EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
ISMAP対応の「実務」に焦点を当て、情報セキュリティ監査で求められる膨大な証跡準備と効率化の工夫、ISMAP以外のSOCやISOなども同時に対応する戦略的メリット、そして制度改正の最新動向を紹介します。
要点
- ISMAP情報セキュリティ監査は証跡準備に高度な専門性と計画性が必要。EYは、豊富な監査経験をもとに対応。
- ISMAP対応は制度順守にとどまらず、自社のセキュリティ水準を高める機会となり、企業価値向上につながる。
- 制度改正の転換期のため、企業戦略としての対応が求められる。EYでは最適な対応を支援。
前編では、クラウドサービスの急速な普及と、それに伴うリスク、ISMAP制度誕生の背景について解説しました。
後編では、ISMAPの要求事項や情報セキュリティ監査の特徴、制度改正の最新動向を解説し、クラウドサービス提供者(クラウドサービスプロバイダー:以降CSP)がどのように対応すべきかを考察します。また、複数サービス対応の効率化に向けた実務上の工夫や、EYが現場で対応している事例もご紹介します。
1. ISMAPの要求事項の全体像
Q:ISMAPに係る要求事項はどのような特徴があるのでしょうか?
政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program:以降 ISMAP)は、官公庁がクラウドサービスを調達する際に、安全性を担保するための評価制度です。CSPが官公庁案件に参入するためには、ISMAP登録が事実上必須となっています。その特徴は、CPSに対して「だれが何を整備すべきか」を示すもので、要求事項が次の三層構造で整理されている点にあります。
① ガバナンス基準:経営層に対し、情報セキュリティ戦略や方針の整備を要求
② マネジメント基準:管理者層に対し、リスクアセスメントや運用管理の実施を要求
③ 管理策基準:実務担当者に対し、暗号化、アクセス制御、教育、インシデント管理など具体的な管理策を要求
この三層構造が明確化されることで、組織全体でセキュリティを担保する仕組みが整理され、責任の所在が明確になります。経営層から現場まで一貫したセキュリティ対応が可能となり、監査時の説明責任も果たしやすくなります。
ISMAPは第三者監査を通じてCSPのセキュリティ運用を多面的に評価する仕組みであり、監査対応には複数の管理策への準拠が求められ、膨大な証跡準備や組織横断の調整が発生します。EYは、ISMAP制度初期からのISMAP監査機関として豊富な経験を生かして、本監査前に綿密な予備調査を提供しています。この支援によって、CSPが自社の内部統制を着実に定着させることでセキュリティ水準の向上につなげ、ISMAP登録に向けても結果的に再作業が少なくなることを想定しています。また、こうした制度対応を効率的に進める上で、他の複数の監査・認証を一体的に扱える体制が重要になります。
2. ワンストップで複数認証に対応
EYでは、ISMAPだけでなく、SOC保証業務やISO認証など複数の監査・認証をワンストップで提供できる体制を整えています。
ISMAP・SOC・ISOなど複数の監査を同時に受ける必要がある場合、EYでは同じチームで一括対応できるため、証跡の重複提出や手続きの煩雑さを軽減できるという点が大きなメリットです。
さらに、EYはISMAP制度立ち上げ当初から関与し、制度設計や品質管理体制にも深く携わっています。そのため、最新の制度改正動向をいち早く把握し、クライアントに的確なアドバイスを提供できます。
3. 柔軟で実効性の高い制度改正へ進化する見込み
Q:ISMAP制度は今後どのように変わっていくのでしょうか?
ISMAPは今、大きな転換期を迎えているとも言えます。
今後は、地方公共団体への対象拡大も想定され、制度はより柔軟で実効性の高いものへ進化する見込みです。
一方で、ISMAP登録を望むCSPからの「要求事項への対応における負担が大きい」という声を受け、2025年には管理基準の見直しが進められています。また、CSPにとっては、現行制度でエントリーすべきか、新制度を待つべきかという判断が難しい局面です。EYでは、企業の状況に応じて選択肢を提示し、最適な対応を支援しています。こうした判断は、単なる制度対応にとどまらず、企業の事業戦略にも直結します。
4. ISMAPは競争力強化のチャンス
Q:ISMAPは登録したCSPにどんなメリットをもたらしますか?
ISMAPの対応が求められるCSPのうち、入札のための制度順守を目的としている場合も少なくないかもしれません。しかし、ISMAPに対応することにより、自社の提供するサービスのセキュリティ水準を向上させ、それを持続させる活動を自社に導入できるようになります。ISMAPの要求事項は国際基準も踏まえて作られているため、国内外のサービス利用者に対して自社の信頼性を主張することもできる、戦略的に重要な対応であるとも言えます。
飲食店にとっての衛生管理のように、CSPにとってセキュリティは信頼を支える基本的な要素です。万が一の事態が発生すると、ビジネスへの影響は大きくなる可能性があります。
クラウドサービス市場における信頼性が保たれるよう、EYは、ISMAPをはじめとする各種認証・監査などをワンストップで対応することで、単なる制度対応だけではなく、セキュリティ強化により企業価値を向上させたい企業を支援します。
政府情報システムのためのセキュリティ評価制度(ISMAP)
政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 以下、ISMAP:イスマップ)は、日本政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入に資することを目的とした制度です。EYは、ISMAP制度の初期からISMAP監査機関リストに登録された監査機関として豊富な実績を有しており、世界中のクラウドサービス事業者に対して情報セキュリティ監査や予備調査を提供しております。
【共同執筆者】
齋藤 貴祐
EY新日本有限責任監査法人 Technology Risk事業部
EY新日本有限責任監査法人 テクノロジーリスク事業部に所属し、IT関連のアシュアランス業務およびリスクアドバイザリー業務に従事。専門分野は、ISMAP情報セキュリティ監査やSOC保証業務など。また、官公庁向けの情報セキュリティ監査や企業向けのプライバシーコンサルティングも手掛けており、過去にはシステムエンジニアとして金融機関向けシステムの大規模プロジェクトに従事し、数千人規模のプロジェクトのプロジェクトマネージャーとして品質担保やプロジェクト管理などを経験。
サマリー
後編では、ISMAPの具体的な要求事項や監査プロセス、現場での工夫、そして制度改正の動向について詳しく解説します。EYがどのように企業を支援しているのか、その強みと実践事例もご紹介します。
関連記事
クラウドサービスの急速な普及に伴い、企業は利便性とリスクのバランスを取る必要に迫られています。本コラムではクラウドサービスの信頼性を高めるISMAP制度について解説します。
EYの関連サービス