ISMAP登録における内部監査の仕組みを解説！

国が定める初のセキュリティ評価制度ISMAPについてご存じでしょうか？
近年テレワークの拡大で、クラウドサービスへの関心は高まっています。
本記事ではISMAPの概要やメリット、取得までの手順を徹底的に解説していきます。
ISMAP取得をご検討されている企業様、担当者の方はもちろん、ISMAPへの理解を深めたい方にも有益な情報となりますのでぜひ、ご一読ください。

ISMAPとは？

ISMAP（イスマップ）とは、「Information system Security Management and Assessment Program」の略称で、政府情報システムのためのセキュリティ評価制度です。
総務省・経済産業省・内閣サイバーセキュリティセンター・デジタル庁が2020年に立ち上げを行い、独立行政法人情報処理推進機構（IPA）が制度運用に係る実務と評価への技術的な支援を行っています。
政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ登録するしておくことによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入を可能にすることが目的です。政府はクラウドサービスの調達をISMAPに登録された中から行うのが原則となります。
また政府だけでなく民間企業にもISMAP登録リストは公開されており、日本初の情報セキュリティ評価制度として注目を集めています。

ISMAP施行の背景

当時日本はクラウドサービスの普及が他の国と比べ遅れていました。世界では当たり前のようにシステム基盤としてクラウドサービスが用いられている中、日本はセキュリティ面で大きな不安がありました。こうした状況を改善するべく、2018年、政府はクラウドサービスの利用を促進するための方針である「クラウド・バイ・デフォルト原則」を示しました。政府はこれによって情報システムをクラウド環境に移行することで市場の変化に迅速に対応できるようにし、DX（デジタルトランスフォーメーション）の実現を図ろうとしました。
しかしクラウドサービスに関する複数の方針やガイドラインが存在したため業務を行う上で非効率が生じていました。そうした中で日本国家として共通のガイドラインを求める声が高まり、2020年にISMAPが日本初の情報セキュリティ制度として施行されました。

ISMAP導入のメリット

ISMAPは政府機関だけでなく民間企業にも広く公開され、あらゆる人が活用できるシステムになっています。ISMAP導入のメリットには以下の3つのことが考えられます。

1サービスを選定する際の負担低減

クラウドサービスの導入を考える際に、企業の情報システム担当者は自社のセキュリティ基準を満たす製品やサービスを選定しなければなりません。しかし、担当者がクラウドサービスのセキュリティ基準をチェックし、選定していくことは非常に手間がかかります。ISMAPでは一定の基準が満たされているクラウドサービスの一覧が一般に公開されているため、その中から自社に合うサービスを選ぶことができ作業時間の短縮につながります。

2セキュリティサービスの質の向上

クラウドサービスを提供する企業はISMAPへの登録に向けて自社サービスの向上に努めるようになります。こうして高い水準でサービスが提供されることによってセキュリティ面での安全性が向上します。

ビジネスチャンスの拡大

政府はISMAP登録企業からクラウドサービスの調達をすることを原則としています。ISMAPに登録されることで政府から正式に公認されたことになり、政府機関や地方自治体と仕事をすることができます。
また最近ではクラウドサービスを導入する際にISMAPへの登録を前提条件としている大手企業が多くなってきていることから、民間企業とのビジネス拡大にもつながります。

ISMAP登録までの手順

ISMAPはガバナンス基準、マネジメント基準、管理策基準の3つの階層からなっており、登録に至るまでに1000を超える管理策を満たす必要があるため、多くの時間と労力を要します。登録までの手順を見ていきましょう。

基本方針の決定

ISMAPの制度を理解し、登録を目指すサービスの範囲を決定します。

リスク分析

ISMAP管理基準と照らし合わせ、管理基準の要件を満たせているかどうかの確認を行います。
洗い出された課題を元にどう解決していくのかを考えます。

書類の作成

言明書、登録申請書の作成を行います。

内部監査の実施

ISMAP監査機関による監査の実施の前に、クラウドサービス事業者やその支援サービス提供者による内部監査を行います。（内部監査の報告は任意です）
支援サービス提供者の力を借りることによってISMAP基準と自社サービスのギャップの特定、分析をさらに高水準で行い、外部監査を円滑に行えることにつながります。

外部監査の実施

内部監査実施後は外部監査機関として公認された機関から外部監査を受ける必要があります。
監査を行った事を示す｢実施結果報告書｣はISMAPを登録する際に必要になります。
外部監査実施機関は次のような企業があります。(2022年8月時点)
・EY新日本有限責任監査法人
・有限責任監査法人トーマツ
・有限責任あずさ監査法人
・PwCあらた有限責任監査法人

申請書の作成・申請

登録申請書、言明書、実施結果報告書などの必要な文書を作成しISMAP運営委員会へ提出します。申し込み書類に不備が見当たらなければ｢ISMAPクラウドサービスリスト｣への登録が認められます。ISMAPに登録されたクラウドサービスはWebサイト上で確認することができ、クラウドサービス名、登録日、登録の有効期限が掲載されます。ここで注意しなければならないことがあります。登録を継続するには有効期限が切れる前に更新をする必要があります。登録の有効期限は監査対象期間の末日の翌日から1年4ヶ月です。つまり、毎年ISMAPの更新審査があるという認識を持っておくのが良いです。登録期限には注意しましょう。

まとめ

本記事ではISMAPの概要や取得のメリット、登録までの手順の流れを解説してきました。
ISMAPに登録されることでビジネスチャンスの拡大やサービスの向上など様々なメリットを得ることができることをお分かりいただけたでしょうか？
その一方でISMAPに登録されるまでには多くの準備や対策が必要です。

株式会社UPF（ユーピーエフ）は様々な規格の認証支援・構築支援を経て得たリスクマネジメントへの深い知見で、その企業に最もフィットする制度構築によりISMAP登録までを支援します。
ISMAP取得をご検討される企業様・ご担当者様は、Pマーク取得の実績No.1のコンサル会社UPFまでどうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。