政府や自治体への営業で「ISMAPリストに登録されていますか?」と問われ、初めてこの制度を知った方も多いのではないでしょうか。ISMAPは政府情報システムで利用できるクラウドサービスを登録する制度で、登録には厳格なセキュリティ要件の充足と第三者監査が必須です。しかし、既存のISMS認証やISO27017を取得していても、ISMAP特有の追加要件があり、登録申請の手順や必要書類、審査期間を事前に把握しておかなければ、後戻りのリスクや費用の無駄が生じます。
本記事では、クラウドストレージ事業者がISMAP登録に必要な管理基準、監査プロセス、申請ステップを実務目線で網羅的に解説します。
Contents
ISMAPとは何か──政府調達で求められる登録制度の全体像
ISMAP制度の目的と対象サービス
ISMAP(Information system Security Management and Assessment Program)は、政府が求めるセキュリティ要求を満たすクラウドサービスを予め評価・登録する制度です。2020年度内に本格運用が開始され、政府情報システムにおける「クラウド・バイ・デフォルト原則」を安全に実現するための基盤として位置づけられています。
対象となるのはSaaS、PaaS、IaaSといったクラウドサービス全般で、クラウドストレージもその対象です。政府機関がクラウドサービスを調達する際、原則としてISMAPクラウドサービスリストに登録されたサービスから選定することが求められます。
ISMSやISO27017との違い
ISMS(ISO27001)やISO27017を既に取得している事業者でも、ISMAP登録には追加対応が必要です。主な違いは以下の3点です。
- 政府統一基準群への準拠が必要:ISMSがISO規格ベースの管理策であるのに対し、ISMAPでは「政府機関等の情報セキュリティ対策のための統一基準群」の要求事項を追加で満たす必要があります。具体的には、機密性レベル2の情報(機密性2情報)を扱うための管理策や、政府特有のインシデント報告要件などが含まれます。
- 経営層の関与を明示する必要がある:ISMAP申請では「経営者確認書」の提出が必須で、経営層がセキュリティ管理体制を認識・承認していることを示す必要があります。
- 継続的な維持管理義務が厳格:登録後も年次のサーベイランス監査と3年ごとの更新監査が義務付けられており、登録時点での要件充足だけでなく、継続的な管理体制の維持が求められます。
ISMAP-LIUとの違いと適用範囲
ISMAP制度には通常のISMAPとISMAP-LIU(Local government Information system Utilization)の2種類があります。ISMAP-LIUは、機密性2情報を扱うSaaSのうち、セキュリティ上のリスクが小さい業務・情報の処理に用いるものを対象とする制度です。
クラウドストレージ事業者が政府機関・自治体双方への提案を視野に入れる場合、通常のISMAP登録を目指すことが推奨されます。ISMAP登録済みサービスはISMAP-LIUの要件も満たしているため、両方の市場にアプローチできるためです。逆にISMAP-LIUのみの登録では、中央省庁や独立行政法人への提案時に制約が生じます。
ISO27017によるクラウドセキュリティ管理策
ISMAP管理基準の第一の柱は、ISO27017(クラウドサービスのための情報セキュリティ管理策の実践の規範)です。これはISO27002をベースに、クラウド特有の管理策を追加した規格です。クラウドストレージでは、特に次のような点が重要になります。
- クラウドサービス提供者と利用者の責任範囲を文書で明確にすること
データの暗号化をどちらが実施するか、バックアップの保管場所や期間の管理責任は誰にあるか、といった点を契約書やSLAで明示する必要があります。 - 仮想環境における分離管理を説明できること
マルチテナント型のストレージサービスでは、テナント間のデータ分離をどのように技術的に実現しているか、論理的分離の有効性をどう検証しているかを文書化し、監査で説明できる状態にしておく必要があります。
ISO27017を既に取得している事業者は、この部分の追加対応は比較的少なくなりますが、政府向け特有の要件とあわせて管理できる体制は必要です。
政府統一基準群による追加要求事項
ISMAP管理基準では、政府機関等の情報セキュリティ対策のための統一基準群への対応も求められます。一般に「政府統一基準」と呼ばれるこの基準は、政府機関が遵守すべきセキュリティ対策を定めたもので、ISMAPではクラウドサービス提供者にもその一部への対応が必要になります。
クラウドストレージ事業者が実務上とくに意識すべき追加要求として、機密性2情報への対応、インシデント発生時の報告手順、データ保管場所やサポート体制に関する要件があります。
まず、機密性2情報への対応が代表的な追加要求です。機密性2情報とは、秘密文書に相当する機密性は要しないものの、行政事務で取り扱う情報であって、直ちに一般に公表することを前提としていない情報を指します。クラウドストレージでは、この機密性レベルに応じたアクセス制御、暗号化方式の選定、監査ログの保存期間設定などが必要です。
また、インシデント発生時の政府機関への報告手順も明示的に求められます。一般のISMS認証ではインシデント対応手順が整備されていればよい場合が多い一方、ISMAPでは「政府機関に影響を及ぼす可能性のあるインシデントを検知した場合、速やかに当該機関に報告する」という具体的な報告プロセスの文書化が必要です。
さらに、国内でのデータ保管やサポート体制に関する要件も重要です。機密性2情報を扱う場合、データの保管場所を日本国内に限定することや、日本語でのサポート体制を整備することが求められるケースがあります。
ISMAP独自の管理基準と経営層の関与
さらに、ISMAPには独自の管理基準もあります。これは、ISO27017や政府統一基準群への対応に加え、政府調達の文脈で特に重視される項目を追加したものです。
中でも重視されるのが、経営層のコミットメントです。申請時に提出する「経営者確認書」では、経営層がサービスのセキュリティ管理体制とその責任者、重大なセキュリティインシデント発生時の報告・対応体制、ISMAP登録後も継続的に要件を満たすための投資・リソース配分の方針を認識・承認していることを示す必要があります。
また、第三者による継続的な監査体制も独自要件です。登録時の初回監査だけでなく、登録維持のための年次サーベイランス監査と3年ごとの更新監査を受け入れる体制が必要です。これには、監査対応のための社内体制(窓口担当者の指名、関連部署との調整プロセス)の整備も含まれます。
加えて、サプライチェーンリスク管理も近年重視されています。クラウドストレージが利用する下位のインフラ事業者(データセンター、CDNサービス等)のセキュリティ管理状況を把握し、契約上でセキュリティ要件を規定することが求められます。
ISMAP登録申請の4ステップと実務での注意点
ステップ1:要件確認と言明書の作成
登録申請の最初の段階では、自社サービスがISMAP管理基準を満たしているかを自己評価し、言明書を作成します。
まずは、ISMAP管理基準の各項目に対して、現状の管理体制でどこまで対応できているかを洗い出します。ISMS認証やISO27017を取得済みでも、政府統一基準群に由来する項目などで追加対応が必要になることがあります。
言明書は、各管理項目について「どのように管理しているか」を具体的に示す文書です。方針を書くだけでは足りず、「誰が」「いつ」「どのように」実施しているかを、証拠書類とあわせて示せる状態にしておく必要があります。ISMAPの登録規則でも、言明書と経営者確認書を作成し、監査機関による監査を受ける流れが示されています。
実務では、監査機関の事前相談を活用し、言明書の書き方や証拠書類の粒度について早めに確認しておくと、正式監査での手戻りを減らしやすくなります。
あわせて、経営者確認書の準備も進めます。経営層に対しては、ISMAP登録の目的、必要な投資や体制、登録後の維持管理まで含めて説明し、承認を得ておく必要があります。経営者確認書の提出は申請時の必須書類の一つです。
ステップ2:ISMAP監査機関の選定と監査実施
次の段階では、ISMAP監査機関リストに登録された監査機関を選定し、第三者監査を受けます。ISMAP-LIUの手引きでも、監査機関リスト掲載の監査機関による監査と、実施結果報告書の取得が申請の前提として示されています。
監査機関を選ぶ際は、クラウドサービスやSaaSの監査実績があるか、技術的な理解を持つ監査チームか、希望時期に監査を進められるか、見積もりの根拠が明確かを確認しておくと安心です。
監査は、通常、文書確認と実地確認の両面で進みます。言明書、関連規程、体制図、証拠書類などを提出し、あわせて運用実態や担当者へのヒアリング、ログや記録の確認が行われます。ISMAPの監査では、他制度の結果をそのまま流用するのではなく、標準監査手続に沿った確認が行われる点にも注意が必要です。
よくあるつまずきは、文書上のルールと実運用が一致していないこと、証拠書類の日付や承認者が不明確なこと、訓練記録や委託先管理の証跡が不足していることです。監査で不適合が出た場合は是正対応と再確認が必要になるため、初回監査の前に証跡をそろえておくことが重要です。
ステップ3:IPAへの申請と審査
監査機関から実施結果報告書を入手したら、IPAを通じて正式申請を行います。申請時には、登録申請書、言明書、経営者確認書、監査報告書のほか、必要な添付書類をそろえて提出します。登録規則でも、監査後に言明書・経営者確認書・実施結果報告書などを添えて提出する流れが示されています。
審査では、まず書類の不備がないか確認され、その後、監査結果や管理基準への適合性について内容確認が行われます。必要に応じて、追加質問や補足資料の提出を求められることもあります。
審査期間はケースによって前後するため、入札や提案の予定がある場合は、監査と申請の期間を見込んで逆算しておく必要があります。申請前に相談できる制度や窓口がある場合は、書類の精度を上げるために活用しておくと進めやすくなります。なお、制度運用の効率化や期間短縮は近年も検討テーマになっています。
ステップ4:登録後の維持管理とサーベイランス監査
ISMAP登録は、登録して終わりではありません。登録後も、継続的な維持管理が求められます。
まず、年次のサーベイランス監査への対応が必要です。加えて、一定期間ごとに更新監査を受け、登録継続に必要な確認を受けることになります。ISMAPでは、登録後も継続的な監査と管理体制の維持が求められる制度設計になっています。
また、サービス内容やデータセンター、経営体制などに重要な変更があった場合は、変更届や追加確認が必要になることがあります。登録時だけでなく、変更後も要件を満たし続ける前提で運用する必要があります。
そのため、社内ではISMAP対応の責任者と担当者を明確にし、監査スケジュール、制度改定の確認、証跡の保管、インシデント発生時の報告訓練まで含めて、継続運用できる体制を整えておくことが重要です。
既存認証を活かしてISMAP対応を進める実務ポイント
既にISMS認証やISO27017を取得している事業者でも、ISMAP登録に向けて追加で対応すべき項目があります。主なポイントは以下の通りです。
- 政府統一基準群由来の管理策への対応
最大の追加対応範囲です。機密性2情報を扱うための暗号化方式の見直し(政府推奨暗号リストへの適合確認)、ログ保存期間の延長(政府要求に合わせた期間設定)、インシデント発生時の政府機関への報告手順の文書化、国内データ保管の確認と証跡整備が求められます。 - 経営層の関与の明示
ISMS認証では情報セキュリティ責任者の任命が中心でも、ISMAPでは経営者自身が確認書に署名し、セキュリティ管理体制への関与を示す必要があります。社内での経営層向け説明や、経営者確認書を取得する流れの整備が必要になります。 - サプライチェーンリスク管理の強化
既存のISMS体制では、外部委託先の管理を契約ベースで行っているケースが多いですが、ISMAPでは下位のインフラ事業者(データセンター、CDNサービス等)のセキュリティ管理状況を定期的に確認し、記録する体制が必要です。 - 継続的な監査対応体制の整備
ISMS認証の維持審査は通常1〜2年ごとですが、ISMAPでは年次のサーベイランス監査が求められます。そのため、監査対応の工数を継続的に確保し、対応を回せる体制を作る必要があります。
実務上は、ISMAP管理基準とISMS認証の管理策のマッピング表を作成し、どの項目が既存体制でカバーできていて、どの項目に追加対応が必要かを可視化すると整理しやすくなります。
ISMAP登録のメリット・費用・期間の実態
登録による具体的なビジネスメリット
ISMAP登録の最大のメリットは政府・自治体市場へのアクセスです。政府情報システムの調達では、ISMAPリスト登録済みサービスが優先的に選定されるため、入札参加の前提条件を満たすことになります。
民間企業への波及効果も見逃せません。大手企業の情報システム部門では、政府調達基準に準じたセキュリティ要件を社内調達基準に採用するケースが増えており、「ISMAP登録済み」が民間調達でも差別化要因になりつつあります。
また、既存顧客への信頼性向上にもつながります。ISMAP登録は第三者監査による客観的なセキュリティ証明であるため、既存顧客に対してもセキュリティ管理体制を説明する材料になります。
登録に必要な費用と期間の目安
監査費用は監査機関や対象範囲により大きく異なります。企業規模やサービス内容により異なりますが、目安として初回監査で数百万円程度から、年次サーベイランス監査で100万円程度からの費用がかかります。サービス規模が大きい場合やマルチサイト監査が必要な場合は、更に高額になるため、複数の監査機関から見積もりを取得することを推奨します。
社内対応工数も相当量が必要です。企業規模やサービス内容により異なりますが、目安として言明書作成に2〜3ヶ月、監査対応(証拠書類準備、インタビュー対応、指摘事項への是正対応)に1〜2ヶ月、IPA申請・審査対応に1ヶ月程度を見込む必要があります。専任担当者1〜2名と関連部署の協力体制が必要です。
準備開始から登録完了までの期間は、順調に進んでも6〜9ヶ月程度かかります。既存のISMS/ISO27017認証がある場合は若干短縮できますが、政府統一基準群への追加対応や経営層の承認プロセスを考慮すると、最低でも半年は見ておく必要があります。
登録を見送る判断基準
すべてのクラウドストレージ事業者にISMAP登録が必要なわけではありません。以下の場合は、登録を見送るか延期する判断も合理的です。
政府・自治体市場への参入予定がない場合、登録の優先度は低くなります。ただし、既存顧客から「将来的にISMAP登録を検討してほしい」という要望が出ている場合は、ロードマップに組み込む価値があります。
現状のセキュリティ管理体制が未整備な場合、まずISMS認証やISO27017の取得を先行させる方が効率的です。ISMAPは既存認証の上に積み上げる形で対応する方が、重複する管理策の整備が一度で済むためです。
登録維持のためのリソース確保が困難な場合も慎重な判断が必要です。年次監査や変更届対応、継続的な管理策の維持には恒常的な工数がかかるため、これを継続できる体制がない場合、登録後に維持できなくなるリスクがあります。
ISMAP対応は申請前の準備設計で差がつく
ISMAP登録では、申請そのものより前の準備が重要です。ISO27017やISMSを取得していても、そのまま登録できるわけではなく、政府統一基準群への対応、経営層の関与、サプライチェーンを含む継続的な管理体制まで整理しておく必要があります。
そのため、まずは自社サービスがISMAP管理基準のどこまでを既存体制でカバーできているかを整理し、追加対応が必要な項目を洗い出すことが出発点になります。あわせて、監査機関の選定、言明書作成の体制整備、申請までのスケジュールを早い段階で固めておくと、手戻りを減らしやすくなります。
政府・自治体案件を視野に入れる場合は、監査と申請にかかる期間を見込んで、逆算で準備を進めることが重要です。
