1.背景
政府情報システムのためのセキュリティ評価制度(「ISMAP: Information system Security Management and Assessment Program」)は、政府機関等がクラウドサービスを調達する際、ISMAPクラウドサービスリストに登録されたサービスから調達することを原則とする制度として令和2年6月に開始し、現在、30を超えるサービスが登録されています。ISMAPの対象となっている機密性2情報を扱う情報システムは IaaS、PaaS、SaaSと多岐にわたりますが、中でもSaaSはサービスの幅が広く、用途や機能が極めて限定的なサービスや、機密性2情報の中でも比較的重要度が低い情報のみを取り扱うサービス等はリスクが低いサービスがあります。それらのサービスについて現行のISMAPと一律の取り扱いとした場合、過剰なセキュリティ要求がクラウド事業者の負担となり、それにクラウドサービスの活用が進まないとの社会的な課題があります。
このため、政府はデジタル社会の実現に向けた重点計画(令和4年6月7日 閣議決定)の中で機密性2情報を扱うSaaSのうち、セキュリティ上のリスクの小さな業務・情報の処理に用いるものに対する新たな仕組みのISMAP-LIU(ISMAP for Low-Impact Use)を令和4年中に策定し、その仕組みを利用したクラウドサービスの申請受付を開始するなど、クラウド・バイ・デフォルトの拡大を推進する方針です。
弊機構は、これまでISMAPに関する事前診断及び構築支援サービスを我が国を代表するクラウド事業者に提供し、ISMAPに認定された監査機関(ISMAP監査機関リストへ登録済みの3社)と連携のうえ、クラウド事業者を支援した実績が多くあります。今般、これらのノウハウを活用した形でISMAP-LIU対応の内部監査等の支援サービスを開始する運びとなりました。
今後、ISMAP-LIUのクラウドサービスリストは一般に公開され、政府情報システムの調達のみならず、地方公共団体や民間企業がクラウドサービスを選定する場面においても活用される可能性があります。クラウドサービスリストにクラウドサービスが登録されることが、数兆円規模と予想される国内クラウド市場に参入する上で重要なアドバンテージになることが予想されます。弊機構はこれまで実施してきたISMAP支援サービスに内部監査等の支援サービスを追加することで新たなISMAP-LIU制度に対応し、クラウドサービス事業者の事業展開を支援したいと考えております。
2.サービス内容
ISMAP-LIUの外部監査において、ガバナンス基準及びマネジメント基準はこれまでのISMAPと同じく全ての管理策が監査対象となるため、弊機構といたしましても現行のISMAP支援サービスと同じく整備及び運用の構築支援を提供いたします。
また、ISMAP-LIUの外部監査は、クラウドサービス基盤・構成に直接的な影響を及ぼし得る管理策(一部の重要な管理策)を主な対象として数年に平準化するため外部監査対象範囲は縮小します。一方、内部監査の実施状況報告について、3年で一巡する形態で報告書の提出が求められており、弊機構は内部監査業務の負担軽減を狙いとした支援サービスを提供いたします。なお、これまでISO/IEC27001を取得した経験のない企業の場合など、ご要望に応じてISMSの構築支援も対応可能です。
【ISMAP-LIU 支援サービス提供内容(代表例)】
① ガバナンス基準及びマネジメント基準の整備及び運用の構築支援サービス
(ア) 現状とISMAPガバナンス基準及びISMAPマネジメント基準とのGAP分析
(イ) GAP分析で判明した発見事項の指摘及び改善案の提示
(ウ) 言明書及び経営者確認書作成の支援
② 内部監査の実施支援サービス
<準備>
(ア) 現状とISMAP管理基準とのGAP分析
(イ) GAP分析で判明した発見事項の指摘及び改善案の提示
<実施>
(ウ) 予備調査、内部監査立案等の支援
(エ) 内部監査実施、監査調書作成、監査報告書作成等の支援
<フォロー>
(オ) ISMAP監査準備、ISMAP監査立会い、ISMAP監査法人指摘事項対応等の支援
(カ) 制度側からの問合事項対応等の支援
※準備、実施、フォローのみのサービスも提供可能です。
【実施期間(代表例)】
①ガバナンス基準及びマネジメント基準の整備及び運用の構築支援サービス
(ア)(イ)(ウ):4カ月から8カ月程度
②内部監査の実施支援サービス (ア)(イ):6カ月から12カ月程度
(ウ)(エ):随時(詳細は別途取決め)
(オ)(カ):随時(詳細は別途取決め)
(ご参考) ISMAP-LIUではない従来のISMAP対応事前診断サービスついては下記をご参照ください。
http://jasro.org/news/pdf/JaSRO_NewsRelease_20210401.pdf
<お問い合せ先>
一般社団法人日本セキュリティ格付機構 企画部 ISMAP担当
JaSRO(Japan Security Rating Organization)
E-mail: info@jasro.org
URL : http://jasro.org/
〇世界初の情報セキュリティ格付を行う第三者評価機関です。
〇情報管理の対策水準を「格付」で確かめ合う社会システム作りに取り組んでいます。
〇政府情報システムのためのセキュリティ評価制度(ISMAP)対応の構築支援・内部監査を行っています。