2025年9月18日に「「ISMAP管理基準(案)」等に対する意見募集について」というパブリックコメントが公開されました。
政府が推進するクラウドサービスのセキュリティ評価制度「ISMAP(政府情報システムのためのセキュリティ評価制度)」の管理基準が、大幅に改定されることは、以前のコラムでも紹介していましたが、今回のパブリックコメントで今後の方針がより明らかとなりました。
本コラムでは、今回公表された資料を元にパブコメ版の改訂内容や今後の方針について解説します。
主な改訂内容
① 最新の国際規格の反映
予定されていた通り、ISO/IEC 27000シリーズの改訂内容が反映されました。
ISO/IEC 27001の改訂内容の1つである、附属書Aの構成の変更に合わせて管理策基準の構成も変更されています。
現行では5章から18章まであるものが、パブコメ版では、5章から9章に整理されています。 さらに「政府統一基準群(令和7年度版)」や米国のNIST SP800-53 rev.5からも必要な管理策を取り込んでいます。
② 管理策の大幅な整理
これまで1,163項目あった詳細管理策は、322項目になりました。
現行の詳細管理策は、主にISO/IEC 27002:2013の記載内容をコピペしたものとなっていますが、パブコメ版は「統制目標を実現するために満たすべき必要最小限の内容の記述」に絞ったとされており、ISO/IEC 27002:2022の内容は、「(参考)手引き」に記載されています。
大幅な管理策の削減で、監査での負担の軽減が期待されるものの、「監査においては手引きを参考に監査を実施」と記載もあることから、現状と変わらない可能性もまだ否定できません。
③ 基本言明要件の見直し
現行では、詳細管理策ごとに事業者が採用するかどうかを選択することができますが、パブコメ版では詳細管理策は「原則としてすべて実施すべきもの」と定義されました。
ただし、「合理的な適用が不可能、若しくは、リスク分析の結果、実施不要」と判断した場合においては対象外とすることができるとのことです。
具体的な基準などは今後発表されるガイドラインにて明らかになるようです。
今後の検討事項
① ガイドラインの策定
詳細管理策をどのように実装するか、その参考情報を示す「ガイドライン」が新設される予定です。
- ● 管理策を対象外とする際の合理的な理由付け
- ● 手引きからの選択や独自統制構築の考え方・事例
- ● 各管理策の重要度を脅威ベースで指標化
事業者として実施すべき内容はこの「ガイドライン」に明記されることが予想されるため、ガイドライン策定の動向については、注視していく必要がありそうです。
② 事前確認の仕組み
監査や審査の前に、対象外とした管理策や選択した手引きの妥当性について、制度側に事前確認を受けられる枠組みが検討されています。
現状においても、ある程度事前に相談することが可能であるものの、“事前に相談しても結局申請後に細かく質問をされる”、“問い合わせをしてもなかなか返答がない”等の課題があるため、今回の方針で現状の課題が解消されることが望まれます。
改訂スケジュール
今回発表されたものはパブリックコメントを経て、ISMAP運営委員会で決定後に公表される見込みです。
ガイドラインや関連規程の公開スケジュールはまだ検討段階にあり、改定版がいつから施行されるのか等は未定となっています。
方向性は固まったが、詳細はこれから
ISMAP管理基準改定の方向性自体は、これまで公表されてきた方針から大きく変わっていません。すでに決まった部分では、詳細管理策数も大幅に削減されましたが、ガイドラインの具体的な中身や事前確認の運用方法など、実務を左右する部分はこれから固められていく段階で、事業者の負担軽減が実現されるかどうかはまだ不透明なままです。
当社では、今後もISMAP管理基準の改定について、引き続き動向を追っていきます。
ISMAP登録を検討中の方、改訂への不安がある方、更新をご希望の方など、ぜひ弊社にご相談ください。
ISMAP制度の概要や、当社のISMAP登録支援サービスに関する資料は下記よりダウンロードください。
