「政府情報システムのためのセキュリティ評価制度(ISMAP) 対応事前診断サービス」の開始

株式会社アイ・エス・レーティング(本社：東京都中央区)は、新サービス、「ISMAP対応事前診断サービス」を新規販売・提供開始する運びとなりましたのでお知らせいたします。当社は世界初の情報セキュリティー格付けを行う第三者評価機関です。情報管理の対策水準を「格付け」で確かめ合う社会システム作りに取り組んでいます。

1. 背景

政府は2018年6月、「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(平成30年6月7日各府省情報化統括責任者(CIO)連絡会議決定)を定め、政府情報システムのシステム方式について、コスト削減や柔軟なリソースの増減等の観点から、クラウドサービスの採用をデフォルト(第一候補)とし、府省CIO補佐官の関与の下、事実に基づく客観的な比較を行いその利用を判断するための考え方等を示しました。一方で、諸外国と比較した場合、日本は国家としてクラウドサービスの安全性を評価・認定する仕組みが存在しておらず、評価・認定制度を検討することになりました。

このクラウドサービスの安全性を評価・認定する仕組みは、内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室・総務省・経済産業省が運営する、政府情報システムのためのセキュリティ評価制度(ISMAP：Information system Security Management and Assessment Program)です。ISMAPに則り、政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することで、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスを円滑に導入することを目的としています。2021年に予定されているISMAPの運用開始により、原則としてリストに登録されているクラウドサービスから政府情報システムの調達が行われるため、政府情報システムにクラウドサービスが選定されるにはISMAP クラウドサービスリストへの登録が必須になります。

さらに、ISMAP クラウドサービスリストは一般に公開されるため、政府情報システムの調達のみならず、地方公共団体や民間企業がクラウドサービスを選定する場面においても活用される可能性があり、リストにクラウドサービスが登録されることが、数兆円規模と予想される国内クラウド市場に参入する上で重要なアドバンテージになることが予想されます。

2. 課題

一方、ISMAP クラウドサービスリストへの登録を目指す事業者は、各種国際基準等に基づき策定された「ISMAP管理基準」(別紙「ご参考　ISMAP管理基準について」参照)に準拠して、自社クラウドサービスの対応状況を確認し、言明書に適合状況を表明する必要があります。1,000を超える項目に記載された標準管理策の内容と、それらに対応するリスクを理解する必要があり、自社の特定の部門のみで行うことは容易ではないことが想定されます。当社では情報セキュリティおよび監査の専門家が「ISMAP対応事前診断サービス」として、クラウドサービス事業者が行ったリスク分析結果を踏まえ、クラウド情報セキュリティ監査に向けた効率性も考慮した上で事前準備をサポートします。

3. サービス内容

当社は、クラウドサービス事業者が自社のクラウドサービスをISMAPクラウドサービスリストへ登録申請するための準備作業に対する助言業務を提供します。ISMAPにおける情報セキュリティ監査業務で実施する「ISMAP標準監査手続」に準拠し、クラウドサービス事業者が言明するクラウドサービスに関する情報セキュリティ対策の実施状況に対するGAP分析の実施、GAP分析で判明した発見事項・改善案等を提供します。また、必要に応じて、クラウドサービス事業者が進める申請のための各準備作業にかかる助言業務も提供します。

【ご提供するサービス内容(代表例)】

(1)情報セキュリティ対策の実施状況把握(省略可能)

(ア)アセスメントシートによる事業者の方の自己評価(リスク分析)

(イ)簡易診断実施、「情報セキュリティ対策の実施状況」と「ISMAP管理基準」とのGAP可視化

(ウ)ISMAP管理基準とお客様統制とのマッピング支援

(エ)アセスメント結果報告会実施

※(1)：実施状況把握のみのサービス提供可能

(2)「ISMAPクラウドサービスリスト」登録申請準備作業支援

(ア)「情報セキュリティ対策の実施状況」とISMAP管理基準とのGAP詳細分析

(イ)GAP分析で判明した発見事項の指摘

(ウ)GAP分析で指摘した発見事項に対する改善案の提示

(エ)言明書及び経営者確認書作成支援

(オ)その他登録申請するための準備作業に対する助言

【実施期間(代表例)】

(1)情報セキュリティ対策の実施状況把握(ア)(イ)(ウ)：1カ月程度

　　　　　　　　　　　　　　　　　　 (エ)：半日程度(アセスメント結果報告会)

(2)登録申請準備作業支援　　　　　　　(ア)(イ)(エ)：1カ月から3カ月程度、

　　　　　　　　　　　　　　　　　　 (ウ)：半日程度(発見事項・改善案報告会)、

　　　　　　　　　　　　　　　　　　 (オ)：随時(詳細は別途取決め)

4. 価格

(1)情報セキュリティ対策の実施状況把握：300万～

(2)登録申請準備作業支援：600万～

※いずれも予定価格、消費税別、詳細は別途見積

5. 販売開始

2020年10月中旬(予定)

6. その他関連サービス

ISMAPサービスリスト登録における情報セキュリティ監査業務(準備中)

ISMAPサービスリスト登録以外の情報セキュリティ監査業務(対応可、個別相談)

〇セミナー開催及び打合せをTV会議システム等にて随時行います。

ご希望の方はE-mailにて、ISR@israting.com宛にご連絡ください。

別紙「ご参考　ISMAP管理基準について」

ISMAPでは、クラウド事業者が統制の目標を実現するために選択し、満たすべき事項として、「管理策」と呼ばれる基準が設けられています。クラウド事業者が選択した「管理策」を、外部評価機関が「評価」することになります。「管理策」「評価」には、それぞれ以下のような特徴が存在します。

＜管理策の構成＞

管理策は、「A.ガバナンス基準」「B.マネジメント基準」「C.管理策基準」の3つの基準で構成されています。

A.ガバナンス基準

ISO/IEC 27014をベースに作成されており、会社のセキュリティガバナンスの要求事項が記載されています。

B.マネジメント基準

ISO/IEC 27001をベースに作成されており、情報セキュリティマネジメントシステムの確立についての要求事項が記載されています。

C.管理策基準

ISO/IEC 27002/27017、内閣サイバーセキュリティセンター(NISC)の「政府機関等の情報セキュリティ対策のための統一基準」、National Institute of Standards and Technology(NIST) Special Publication 800-53の内容を組み合わせて構成されています。

＜管理策の選定＞

クラウド事業者は「C.管理策基準」に該当する管理策の中から、統制目標を達成するために必要な管理策を選択し適用します。

＜必須の管理策＞

クラウド事業者は、管理策のうち「A.ガバナンス基準」「B.マネジメント基準」については、全ての管理策が必須となるため、全て実施する必要があります。

「C.管理策基準」については、必須の管理策と選択適用の管理策があります。

必須の管理策は全て実施する必要がありますが、選択適用の管理策は「管理策の選定」で選択した管理策を実施することになります。