結論としては、ISMS認証(JIS Q 27001)およびISMSクラウドセキュリティ認証(ISO/IEC 27017)を取得していることで、幾分かISMAP登録対応工数の縮減が可能です。しかし、これはISMS認証をどれだけしっかりと回せているかによります。本稿では、ISMSおよびISMAPの共通点と違いを説明した上で、ISMS認証取得が及ぼすISMAP登録対応への影響ポイントを説明します。
ISMS認証およびISMAP制度とは?
まず初めに、そもそもISMS認証およびISMAP制度とは何なのかについて簡単に紹介します。
ISMS認証とISMSクラウドセキュリティ認証
ISMS認証とは、組織の情報セキュリティおよびマネジメントシステムの確立、実施、維持、継続的な改善を要求事項とする国際的な認証規格です。具体的な要求事項は、JIS Q 27001(ISO/IEC 27001)を基にしています。
通常のISMS(JIS Q 27001)認証に加えて、クラウドサービス固有の管理策(ISO/IEC 27017)が 適切に導入、実施されていることを認証するのが、ISMSクラウドセキュリティ認証です。これは、ISMS認証へのアドオンとして取得する認証規格です。
ISMAP制度とは
一方で、政府情報システムのためのセキュリティ評価制度(ISMAP)とは、政府が求めるセキュリティ水準を満たすクラウドサービスの調達を実現するため、予めクラウドサービスを評価し、登録する制度です。
ISMAPについて詳しく知りたい方は、 「ISMAP(イスマップ)とは?ISMAPについて知っておくべき全て(決定版)」をご参考ください。
ISMS認証はISMAPを完全に代替できるのか?
結論としては、ISMS認証とISMAPはそれぞれ別の仕組みであり、ISMS認証およびISMSクラウドセキュリティ認証をもってしてISMAPを完全に代替することはできません。
しかし、ISMAPとISMSは同じ情報セキュリティ・クラウドセキュリティに関する仕組みであるため、代替はできずとも、共通する部分において工数削減することができます。
ISMS認証とISMAPの共通点
ISMSとISMAPでは、要求事項の基となっている基準に共通点があります。以下は、それぞれが基としている公知の基準を整理した表です。
ISMAPとISMSはともに、ISO/IEC 27001およびISO/IEC 27017を基としているため、ISO/IEC 27001およびISO/IEC 27017の要求事項においては、共通の対応が求められるといえます。しかし、ISMAPは加えて、クラウド情報セキュリティ管理基準、NIST SP800-53 rev4、および政府機関等のサイバーセキュリティ対策のための統一基準群も参照にしているため、ISMSよりも広範な仕組みになります。
ISMS認証において、クラウドサービスを認証の対象に含めている場合、ISMS認証のために構築し、運用しているセキュリティ対策は、ISMAP対応においても必要な対策になります。具体的には、以下のようなISMS認証のために構築したセキュリティ対策を、そのままISMAP登録対応でも活かすことができます。
ISMS対応のために策定した各種文書
ISMSマニュアルなど
マネジメントシステム運用に係る各種証跡
マネジメントレビューの議事録など
ISO27001付属Aレベル対策の運用に係る各種証跡
ISMS認証とISMAPの主な違い
ISMSとISMAPの違いは、主に管理策の総数および審査・監査の仕組みにあります。この違いを理解しておくことが重要です。
管理策の総数
ISMAPは総数として1,159個もの管理策から構成されています。ここから採用した管理策について、セキュリティ対策を構築・運用し、監査を受けることになります。一般的には7~8割程度の管理策を採用することになります。
一方で、ISMS認証は114個(新規格では93個)もの管理策から構成されています。
数値上、約10倍ほどの差があります。ISMSとISMAPの管理策は厳密に1:1対応するものではないため、数値ほどISMS認証でカバーできる範囲が限定的ではないですが、それでもISMAPには、ISMS認証ではカバーできない範囲が多く存在します。
審査・監査の仕組み
ISMAPとISMSの最も大きな差は審査・監査の仕組みにあります。
ISMS認証の基本は文書審査であるため、規程・マニュアル等の文書ベースで審査されます。一方で、ISMAPは全管理策に対する証跡をもって監査されます。
これは、例えばアクセス権管理の管理策について監査・審査を受けるとした時、ISMS認証では適合宣言書においてアクセス権管理の実施について宣言しているか、および規程等の文書においてアクセス権管理について定められているかの審査を受けます。一方、ISMAPでは、アクセス権の変更について、申請書が提出され、承認され、そして実機反映されたという一連の流れを示す証跡が複数もとめられ、当該証跡をもとに監査受けます。
同じ管理策であっても、このように運用実態を示す証跡まで適切に残っているかまで確認されるという点において、監査・審査の仕組みに差があります。
ISMS認証していると、ISMAP対応にどう影響する?
ISMS認証を取得していることで、ISO/IEC 27001およびISO/IEC 27017の範囲において、ISMAP管理基準にすでに適合していると言えます。しかし、ISMS認証の審査の仕組み上、文書審査やマネジメントシステムの審査が中心のため、クラウドサービス事業者がどれだけISO/IEC 27001の付属Aに記載される管理策の運用証跡が残るよう対応しているかによって影響度が変わります。
ISO/IEC 27001付属Aレベルの対策は形骸化している場合
『セキュリティ対策の運用は形骸化しており、確実にできているかは不明、かつ運用状況を示す証跡も残らないケースが多くある。』
この場合、共通するISO27001付属Aにかかる範囲でもISMAP対応のためにセキュリティ対策を構築し直し、運用証跡が残るよう運用の徹底を行うことになります。よって、結局全ての管理策を見直すことになるため、ISMAP対応に係る工数の1割も縮減できない可能性が高いです。
ISO27001付属Aレベルの対策は証跡が残るようしっかりと運用され、内部監査でもしっかりとみれている場合
『セキュリティ対策は全て運用証跡が残るよう適切に運用されており、運用状況の適切性を内部監査で詳細に確認している。』
この場合、ISMAP監査にも耐えうる証跡が残っている可能性が高いため、ISMAP対応に係る工数は3-4割ほど縮減できる見込みがあります。
まとめ
ISMS認証取得にあたって構築した管理策の整備と運用レベルの実態よって、ISMAP対応に係る工数が縮減できるのかできないのかが決まります。ISMAPクラウドサービスに登録されることで、様々なメリットがありますが、登録に要する費用および工数は相応にあります。ISMS認証およびISMSクラウドセキュリティ認証を取得されている事業者の方で、これからISMAP登録を目指したい場合、ISMS運用が形骸化していないか今一度見直すところから始めることが望ましいといえます。
ISMAP登録に係るスケジュール感を詳しく知りたい方は、「ISMAP登録にかかる期間」をご参考ください。
いかがでしょうか。ISMAPはセキュリティコンプライアンスの領域では非常に価値が高く、注目されてきている制度です。今後、より詳細な制度説明も行っていきますので、ぜひそちらもご覧ください
本サイトでは、ISMAP制度における疑問・質問はどんな内容でも受け付けております。その他、制度理解や対応に役立つコンテンツをどんどん配信しているので、是非チェックしてみてください!
執筆者
東海林 和広
株式会社 X-Regulation 取締役
大手監査法人において、ISMAP監査やクラウドサービスに対するセキュリティ監査等を多数経験
Comments