ISMAP評価業務

ISMAP(イスマップ)とは

ISMAP(イスマップ)は、内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室・総務省・経済産業省が運営する、政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)の通称です。

ISMAPにのっとり、政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することで、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスを円滑に導入することを目的としています。

ISMAP検討の経緯

2018年6月、「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(平成30年6月7日 各府省情報化統括責任者(CIO)連絡会議決定)の一つの方針として、政府情報システムを整備する際には、クラウドサービスを第一候補とする、「クラウド・バイ・デフォルト原則」が示されました。

一方で、諸外国と比較した場合、日本は国家としてクラウドサービスの安全性を評価・認定する仕組みが存在しておらず、評価・認定制度を検討することになりました。

ISMAP運用開始後の政府情報システムの調達と影響

2021年に予定されているISMAPの運用開始により、原則として登録簿に登録されているクラウドサービスから政府情報システムの調達が行われるため、政府情報システムにクラウドサービスが選定されるにはISMAPの登録簿への登録が必須になります。

さらに、ISMAP登録簿は一般に公開されるため、政府情報システムの調達のみならず、地方公共団体や民間企業がクラウドサービスを選定する場面においても活用される可能性があり、登録簿にクラウドサービスが登録されることが、数兆円規模と予想される国内クラウド市場に参入する上で重要な要素となり得ます。

ISMAP選定のために必要な準備

クラウド事業者は、ISMAP認定のために、下記のような準備が必要になると考えられます。

PwCのサービス

PwC Japan有限責任監査法人では、ISMAP登録簿掲載を目指すクラウド事業者に向けて、以下のサービスを提供しています。

ISMAPプレ評価

クラウド事業者が登録を予定しているクラウドサービスが、ISMAPで求められている評価手続に対応可能なレベルの管理策が実装されているかどうかを確認する事前評価サービスを提供します。

「ISMAPプレ評価」を実施することで、「ISMAP外部評価」に向けた事前準備ができます。また、登録を予定しているクラウドサービスが「ISMAP外部評価」を受けるレベルに到達しているかどうかを確認することが可能です。

サービスの特長

「ISMAPプレ評価」では、ISMAPにて定義されている全ての管理策に対して評価手続を実施するのではなく、クラウド事業者と合意した管理策のみを対象とします。実施期間は通常1~2カ月ですが、対象となる管理策の数によって異なります。具体的な実施内容は、以下の通りです。

  1. 対象管理策の選定
    「ISMAP外部評価」に向けてクラウド事業者において最も懸念される管理策や、「ISMAP外部評価」時に発見事項が検出された場合に迅速な改善対応が困難と推測される管理策を選定し、評価手続を実施します。
    また、クラウド事業者自らが対象とする管理策を選定し、その管理策に対して評価を実施することも可能です。
  2. 模擬情報セキュリティ評価の実施
    事前に合意した管理策に対し、「ISMAP外部評価」と同様の手続で情報セキュリティ評価を実施します。
  3. プレ評価報告書の提示
    模擬情報セキュリティ評価の実施結果を記載したプレ評価報告書を提示します。発見事項が検出された場合には、発見事項の内容と発見事項に対する改善案を提案します。*1

*1 改善案は一般的な推奨事項を提案するものであり、登録審査の通過を保証するものではありません。

ISMAPプレ評価実施の流れ

対象管理策の選定から「ISMAPプレ評価」実施、成果物提示までの流れは以下の通りです。

ISMAP外部評価

クラウド事業者は、「ISMAP管理基準」の規定に従い、登録簿への掲載が求められているクラウドサービスのセキュリティ対策について基本言明要件に沿った言明を行い、言明した事項についてISMAP監査機関リストに登録された監査機関による外部評価を受けなければなりません。

PwC Japan有限責任監査法人は、ISMAP監査機関リストに登録されている監査機関です。

外部評価のために必要な準備

クラウド事業者は、外部評価実施にあたり以下の準備が必要です。「言明書」の作成には時間を要することが予測されるため、対応のための十分な時間を確保することを推奨します。

  1. 言明書の作成
    クラウド事業者は、監査機関による外部評価実施までに、「ISMAP管理基準」に則り、言明書を作成する必要があります。監査機関は言明書に記載の内容を基に外部評価を実施します。
  2. 経営者確認書の作成
    クラウド事業者は、「ISMAPクラウドサービス登録規則」に定める様式に従い、経営者確認書を作成する必要があります。経営者確認書を用いて、経営者による陳述を書面にて実施します。

サービスの特長

PwC Japan有限責任監査法人は、クラウド事業者の言明内容に沿って、以下を実施します。

  1. 情報セキュリティ評価の実施
    言明された内容に沿って、情報セキュリティ評価を実施します。ISMAPに規定された内容に則り、対象となる「管理策」に対し、情報セキュリティ評価の「手続」を実施します。
  2. 実施結果報告書の作成
    情報セキュリティ評価実施後、成果物として「ISMAP情報セキュリティ監査ガイドライン」に則り「実施結果報告書」を作成し、クラウド事業者へ提示します。

外部評価実施の流れ

必要ドキュメントの準備から監査機関の選定、外部評価の実施、成果物提示までの流れは以下の通りです。外部評価はISMAPで規定された手続に則り、クラウド事業者への質問や資料の閲覧が必要となるため、監査機関だけで実施することはできません。

外部評価の注意事項

監査機関により作成される「実施結果報告書」の作成日は、クラウド事業者の作成した「言明書」に記載の評価対象期間の末日から3カ月以内である必要があります。外部評価では「ISMAP管理基準」に則り、情報セキュリティ評価を実施しますが、対象となる「管理策」は1,000件を超えるため、数カ月の期間を要することが想定されます。このため、クラウド事業者による適切な事前準備が必要不可欠となります。

PwC Japan有限責任監査法人では、ISMAP外部評価に対応できるレベルのコントロールがクラウド事業者にて実施されているかどうかを確認するためのサービスとして「ISMAPプレ評価」を実施しています。ISMAP外部評価を受けるにあたり懸念される点がある場合は、こちらのサービスもご活用ください。

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

書籍の紹介『クラウド・リスク・マネジメント』

昨今、企業活動においてクラウドサービスの活用検討は避けて通れないものとなっています。本書は、企業がクラウドサービスを利用する際、把握しておくべきリスクと適切に管理していく手法について解説しています。

詳細はこちら

主要メンバー

平岩 久人

パートナー, PwC Japan有限責任監査法人

Email

加藤 俊直

パートナー, PwC Japan有限責任監査法人

Email

辻 信行

パートナー, PwC Japan有限責任監査法人

Email

川本 大亮

パートナー, PwC Japan有限責任監査法人

Email

綾部 泰二

パートナー, PwC Japan有限責任監査法人

Email

三澤 伴暁

パートナー, PwC Japan有限責任監査法人

Email

関連サービス