ISMAP登録は、なぜタイヘンなのか

ISMAPとは

ISMAPは、正式名称を「政府情報システムのためのセキュリティ評価制度（Information system Security Management and Assessment Program）」といい、政府が調達するクラウドサービスのセキュリティ水準の確保を目的として運用される制度です。

政府機関は、クラウドサービスを調達する場合には原則、本制度に基づいて、十分なセキュリティ水準が認定され、「ISMAPクラウドサービスリスト」に登録されたサービスより調達を行うものとされています。

本制度は下図の通り、内閣サイバーセキュリティセンター（NISC）・デジタル庁・総務省・経済産業省が所管省庁として運営し、独立行政法人 情報処理推進機構（IPA）がISMAP運用支援機関として審査等を行っています。また、IPAの審査を受ける前段階として、監査機関からの監査を受ける必要があります。

ISMAP管理基準

ISMAP登録にあたっては、「ISMAP管理基準」に沿ったセキュリティマネジメント活動が行われていることを、監査機関による監査、およびIPAによる審査で認められる必要があります。

このISMAP管理基準は3章～18章から成り、ISO27001、27002、27014、27017などを参照して作成されています。

各章の概要は以下の通りで、合計1159の管理策が存在します。

要求事項区分		要求事項概要	管理策数
3章	ガバナンス基準	経営陣による、組織の情報セキュリティガバナンスの実現のための要求事項。内容のイメージとしては、ISO27014:2013に定められたプロセスの箇条書きレベルが全て要求事項となったような形。	18
4章	マネジメント基準	組織における情報セキュリティマネジメントを確立し、維持・改善するための要求事項。大まかな内容はISO27001の本文に近しいが、箇条書きで細かな要求事項が追加されている。	64
5章～18章	管理策基準	具体的なセキュリティ管理策についての要求事項。章構成としてはISO:27001:2013の附属書AおよびISO27002:2013と同様。 それぞれの章における管理策の構成としては、3桁の管理策の下に4桁の詳細管理策が紐づく形となっている。（例えば5.1.2の下に、5.1.2.1～5.1.2.4が紐づく） 内容のイメージとしては、3桁管理策は概ねISO:27001:2013の附属書A、および27017のCLDと同一。4桁管理策は27002:2013や、27017の「実施の手引き」の文章を、一文ずつに分解して要求事項化したような形で、非常に細かい対応が求められる。	1077

これらのうち、3章・4章は原則として全ての管理策を採用する必要があります。

5章～18章については、3桁管理策は原則採用が求められますが、自社サービスに全く関連しない場合などには非採用も認められます（例えばIaaS上で構築されたサービスの場合、11章の物理的セキュリティに関する内容の一部は、3桁レベルで非採用とするなど）。

また、採用した3桁管理策に紐づく4桁管理策については、基本的に内容に応じて採用・非採用を選択する形となります。ただし末尾にBが付く管理策（X.X.X.X.B、X.X.X.X.PB）については原則採用が求められます。

ISMAP登録のためのプロセス

ISMAP登録のために、事業者が取るべきプロセスは、概ね以下の流れとなります。

各プロセスの内容、ポイントなどを以下に記します。

ISMAP管理基準に沿ったセキュリティマネジメントシステムの構築・運用

監査・審査に向けて、ISMAP管理基準への対応を行っていきます。

ISMS認証やISMSクラウドセキュリティ認証を取得している事業者様であれば、大枠の対応はされているはずではありますが、先述の通りISMAPは非常に細かい内容を要求されます。

例えば4章マネジメント基準では、以下のような要求があります。

———

4.4.8.4

組織は、情報セキュリティリスク対応計画を策定する。

a)情報セキュリティリスク対応計画には、以下を含む。

• ・期待される効果を含む、対応選択肢選定の理由
• ・情報セキュリティリスク対応計画の承認者及び対応計画の実施責任者
• ・対応内容
• ・必要な資源
• ・費用・労力、制約
• ・後日の報告、監視に必要な要求事項
• ・対応工程における節目ごとの目標
• ・対応時期及び日程

（後略）

———

この管理策の場合、箇条書きの全てに対応する規程・記録が求められることとなります。一般的なISMS認証の場合、そこまで細かく対応せずとも審査は通過可能であるため、ほとんどの事業者様で追加対応が必要となります。

このような管理策が多数存在するため、ISMS認証等を取得している事業者様であっても、規程・手順書類や記録様式等、および運用の大幅な修正が必要となります。まして、これらの認証を取得していない場合はゼロベースでマネジメントシステムの構築が必要となり、多大な工数が必要となります。

また、以下のような理由から、そもそも監査等に向けてどのような対応をすれば良いのかも非常に分かりづらいものになります。

• ・抽象的、かつ日本語としても分かりづらい管理策が多い
• ・監査において提示すべき証跡の種別が公表されておらず、何をどこまで準備すれば良いのかが明確でない
• ・管理策ごとのスコープの切り方や求められる証跡の粒度などが、監査機関によってまちまちな部分がある

当社では、数々のISMAP登録支援実績を基に得た知見から、これらの点を踏まえたマネジメントシステム構築を支援しています。

また一部の監査機関では、実際の監査の前段階として予備調査等のサービスを展開しており、その中でスコープの切り方などを含め相談できるケースもあるため、そちらも併せて利用されるのが安全です。

監査機関による監査

監査機関によるISMAP監査は、整備状況評価・運用状況評価の2ステップが存在します。

また、監査対象期間を監査機関と調整の上定めた上で、各種証跡等は原則として監査対象期間内のものを提示する必要があります。

整備状況評価

運用状況評価

監査においては、全ての管理策に対して証跡が必要となります。これには、マネジメントシステム上で定めた記録様式のみならず、日常の運用の中で生じた様々な記録が含まれます。例えば下記のようなものが挙げられます。

• ・アカウント発行時の初期パスワード通知記録（メールやSlack等のキャプチャ）
• ・本番環境における作業の申請・承認記録（Jiraのチケット等）
• ・システムの各種ログ

こういった具体的な証跡の収集・提示については、事業者様側でご対応いただく必要があり、特にシステムご担当者様に多大な工数が発生します。

当社では、可能な限り事業者様側での負担を軽減すべく、監査機関からの質問事項等の課題の整理、当社側で対応可能な部分の証跡収集支援等を実施しています。

IPAによる審査

手続き上は、監査法人による監査が完了した後、IPAへ申請し審査を受けることとなりますが、監査法人とIPAの見解が異なることも多々あり、例えば管理策の非採用についての妥当性やスコープの切り方など、IPAから様々な質問（という名の実質指摘）が入ることがほとんどです。そのため、実際には監査後に初めてIPAに申請をするのではなく、監査前・監査中などに随時IPAに問い合わせを行い、細かい点のすり合わせを行うことがほとんどです。

しかし、そもそもIPAに問い合わせるためには、実際にISMAP登録をする意思があることを示す必要があり、ドラフト版でも良いので各種申請書・言明書等を作成・提出する必要があります。そして、言明書を提出したことにより、質問していない箇所についても、IPA側から逆に様々な質問・指摘が入ることになります。（さらにIPAからの質問は、解釈に苦労するようなものも多々あります。）

当社では申請書等の作成やIPAとのやり取りに関するアドバイザリーなど、包括的なコンサルティングを実施しています。当社のISMAP認定支援サービスにつきましてはお気軽にお問い合わせ下さい。

ISMAP登録に向けた対応

以上のように、ISMAP登録に向けては非常に多くの課題に対応していく必要があります。当社では、マネジメントシステムの構築段階から最終的な登録まで、包括的にサポートしています。

サポートプランは、基本的には下記のような流れとなります。

コンサルティングサービスに関するお問い合わせは、下記の【お問い合わせフォーム】よりお気軽にお送りください。

ISMAP登録支援に関するご質問・ご相談・お見積もりは無料です。