明確でない
  • ・管理策ごとのスコープの切り方や求められる証跡の粒度などが、監査機関によってまちまちな部分がある

当社では、数々のISMAP登録支援実績を基に蓄積された知見より、これらの点を踏まえたマネジメントシステム構築を支援しています。

また多くの監査機関では、実際の監査(本監査)の前段階として予備調査(予備監査)のサービスを展開しており、その中で本監査で提示する証跡が適切かどうか、スコープの切り方の認識が正しいか等を確認することができるため、そちらも併せて利用されるのが安全です。

監査機関による監査

監査機関によるISMAP監査は、整備状況評価・運用状況評価の2ステップが存在します。

また、監査対象期間を監査機関と調整の上定めた上で、各種証跡等は原則として監査対象期間内のものを提示する必要があります。

整備状況評価

「情報セキュリティに関する内部統制が ISMAP 管理基準に沿ってデザインされ、実際の業務に適用(実装)されているかを確かめるための評価」とされています。具体的な対応としては、各管理策ごとに自社の対応(個別管理策)を記載した「言明書」を作成した上で、実態が管理基準および個別管理策に沿っているかについて、監査基準に従い求められる証跡を確認されます。証跡は規程・手順書類の他、自社側でサンプリングした記録類等の証跡も必要となります。

運用状況評価

「情報セキュリティに関する内部統制が、手続の対象期間にわたってデザイン通り運用されているかを確かめるための評価」とされています。具体的な対応としては、整備状況評価の際に提示した記録類等の証跡について、監査対象期間内に発生した全てのものを母集団として提示し、その中から監査法人側でサンプリングの上確認されます。なお、規程類等のみが証跡となる管理策については除外されるなど、全管理策が運用状況評価の対象となるわけではありません。

ISMAP監査においては、全ての管理策に対して証跡が必要となります。これには、マネジメントシステム上で定めた記録様式だけではなく、日常の運用の中で生じた様々な記録が含まれます。例えば下記のようなものが挙げられます。

  • ・アカウント発行時の初期パスワード通知記録(メールやSlack等のキャプチャ)
  • ・本番環境における作業の申請・承認記録(Jiraのチケット等)
  • ・システムの各種ログ

こういった具体的な証跡の収集・提示については、事業者様側でご対応いただく必要があり、特にシステムご担当者様に多大な工数が発生します。

当社では、可能な限り事業者様側での負担を軽減すべく、監査機関からの質問事項等の課題の整理、当社側で対応可能な部分の証跡収集支援等のコンサルティングも実施しています。

IPAによる審査

手続き上は、監査法人による監査が完了した後、IPAへ申請し審査を受けることとなりますが、監査法人とIPAの見解が異なることも多々あり、例えば管理策の非採用についての妥当性やスコープの切り方など、IPAから様々な質問(という名の実質指摘)が入ることがほとんどです。そのため、実際には監査後に初めてIPAに申請をするのではなく、監査前・監査中などに随時IPAに問い合わせを行い、細かい点のすり合わせを行うことがほとんどです。

しかし、そもそもIPAに問い合わせるためには、実際にISMAP登録をする意思があることを示す必要があり、ドラフト版でも良いので各種申請書・言明書等を作成・提出する必要があります。そして、言明書を提出したことにより、質問していない箇所についても、IPA側から逆に様々な質問・指摘が入ることになります。(さらにIPAからの質問は、解釈に苦労するようなものも多々あります。)

当社では申請書等の作成やIPAとのやり取りに関するアドバイザリーなど、包括的なコンサルティングを実施しています。当社のISMAP認定支援サービスにつきましてはお気軽にお問い合わせ下さい。

ISMAP登録に向けた対応

以上のように、ISMAPを取得するためには非常に多くの課題や作業が発生し、かつISMAP管理基準がわかりづらいため、自社のみで対応することが難しい認証の一つとなっています。また、リソースが必要なため全体の費用・コストも他のISO認証と比較にならないほどのボリュームとなります。当社では、マネジメントシステムの構築段階から最終的な登録まで、お客様のリソースや負担を少しでも軽減できるよう包括的なサポートをおこなっています。

サポートプランは、基本的には下記のような流れとなります。

  • 現状確認・ヒアリング
    ISMAP管理基準の要求事項をベースにヒアリングをおこないます。ISMSを取得している場合は、既存のISMSの運用状況や対応事項も確認します。
  • 1

    GAP分析・課題の特定
    プロジェクト開始時点におけるISMAP管理基準要求事項の未対応項目を課題として特定します。
  • 2

    アクションプランの提示
    洗い出した課題への対応案をご提示します。
  • 3

    課題対応
    規程・様式類の改訂等、可能な部分については当社側主導で対応を支援します。
  • 4

    対応状況の確認
    課題対応状況の確認、および対応にお困りの部分については随時アドバイスいたします。
  • 5

    監査
    課題管理、および可能な部分については証跡収集等を支援します。
  • 6

    審査
    申請書類作成・IPAとのやり取りについて支援します。
  • 7

    登録
    審査に通るとISMAPに登録されます。

ISMAPコンサルサービスに関するお問い合わせは、下記の【お問い合わせフォーム】よりお気軽にお送りください。ISMAP-LIUについても対応しております。

ISMAP登録支援に関するご質問・ご相談・お見積もりは無料です。

CONTACT

お問い合わせ

ご質問・ご相談などお気軽に【お問い合わせフォーム】よりご連絡ください。ご相談・お見積は無料です。

お問い合わせフォームはこちら

03-6265-3741

03-6265-3741

電話受付(平日)10:00〜17:00

ページトップヘ戻る