ISMAP評価業務

ISMAP（イスマップ）とは

ISMAP（イスマップ）は、内閣サイバーセキュリティセンター・情報通信技術（IT）総合戦略室・総務省・経済産業省が運営する、政府情報システムのためのセキュリティ評価制度（Information system Security Management and Assessment Program）の通称です。

ISMAPにのっとり、政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することで、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスを円滑に導入することを目的としています。

ISMAP検討の経緯

2018年6月、「政府情報システムにおけるクラウドサービスの利用に係る基本方針」（平成30年6月7日各府省情報化統括責任者（CIO）連絡会議決定）の一つの方針として、政府情報システムを整備する際には、クラウドサービスを第一候補とする、「クラウド・バイ・デフォルト原則」が示されました。

一方で、諸外国と比較した場合、日本は国家としてクラウドサービスの安全性を評価・認定する仕組みが存在しておらず、評価・認定制度を検討することになりました。

ISMAP運用開始後の政府情報システムの調達と影響

2021年に予定されているISMAPの運用開始により、原則として登録簿に登録されているクラウドサービスから政府情報システムの調達が行われるため、政府情報システムにクラウドサービスが選定されるにはISMAPの登録簿への登録が必須になります。

さらに、ISMAP登録簿は一般に公開されるため、政府情報システムの調達のみならず、地方公共団体や民間企業がクラウドサービスを選定する場面においても活用される可能性があり、登録簿にクラウドサービスが登録されることが、数兆円規模と予想される国内クラウド市場に参入する上で重要な要素となり得ます。

ISMAPの特徴

ISMAPでは、クラウド事業者が統制の目標を実現するために選択し、満たすべき事項として、「管理策」と呼ばれる基準が設けられています。クラウド事業者が選択した「管理策」を、外部評価機関が「評価」することになります。「管理策」「評価」には、それぞれ以下のような特徴が存在します。

管理策の特徴

管理策の構成
管理策は、「A．ガバナンス基準」「B．マネジメント基準」「C．管理策基準」の3つの基準で構成されています。

A．ガバナンス基準
ISO/IEC 27014をベースに作成されており、会社のセキュリティガバナンスの要求事項が記載されています。

B．マネジメント基準
ISO/IEC 27001をベースに作成されており、情報セキュリティマネジメントシステムの確立についての要求事項が記載されています。

C．管理策基準
ISO/IEC 27002/27017、内閣サイバーセキュリティセンター（NISC）の「政府機関等の情報セキュリティ対策のための統一基準」、National Institute of Standards and Technology（NIST） Special Publication 800-53の内容を組み合わせて構成されています。

管理策の選定
クラウド事業者は「C.管理策基準」に該当する管理策の中から、統制目標を達成するために必要な管理策を選択し適用します。

必須の管理策
クラウド事業者は、管理策のうち「A．ガバナンス基準」「B．マネジメント基準」については、全ての管理策が必須となるため、全て実施する必要があります。

「C．管理策基準」については、必須の管理策と選択適用の管理策があります。

必須の管理策は全て実施する必要がありますが、選択適用の管理策は「管理策の選定」で選択した管理策を実施することになります。

評価の特徴

運用評価
評価には、評価の対象期間内の一時点において統制が整備されているかという「整備評価」と、整備した統制が評価対象期間を通じて有効に運用されているかという「運用評価」が存在します。本制度では「整備評価」に加えて「運用評価」も実施されます^*1。

評価対象期間と評価実施タイミング
評価対象期間は1年間です。また、評価は毎年実施されます。

標準評価手続
本制度においては、「ISMAP標準評価手続」として、個々の管理策ごとに評価主体が実施すべき評価手続や手法があらかじめ定められています。

*1 なお、本制度の施行から1年以内に登録を行うクラウドサービスについては「整備評価」のみ実施されます。

ISMAP選定のために必要な準備

クラウド事業者は、ISMAP認定のために、下記のような準備が必要になると考えられます。

PwCのサービス

PwC Japan有限責任監査法人では、ISMAP登録簿掲載を目指すクラウド事業者に向けて、以下のサービスを提供しています。

ISMAPプレ評価
ISMAP外部評価

ISMAPプレ評価

クラウド事業者が登録を予定しているクラウドサービスが、ISMAPで求められている評価手続に対応可能なレベルの管理策が実装されているかどうかを確認する事前評価サービスを提供します。

「ISMAPプレ評価」を実施することで、「ISMAP外部評価」に向けた事前準備ができます。また、登録を予定しているクラウドサービスが「ISMAP外部評価」を受けるレベルに到達しているかどうかを確認することが可能です。

サービスの特長

「ISMAPプレ評価」では、ISMAPにて定義されている全ての管理策に対して評価手続を実施するのではなく、クラウド事業者と合意した管理策のみを対象とします。実施期間は通常1~2カ月ですが、対象となる管理策の数によって異なります。具体的な実施内容は、以下の通りです。

対象管理策の選定
「ISMAP外部評価」に向けてクラウド事業者において最も懸念される管理策や、「ISMAP外部評価」時に発見事項が検出された場合に迅速な改善対応が困難と推測される管理策を選定し、評価手続を実施します。
また、クラウド事業者自らが対象とする管理策を選定し、その管理策に対して評価を実施することも可能です。
模擬情報セキュリティ評価の実施
事前に合意した管理策に対し、「ISMAP外部評価」と同様の手続で情報セキュリティ評価を実施します。
プレ評価報告書の提示
模擬情報セキュリティ評価の実施結果を記載したプレ評価報告書を提示します。発見事項が検出された場合には、発見事項の内容と発見事項に対する改善案を提案します。^*1

*1 改善案は一般的な推奨事項を提案するものであり、登録審査の通過を保証するものではありません。

ISMAPプレ評価実施の流れ

対象管理策の選定から「ISMAPプレ評価」実施、成果物提示までの流れは以下の通りです。

ISMAP外部評価

クラウド事業者は、「ISMAP管理基準」の規定に従い、登録簿への掲載が求められているクラウドサービスのセキュリティ対策について基本言明要件に沿った言明を行い、言明した事項についてISMAP監査機関リストに登録された監査機関による外部評価を受けなければなりません。

PwC Japan有限責任監査法人は、ISMAP監査機関リストに登録されている監査機関です。

外部評価のために必要な準備

クラウド事業者は、外部評価実施にあたり以下の準備が必要です。「言明書」の作成には時間を要することが予測されるため、対応のための十分な時間を確保することを推奨します。

言明書の作成
クラウド事業者は、監査機関による外部評価実施までに、「ISMAP管理基準」に則り、言明書を作成する必要があります。監査機関は言明書に記載の内容を基に外部評価を実施します。
経営者確認書の作成
クラウド事業者は、「ISMAPクラウドサービス登録規則」に定める様式に従い、経営者確認書を作成する必要があります。経営者確認書を用いて、経営者による陳述を書面にて実施します。

サービスの特長

PwC Japan有限責任監査法人は、クラウド事業者の言明内容に沿って、以下を実施します。

情報セキュリティ評価の実施
言明された内容に沿って、情報セキュリティ評価を実施します。ISMAPに規定された内容に則り、対象となる「管理策」に対し、情報セキュリティ評価の「手続」を実施します。
実施結果報告書の作成
情報セキュリティ評価実施後、成果物として「ISMAP情報セキュリティ監査ガイドライン」に則り「実施結果報告書」を作成し、クラウド事業者へ提示します。

外部評価実施の流れ

必要ドキュメントの準備から監査機関の選定、外部評価の実施、成果物提示までの流れは以下の通りです。外部評価はISMAPで規定された手続に則り、クラウド事業者への質問や資料の閲覧が必要となるため、監査機関だけで実施することはできません。

外部評価の注意事項

監査機関により作成される「実施結果報告書」の作成日は、クラウド事業者の作成した「言明書」に記載の評価対象期間の末日から3カ月以内である必要があります。外部評価では「ISMAP管理基準」に則り、情報セキュリティ評価を実施しますが、対象となる「管理策」は1,000件を超えるため、数カ月の期間を要することが想定されます。このため、クラウド事業者による適切な事前準備が必要不可欠となります。

PwC Japan有限責任監査法人では、ISMAP外部評価に対応できるレベルのコントロールがクラウド事業者にて実施されているかどうかを確認するためのサービスとして「ISMAPプレ評価」を実施しています。ISMAP外部評価を受けるにあたり懸念される点がある場合は、こちらのサービスもご活用ください。