政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program:通称 ISMAP(イスマップ))は2020年6月に運用が開始された制度です。
この制度が導入されたことにより、政府機関等は原則として「ISMAPクラウドサービスリスト」に掲載されたサービスから調達することとなりました。
クラウドサービス事業者にとっては、「ISMAPクラウドサービスリスト」に掲載されることで政府調達の対象となり、信頼性の高いクラウド事業者として認知されるなどの大きなメリットがありますが、登録までに高いハードルが存在します。
それは約1200項目にも及ぶ管理策が記載された「ISMAP管理基準」です。ISMAP登録のための監査法人による監査では、管理策の1つ1つについて事業者ごとの対応状況を証跡として提示する必要があります。
ISMAP取得のハードルの高さについては、下記のコラムもご一読ください。
ISMAPとは? ISMAP登録はなぜタイヘンなのか
そんなISMAP登録の悩みの種であるISMAP管理基準が今変わろうとしています。
本記事では、ISMAP管理基準の改訂について概要やスケジュールを紹介します。
改訂の背景にある参照規格の変更とは
ISMAP管理基準には、以下の元となる規格が存在します。
- ① JIS Q 27001:2014 (ISO/IEC 27001:2013)
- ② JIS Q 27002:2014 (ISO/IEC 27002:2013)
- ③ JIS Q 27014:2015 (ISO/IEC 27014:2013)
- ④ JIS Q 27017:2016 (ISO/IEC 27017:2015)
- ⑤ SP800-53 rev.4
①から④はISO27000シリーズと呼ばれ、現在、改訂が進められ、次々にアップデートがされています。ISMAP管理基準の中心となっている「JIS Q 27002:2014 (ISO/IEC 27002:2013)」はすでに改訂がされており、最新は「JIS Q 27002:2024 (ISO/IEC 27002:2022)」となっています。
この27002の改訂内容は、JIS Q 27001:2024の附属書Aにも反映されており、ISMAP管理基準の改訂においても、これらの変更が取り込まれると考えられます。
附属書Aは、主なセキュリティ対策(管理策)がまとめられおり、114項目あった管理策が2024年版への改訂で93項目へと変更されました。JIS Q27001の改訂に関する詳細はこちらのコラムも参照ください。
一部新規の管理策があるものの93のほとんどが既存の管理策の組み換えとなっており、各管理策の内容は変わらないものがほとんどです。そのため、ISMAP管理基準においても大枠として要求される内容に大幅な変更は行われないものと推測されます。
ただし、ISMAP管理基準の見直しとなると、約1200項目も管理策があるため、統合などの見直しをするだけでも膨大な作業が予想されます。
また、今回附属書Aのカテゴリも見直されており、14のカテゴリが4つのカテゴリへと整理されています。
ISMAP管理基準は附属書Aのカテゴリを元に章を構成しているため、章立ても見直す必要があります。 ここまでくると、組み立ててある製品を1つ1つの部品にまで分解して、全く別の製品を組み立てるようなもので、改訂というより再構築に近い変更が行われるのではないでしょうか。
改訂スケジュールと今後の予定
改訂のスケジュールについては、2025年3月に公開された「ISMAP制度の見直しについて」で発表されています。
(「ISMAP制度の見直しについて」を元に作成)
上図のスケジュールの通り、2025年6月までは改定作業や検討が中心となっています。
2025年7~9月には、パブリックコメントが予定されているため、具体的な改定内容についてはそこで公開されることが推察されます。
2025年12月末までに規程改定が完了するスケジュールですが、その後も2026年3月まではISMAP管理基準ガイドブックやFAQの更新作業が予定されているため、改訂されたISMAP管理基準がいつ運用されるのかについては明らかにされていません。
1200項目→数百項目に? 監査負担軽減に向けた見直しの動き
実は参照規格の改訂以外の観点からも見直しが進められています。
それは“監査にかかる負担軽減”です。
冒頭説明した通り、ISMAPの監査項目は約1200項目にわたり、その数の多さから監査にかかる費用や期間が登録事業者の大きな負担となっています。
そういった理由から、負担軽減に向けた見直しが検討されています。
では、どのような見直しが検討されているのか、公開資料から見ていきましょう。
2024年12月9日に発表された「ISMAP制度及びその見直しの検討状況について」では、以下のような記載があります。
ISO 27000シリーズの改訂等を取り込み、統制目標と詳細管理策の粒度を見直し、リスクベースアプローチを活用することにより、管理策数を数百まで削減
また、同年12月25日に発表された「規制改革推進に関する中間答申」では、こんな記載もあります。
[略] 政府機関等にとって特に必要な管理基準を明確化するとともに、国際標準化機構(ISO)/国際電気標準会議(IEC)27000シリーズ等、他の認証制度を取得している場合には、該当の認証制度を活用し、監査項目を削減するなど、監査負担を軽減する方向で、「ISMAP管理基準」(令和2年6月3日ISMAP運営委員会)等を改訂する。
上記太字(太字は当社による編集です)の通り、検討段階では大幅な見直しが提言されており、ISMAP登録に苦労している事業者にとっては、前向きな見直し内容となっています。
ISMAP登録の未来はどうなる? 他認証制度との連携と監査項目削減の現実性
ISMAP管理基準の改訂についてみていきましたが、これでISMAP登録へのハードルが大きく下がるのでしょうか。
残念ながら、我々は、“負担はさほど変わらないのではないか”と見立てています。
まず、先述の管理策数の削減ですが、確かに管理策数が削減されれば監査での確認項目も減ります。ですが、それはあくまで数の話だけであって、チェックの厳しさが緩和されるわけではありません。
政府機関が安全にクラウドサービスを利用するための基準である以上、チェック自体が甘くなる可能性はほとんどないでしょう。管理策が削減され、その1つ1つが曖昧な管理策となることで登録を目指す事業者にとってはかえってわかりにくい改訂となってしまうことも考えられます。
また、27000シリーズ等の他の認証制度の活用ですが、ISO27001やISO27017の認証コンサルティングにもおこなっている我々から見て、ISO認証の審査とISMAPの監査があまりにもかけ離れており、実現の可能性がほとんどないとみています。
このように、制度上は柔軟な運用の可能性が示されていますが、実務上の乖離や要件の厳しさを踏まえると、見直しによって本質的な負担軽減につながるかどうかは不透明であり、登録事業者にとって大きな変化とならない可能性もあると見ています。
弊社では、ISMAP管理基準改訂に関する最新情報を速やかにキャッチアップし、今後ISMAP登録を目指すお客様についても可能な限りご不安なくプロジェクトを進められるようご支援いたします。
また既にISMAP登録されているお客様についても、ISMAP管理基準改訂への要対応部分に関するご支援メニューを準備予定です。
ISMAP登録を検討中の方、改訂への不安がある方、更新をご希望の方など是非弊社にご相談ください。
