• お問い合わせ
  • 03-6425-6735
    (受付時間 9:00~18:00)

ISMAPISMAP登録支援

ISMAP登録支援

MASONの強み

情報システム業のお客様にトップクラスの実績あり

メイソンの幅広いセキュリティの知識と深い情報システム業界の知識により、お客様の実態に促したマネジメントシステムの構築をいたします。

大手出身のセキュリティコンサルタント・監査人による認証取得支援

弊社のコンサルタントは情報システム業、製造業に対してセキュリティコンサルティング・監査に豊富な経験を有しております。

お客様の作業工数を極小化できるコンサルティングの実現

お客様からはどのくらいの工数がかかるか心配だという声を聴いております。弊社はお客様の定常業務に影響を与えない支援形態でISMAPクラウドサービスリストへの登録を保証いたします。

ISMAPとは?

概要

ISMAPは、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、クラウドサービスの導入を円滑に行えるようにすることを目的とした制度です。日本語名称は、「政府情報システムのためのセキュリティ評価制度」です。英訳の(Information system Security Management and Assessment Program)を略した通称として当該制度のことをISMAPと呼びます。

ISMAPクラウドサービスリスト登録の必要性

ISMAPは内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省が運営しており、ISMAP運営委員会という組織が管理を行っています。クラウドサービス事業者(CSP)は、ISMAP監査機関リストに登録された監査機関に監査を依頼し、管理基準に基づいた情報セキュリティ対策の実施状況について監査基準等に基づき監査を受けます。ISMAP運営委員会は、監査されたCSPからの申請を受けて、クラウドサービス登録申請者に対する要求事項への適合状況を審査した上で、登録が妥当と判断したクラウドサービスをISMAPクラウドサービスリストに登録します。今後政府機関にクラウドサービスを利用してもらうためにはISMAPに登録されていることが必須となることが予想されております。今後政府のクラウドへのシフトはより顕著になることが想定されるため、ISMAPへの登録はより重要性を増すでしょう。また、クラウドサービスに対して多くの地方自治体や民間企業が不安を抱いていた背景も無視できません。政府が示すセキュリティ水準である観点から、セキュリティチェックにISMAPを活用する可能性が高く、地方自治体や民間企業からの需要は増加傾向になることが想定されます。

ISMAP登録のメリット

1. 国内クラウド市場のニーズに対応

ISMAPは政府機関の情報システム調達のみならず、多くの地方自治体や民間企業においてもクラウドサービスを選定する際の基準になると予想されます。社会的なクラウド利用へのシフト変換を踏まえ、今後広がりが期待される国内クラウド市場のニーズへの対応が可能となります。

2. 利害関係者からの信頼性向上

ISMAPへの登録はセキュリティーレベルを証明するにあたり他社との比較に効果を発揮します。ISMAPの審査を経て登録されたクラウドサービスは政府のお墨付きという観点から信頼性を得やすくなるほか、認知および評価の高まりも得られるでしょう。

3. 自社ブランド力の強化

企業の信頼度、ブランド力、イメージアップが確実に期待されます。クラウドサービスに対して政府が示すセキュリティ水準であるISMAP要求事項の遵守は、顧客に対し情報セキュリティが万全であることを証明できます。今後更に加速化していくと予想されるクラウドサービス事業において他社との差別化を図る上でISMAPの登録は貴社のブランド力強化に欠かせないと言えるでしょう。

ISMAPの管理基準

ISMAP管理基準は、ISMSクラウドセキュリティ認証で適用されている「JIS Q(ISO/IEC) 27001,27002,27017」を基礎とし、さらに政府の統一基準を満たすために不足している内容をNISTの基準であるSP800-53を参照し追加する形で構成されています。
管理基準は「ガバナンス基準」「マネジメント基準」「管理策基準」の3つで構成されており、それぞれ「経営陣」「管理者」「実務実施者」で対応することを求められます。そして、最大の特徴は1000項目以上ある「管理策基準」です。管理策基準とはISMAP登録の為に満たさなければならないルールや管理体制がまとめられた設問のことを指します。管理基準の項目数は、ガバナンス基準が18問、マネジメント基準が85問、管理策基準が1095問となっており、管理策基準の設問数が非常に多いことがわかります。そのためCSPはその対応に多くの時間を費やすことが見込まれます。本サービスは、「ISMAPクラウドサービスリスト」への登録申請を検討しているCSP向けに、弊社の幅広いセキュリティの知識と深い情報システム業界の知識により、ISMAP登録に向けた支援をいたします。

ISMAPでは3桁管理策のことを達成すべき「統制目標」、4桁管理策のことを統制目標達成のための具体的な手段としての「詳細管理策」と呼びます。

ISMAP登録支援フロー

1. 対象サービスの検討
  1. 対象とするサービスの決定
  2. 社内統制の確認
  3. スケジュール作成
2. 方針決定の立案
  • 取組の基本方針の決定
3. 各種ISO文書作成・見直し
  1. 情報資産の洗い出し
  2. リスク分析
  3. リスク対応計画作成
  4. 残留リスクの承認
4. ベースライン分析
  1. リスクに対応する統制目標の選択
  2. 統制目標に対する4桁管理策の選択
  3. 個別管理策の設計
5. 文書の作成・見直し
  • 規程の作成/既存規程の修正
6. 対策の実施
  • 個別管理策の実施、実装
7. 従業員教育の実施
  • 従業員トレーニング実施
8. 内部監査の実施
  1. 内部監査計画の立案
  2. 内部監査の実施
  3. 内部監査結果の文書化
9. 監査機関の決定/契約の締結
  1. 監査機関の選定、監査の依頼
  2. 監査機関と契約の締結
10. 外部監査の実施
  • 監査機関による監査を受ける
11. IPAへサービス登録申請:申請書の作成・IPAにサービス登録申請

まずは、私たちプロへお気軽にご相談ください。

メイソンコンサルティング株式会社

〒105-0012
東京都港区芝大門1-10-11
芝大門センタービル10F

Access Map

メイソンは、中小企業の情報セキュリティ対策ガイドラインに基づき、セキュリティ対策に取り組んでいます。